La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Audit, étude & analyse des systèmes d’informations

Publié parAnselme Cadiou Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Audit, étude & analyse des systèmes d’informations"— Transcription de la présentation:

1 Audit, étude & analyse des systèmes d’informations
Niveaux et acteurs Missions (structuration et organisation)

2 Auditeurs Acteurs Internes et Externes Rôles et fonctions Missions
Obligations Capacités

3 Audit Interne et Externe
demandé par la direction ou un responsable de service, de domaine, d'agence, .... permet un suivi régulier des indicateurs et des procédures, méthodes réalisé par un service de Contrôle Interne activité régulière basée sur un audit une mise en place d'indicateurs de contrôle un contrôle régulier personnel placé pour 3 à 5 ans (on évite de rester au delà) Audit EXTERNE demandé par un CA, un syndicat, un groupe d'actionnaire, un législateur permet une étude ponctuelle et poussée de la globalité d'un domaine ou d'une entreprise réalisée par un cabinet extérieur (consultants) activité basée sur un audit critique des avis et conseils auditeur ne devant pas aller au delà d'un travail supérieur à 1 ou 2 ans, au delà la fonction se périme au profit du conseil pur

4 Acteurs de la fonction d'Audit
On considère 7 grands acteurs de la fonction d'audit L'organisateur et le responsable prospective Le responsable de sécurité et celui de la sécurité informatique Le contrôleur de Gestion L'auditeur interne Le réviseur comptable (EC et CC) qui est indépendant Le consultant (cabinet d’audit ou indépendant) Chacun dispose de moyens et domaines de compétences propres

5 Responsable sécurité Rattaché à la DT Domaine de compétences Rôle :
Sécurité physique des systèmes, biens et patrimoine, et/ou des personnes Rôle : contrôle et inspection des sites (accès, utilisation, procédures) recherche des risques, préparation des préventions et parades vérification des applications de normes et de la législation, du règlement intérieur gestion du personnel de sécurité

6 Responsable sécurité informatique
R.S.S.I. ou D.S.S.I. Rattaché à la DT et/ou la DSI Domaine de compétences Sécurité physique et logiciel des systèmes d’informations, (matériels, données, logiciels, personnels, accès, etc.) Rôle : contrôle et inspection des sites (accès, utilisation, procédures) recherche des risques, préparation des préventions et parades vérification des applications de normes et de la législation, du règlement intérieur gestion du personnel informatique

7 Auditeur interne Rattaché à la DG et DFC Domaine de compétences : Rôle
Contrôle technique, commercial et comptable Contrôle de sécurité Rôle Intervient sur planning ou sur ordre de mission (LM) analyse (photographie) un service, une action, à un instant donné Apprécie l'état du contrôle interne ou l'effectue réalise un rapport avec constats et recommandations

8 Consultant / Auditeur externe
Membre d’un cabinet ou indépendant Domaine de compétences Diagnostics Avis et conseil Rôle dispose d'une spécialité et d'une compétence reconnue analyse et détecte les problèmes émet des avis et conseils (ou recommandations) réalise un rapport public ou privé suivant les cas contacté le plus souvent par appel d'offres avec lettre de mission

9 Capacités des auditeurs
Capacité d'organisation et sens pratique Facilité de contact et de diplomatie Impartialité et intégrité … Capacité d'analyse et de synthèse Connaissances méthodologiques élevées Adaptabilité à l'environnement et personnes Capacité d'écoute réelle Connaissance des techniques du domaine étudiée Connaissance du domaine d'entreprise importante Connaissance complète du domaine de compétence

10 Un métier certifié Certification spécifique des «Auditeurs Informatiques» CIA (Certified International Audit / US) utilisé en France CISA (Certified Information Systems Auditor) utilisé en France CISSP (Certified Information Systems Security Professionnel / US) commence à s’utiliser en France Belgique : MCA (Master Computer Audit) GB : QiCA (Qualification in Computer Audit) Certification acquise pour 1 an et devant être maintenue par des crédits formations, articles de fond, travail en groupe à l’AFAI & IFACI Environ Auditeurs certifiés en France Indépendante d’une notion de qualité (telle qu’ISO 9000) mais rattaché souvent à des normes sécurité informatique (telles qu’ISO 17799) ou à des méthodes (COBIT)

11 Structuration d’une mission

12 Ordre de Mission (OM & LM)
Document ECRIT Transmise par le groupe demandeur de l'audit : Direction - Conseil d'Administration - etc. Responsable de service - Syndicats Définit la Mission : Type d'audit et domaine de l'audit (Développement, maintenance, sécurité, ...) Cadres, délais et moyens à utiliser Lieu, contraintes imposées Définit les objectifs de la Mission Objectifs recherchés et problèmes constatés ou connus « Pouvoirs » des auditeurs

13 Cadres de la LM ou de l’OM
Contraintes Influent sur Objectifs de l ’Audit CADRES Impossibilité d ’accéder à … sans agrément … Impossibilité de dupliquer ou sortir les documents … Obligation de connaissance de … etc. Défense Nationale ou cadre secret défense Multinationale : Droit européen, international Audit des partenaires ou associés : Contrat pluri-partenaires etc. Législation Technique Normalisation spécifique PAQ ou ISO 900x ou ISO ou ISO 17799 Méthodologie spécifique de travail etc. Finance Financements multiples Modalités spécifiques de paiement Subventions (FRAC par exemple) etc.

14 Cadres de la LM Objectifs Pouvoirs Moyens nécessite nécessite
Ce sont ceux de l’AUDIT INFORMATIQUE et non ceux de l’entreprise dans le domaine informatique Objectifs Ils se déclinent en 3 points : Etude et formalisation de l ’existant Recherche des points forts et faibles (BBK ou FRAP) Recherche des causes réelles des points faibles nécessite Pouvoirs En audit opérationnel, ils sont complétés par : Etude de solutions (propositions) Assistance à la spécification opérationnelle des solutions Pouvoirs essentiels : investigation, recueil d’informations et documents interviews, accès aux locaux, accès au système informatique etc. Pouvoirs spécifiques à un audit interviews hors des locaux de l’entreprise contacts des sous-traitants, partenaires, prestataires, … nécessite Moyens Utilisation de salle spécifique de l ’entreprise pour réunions et/ou interviews Terminal dédié à l’audit, User Code, Carte d’accès, Espace disque, Duplication de base, de sources, etc. etc.

15 Etude de la LM La réception d'une lettre de Mission implique :
L'analyse des objectifs demandés et une discussion avec les demandeurs quant à tous les points spécifiés dans la LM La demande de mise au clair des points omis La création d'une équipe de travail si existe déjà, conforter et informer cette équipe si n'existe pas, réaliser un BC des personnes pouvant y participer et réunir l'équipe la plus apte à remplir la mission Une classification des objectifs (de mission et de LM) par thèmes ou familles Une validation de la LM conjointe entre les demandeurs et le responsable de l'Audit

16 Compétences nécessaires
La mission étant connue, on va rechercher les collaborateurs internes ou externes pouvant l'assurer Ils devront disposer dans certaines cas de compétences techniques particulières. Mais on cherchera principalement à avoir une équipe apte à traiter les points ci-contre La technicité n'est qu'un aspect annexe du travail, qui pourrait être confiée à un technicien si besoin donc ... TECHNICITE Informatique S.d'Entreprise 1 COMMUNICATION Individuelle de Groupe 2 ORGANISATION et METHODES Org. Equipe T&M d'org. 3

17 Préparation à la mission
Organisation Equipe : Direction d'Equipe Gestion de Projet M.T.d'Organisation : Schéma directeur, Plan, Méthodes info et indus Individuelle : écoute, interview, prise de RdV, etc. de Groupe : Réunion, Présentation, Enquête, Rapport, etc. de Spécialité : matériels, logiciels, OS droit info, SGBD, Génie. d'Entreprise : droit, RH, gestion, organisation, produc, ... TECHNICITE (SI) et ENTREPRISE (Environnement) COMMUNICATION ECHANGES ORGANISATION METHODES EXEMPLES L'Equipe dispose de plusieurs membres ayant une solide connaissance du domaine ++ Points FORTS L'Equipe ne dispose que d'UN membre ayant une solide connaissance du domaine ou plusieurs membres limitée + Point acceptable L'Equipe ne dispose d'aucune connaissance du domaine ou alors est trop limitée pour être efficace - Points FAIBLES

18 Missions et méthode Formes Organisation d’équipe Démarche générale
Compétences Experts externes Bilan général et mission Démarche générale Phases Contrôles Cadres de travail Suivi

19 Place et forme de l’Audit
Norme / Optimum Bilan D D’ Propositions Actuel Audit de Prescription Réalisable Existant MISE EN ŒUVRE & SUIVI Futur Audit Opérationnel Historique Audit de Contrôle

20 Mission d’audit : préparation
Ordre de Mission (OM) Plan d’Approche (PdA) Reconnaissance Analyse des risques Tableau des Forces et faiblesses apparentes (TFfA) Choix des objectifs Rapport d’orientation (RdO) Détermination des tâches Programme de Vérification (PdeV) Planification Budget, Allocation, Planning, Suivi (BAPS)

21 Mission d’Audit : réalisation
Feuille de Couverture FdeC Phase de travail sur Terrain Papiers de Travail (PdeT) Feuille de Révélation et d’Analyse de Problème (FRAP) – 1 par section

22 Mission d’Audit : Finalisation
FRAP Synthèse (au service d’audit) Ossature de Rapport (OR) Restitution Compte Rendu Final au Site (CRFS) Rédaction et Validation Rapport : en 3 temps Projet, Validation, Définitif (Rapp) Suivi des recommandations État des Actions de Progrès (EAP)

23 Niveaux de Contrôles Informatiques
CONCEPTS et MODELES TECHNIQUES ORGANISATION et SOCIAL ENTRE- PRISE Schéma directeur et Plan informatique Audit Interne et Fonction d'Audit Normalisation et Réglementation Sécurité Générale et Qualifications Circulation des informations Procédures et Formalismes NIVEAU DE LA FONCTION, DU SERVICE ET DES PERSONNELS Projets et Développement Méthodes et Techniques Formation et Assistance Organisation et Maintenance Sous-Traitance et Fournisseurs NIVEAU DES MATERIELS DES APPLICATIONS et DES DONNES Matériels et Réseaux Communications externes Applications spécifiques Applications standards Bases de données

24 Mission d’étude-conseil (externe)
ORDRE de MISSION (OM-int.) ou LETTRE de MISSION (LM-ext.) Réception LM - Spécification des objectifs Bilan de compétences (BC) - Validation M ENQUETE PRELIMINAIRE (EPr) Phase préparatoire (PPr) Etude Préalable et Confirmation (OM-LM) PHASE DE VERIFICATION (PVr) Preuve Suffisantes ? Rapports intermédiaires (Mémorandums) RAPPORT FINAL (Rapports) Rapport de synthèse Rapport final avec recommandations

25 Phase de Vérification (PVr)
Vérifications "RAPIDES" La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes. Ceux-ci trouvés, la phase Vérification DETAILLLEE va analyser les causes, les incidents, les rapports,... de ces problèmes recensés Vérifications "DETAILLEES" NON BBK sûrs ? TFf complet ? Points de REVUE (PR) Confirmation ? NON OUI ANALYSE et DEPOUILLEMENT OUI

26 Préparation de la PVr Interviews préliminaires Plan d'approche
Plan de vérification Phase de vérification Vérification Rapide Vérification détaillée « Certification » des BBKS Mise en forme du TFf Dépouillement final & synthèse Rencontre préliminaire des responsables concernés Préparation des actions : Qui voir, quand, pourquoi Comment les voir Que demander Préparation des contrôles : Quelles preuves rechercher Quels moyens de certitude Réalisation de la vérification Lister les problèmes Vérifier chaque point S'assurer de leur véracité Rechercher des parades

27 BBK, TFf et PR Les BBK (Blue Black Keys) représentent :
Les problèmes et incidents, critiques, dysfonctionnements, etc. constatés : les POINTS NOIRS (Blacks) Les points qui semblent corrects et fonctionnels : les POINTS BLEUS (Blue) Il y a donc une répartition en 2 classes des points analysés Chaque BK est vérifié pour savoir : si un point noir est réel et ne cache pas un problème plus important si un point bleu est réel et n'est pas simplement une apparence de fonctionnement correct En cas d'incertitude on effectue un Point de REVUE (pour "revoir") des BBK contestés. Les BBK sont classés au sein d’un Tableau des Forces et faiblesses apparentes (TFf)

28 Concept BBK et TFf N° ou code de référence Définition sommaire
Détail du BBK Type incident ponctuel, problème récurant, risque, erreur technique, erreur humaine, etc. Source de la découverte personne, groupe, documents, RAO, élément externe, étude directe, etc. Origine, cause Conséquence technique, organisationnelle financière, etc. Niveau de confiance et justification de ce niveau Importance relative, coefficient de pondération et justifications Interdépendance avec d’autres BBK regroupement (thèmes et familles), séquence, etc. Solutions possibles technique, organisationnelle, financière, etc. Indicateur de suivi outil et process de suivi process de réaction et correction sur incident

29 Etude des BBK : Thèmes Organisation Circuit et traitements
Humain / Social / Relationnel Informations Informatique Structurelle Schéma directeur et plans Matériel Logiciels / OS / Tools Base de données / Fichiers Energie et associés Locaux et mobiliers Documentations Communications & Réseaux Projets en cours et futurs Budgets Informatique Organisationnelle Service informatique Personnel informatique Exploitation Hot line et assistance Développement Maintenance, Formation Contrats et doc légaux Sous-traitance, régie, fournisseurs Projets en cours et futurs Budgets Sécurité Accès, personnel, locaux, moyens mat et log., budgets Scénarios et process Assurances

30 Tableau des Forces & Faiblesses
L’existant opérationnel Fonctionnel (opérationnel, technique, etc.) Gains Avancée Certifiés et contrôlés Savoir-faire et savoirs Reconnaissance Les maîtrises Maîtrise d’œuvre et d’ouvrages formalisés et contrôlés Projet en cours en situation de validité Certifications et normalisations Tableaux de bords Outils de contrôles et de validation LES FORCES Les acquis et avoirs pérennes Transmission de savoir-faire et de savoirs Historique exploitable Biens et produits (informatiques) RH pérennisées Relations et contrats pérennisés

31 Tableau des Forces & Faiblesses
L’existant opérationnel Incidents Pannes Dysfonctions Erreurs Retards Pertes Conflits L’existant non opérationnel Non maîtrisé Inutile Non connu Sous-utilisé Les faiblesses Les risques (problèmes potentiels) Risque technique Risque humain Risque économique et/ou financier Les manques et besoins Manque constaté Manque exprimé

Télécharger ppt "Audit, étude & analyse des systèmes d’informations"

Présentations similaires

Global Total Microcode Support (TMS ou GTMS) Microcode Management proactif pour System i, System p, System x et SAN.

Global Total Microcode Support (TMS ou GTMS) Microcode Management proactif pour System i, System p, System x et SAN.
Baccalauréat Professionnel Gestion – Administration

Baccalauréat Professionnel Gestion – Administration
Analyse et Programmation Orientées Objets

Analyse et Programmation Orientées Objets
Le projet de développement de l’unité commerciale

Le projet de développement de l’unité commerciale
METHODOLOGIE DE LAUDIT. Séance 2 Organisation dune mission daudit Acceptation de la mission daudit Modèles dopinion.

METHODOLOGIE DE LAUDIT. Séance 2 Organisation dune mission daudit Acceptation de la mission daudit Modèles dopinion.
La Recette La recette.

La Recette La recette.
des Structures de Santé

des Structures de Santé
Le diagnostic local de sécurité: méthodologie sur la commune dEtterbeek Première édition, mars 2007.

Le diagnostic local de sécurité: méthodologie sur la commune dEtterbeek Première édition, mars 2007.
ECONOMIE BTS 1&2 LES OBJECTIFS

ECONOMIE BTS 1&2 LES OBJECTIFS
Sommaire Introduction Les politiques de sécurité

Sommaire Introduction Les politiques de sécurité
LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½

LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½
LES ATELIERS REDACTIONNELS

LES ATELIERS REDACTIONNELS
l'approche ergonomique

l'approche ergonomique
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié

1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié
Le projet technique S9.

Le projet technique S9.
Réalisation d’un projet issue de l’entreprise

Réalisation d’un projet issue de l’entreprise
Soutenance du rapport de stage

Soutenance du rapport de stage
Une application pratique de la Démarche Qualité dans l’EPS

Une application pratique de la Démarche Qualité dans l’EPS
L’audit assisté par ordinateur

L’audit assisté par ordinateur

Présentations similaires

Annonces Google