La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Licence L3 - SIE 2 – Année 2005 SIE 2 Séance 2 Audit, étude & analyse des systèmes d’informations 1.Niveaux et acteurs 2.Missions (structuration et organisation)

Présentations similaires


Présentation au sujet: "Licence L3 - SIE 2 – Année 2005 SIE 2 Séance 2 Audit, étude & analyse des systèmes d’informations 1.Niveaux et acteurs 2.Missions (structuration et organisation)"— Transcription de la présentation:

1 Licence L3 - SIE 2 – Année 2005 SIE 2 Séance 2 Audit, étude & analyse des systèmes d’informations 1.Niveaux et acteurs 2.Missions (structuration et organisation)

2 SIE2 - Séance 2 Auditeurs Acteurs Internes et Externes Rôles et fonctions Missions Obligations Capacités

3 SIE2 - Séance 2 Audit Interne et Externe Audit INTERNE demandé par la direction ou un responsable de service, de domaine, d'agence,.... permet un suivi régulier des indicateurs et des procédures, méthodes réalisé par un service de Contrôle Interne activité régulière basée sur  un audit  une mise en place d'indicateurs de contrôle  un contrôle régulier personnel placé pour 3 à 5 ans (on évite de rester au delà) Audit EXTERNE demandé par un CA, un syndicat, un groupe d'actionnaire, un législateur permet une étude ponctuelle et poussée de la globalité d'un domaine ou d'une entreprise réalisée par un cabinet extérieur (consultants) activité basée sur un audit critique des avis et conseils auditeur ne devant pas aller au delà d'un travail supérieur à 1 ou 2 ans, au delà la fonction se périme au profit du conseil pur

4 SIE2 - Séance 2 Acteurs de la fonction d'Audit On considère 7 grands acteurs de la fonction d'audit L'organisateur et le responsable prospective Le responsable de sécurité et celui de la sécurité informatique Le contrôleur de Gestion L'auditeur interne Le réviseur comptable (EC et CC) qui est indépendant Le consultant (cabinet d’audit ou indépendant) Chacun dispose de moyens et domaines de compétences propres

5 SIE2 - Séance 2 Responsable sécurité Rattaché à la DT Domaine de compétences Sécurité physique des systèmes, biens et patrimoine, et/ou des personnes Rôle : contrôle et inspection des sites (accès, utilisation, procédures) recherche des risques, préparation des préventions et parades vérification des applications de normes et de la législation, du règlement intérieur gestion du personnel de sécurité

6 SIE2 - Séance 2 Responsable sécurité informatique R.S.S.I. ou D.S.S.I. Rattaché à la DT et/ou la DSI Domaine de compétences Sécurité physique et logiciel des systèmes d’informations, (matériels, données, logiciels, personnels, accès, etc.) Rôle : contrôle et inspection des sites (accès, utilisation, procédures) recherche des risques, préparation des préventions et parades vérification des applications de normes et de la législation, du règlement intérieur gestion du personnel informatique

7 SIE2 - Séance 2 Auditeur interne Rattaché à la DG et DFC Domaine de compétences : Contrôle technique, commercial et comptable Contrôle de sécurité Rôle Intervient sur planning ou sur ordre de mission (LM) analyse (photographie) un service, une action, à un instant donné Apprécie l'état du contrôle interne ou l'effectue réalise un rapport avec constats et recommandations

8 SIE2 - Séance 2 Consultant / Auditeur externe Membre d’un cabinet ou indépendant Domaine de compétences Diagnostics Avis et conseil Rôle dispose d'une spécialité et d'une compétence reconnue analyse et détecte les problèmes émet des avis et conseils (ou recommandations) réalise un rapport public ou privé suivant les cas contacté le plus souvent par appel d'offres avec lettre de mission

9 SIE2 - Séance 2 Capacité d'organisation et sens pratique Facilité de contact et de diplomatie Impartialité et intégrité … Capacité d'analyse et de synthèse Connaissances méthodologiques élevées Adaptabilité à l'environnement et personnes Capacité d'écoute réelle Connaissance des techniques du domaine étudiée Connaissance du domaine d'entreprise importante Connaissance complète du domaine de compétence Capacités des auditeurs

10 SIE2 - Séance 2 Un métier certifié Certification spécifique des «Auditeurs Informatiques» CIA (Certified International Audit / US) utilisé en France CISA (Certified Information Systems Auditor) utilisé en France CISSP (Certified Information Systems Security Professionnel / US) commence à s’utiliser en France Belgique : MCA (Master Computer Audit) GB : QiCA (Qualification in Computer Audit) l Certification acquise pour 1 an et devant être maintenue par des crédits formations, articles de fond, travail en groupe à l’AFAI & IFACI  Environ Auditeurs certifiés en France  Indépendante d’une notion de qualité (telle qu’ISO 9000) mais rattaché souvent à des normes sécurité informatique (telles qu’ISO 17799) ou à des méthodes (COBIT)

11 SIE2 - Séance 2 Structuration d’une mission

12 SIE2 - Séance 2 Ordre de Mission (OM & LM) Document ECRIT Transmise par le groupe demandeur de l'audit : Direction - Conseil d'Administration - etc. Responsable de service - Syndicats Définit la Mission : Type d'audit et domaine de l'audit (Développement, maintenance, sécurité,...) Cadres, délais et moyens à utiliser Lieu, contraintes imposées Définit les objectifs de la Mission Objectifs recherchés et problèmes constatés ou connus « Pouvoirs » des auditeurs

13 SIE2 - Séance 2 Cadres de la LM ou de l’OM Défense Nationale ou cadre secret défense Multinationale : Droit européen, international Audit des partenaires ou associés : Contrat pluri-partenaires etc. Normalisation spécifique PAQ ou ISO 900x ou ISO ou ISO Méthodologie spécifique de travail etc. Financements multiples Modalités spécifiques de paiement Subventions (FRAC par exemple) etc. Impossibilité d ’accéder à … sans agrément … Impossibilité de dupliquer ou sortir les documents … Obligation de connaissance de … etc. Contraintes Influent sur Objectifs de l ’Audit CADRES Législation Technique Finance

14 SIE2 - Séance 2 Cadres de la LM Objectifs Ce sont ceux de l’AUDIT INFORMATIQUE et non ceux de l’entreprise dans le domaine informatique Ils se déclinent en 3 points : Etude et formalisation de l ’existant Recherche des points forts et faibles (BBK ou FRAP) Recherche des causes réelles des points faibles En audit opérationnel, ils sont complétés par : Etude de solutions (propositions) Assistance à la spécification opérationnelle des solutions nécessite Pouvoirs Pouvoirs essentiels : investigation, recueil d’informations et documents interviews, accès aux locaux, accès au système informatique etc. Pouvoirs spécifiques à un audit interviews hors des locaux de l’entreprise contacts des sous-traitants, partenaires, prestataires, … etc. Utilisation de salle spécifique de l ’entreprise pour réunions et/ou interviews Terminal dédié à l’audit, User Code, Carte d’accès, Espace disque, Duplication de base, de sources, etc. etc. nécessite Moyens

15 SIE2 - Séance 2 Etude de la LM La réception d'une lettre de Mission implique : L'analyse des objectifs demandés et une discussion avec les demandeurs quant à tous les points spécifiés dans la LM La demande de mise au clair des points omis La création d'une équipe de travail si existe déjà, conforter et informer cette équipe si n'existe pas, réaliser un BC des personnes pouvant y participer et réunir l'équipe la plus apte à remplir la mission Une classification des objectifs (de mission et de LM) par thèmes ou familles Une validation de la LM conjointe entre les demandeurs et le responsable de l'Audit

16 SIE2 - Séance 2 Compétences nécessaires La mission étant connue, on va rechercher les collaborateurs internes ou externes pouvant l'assurer Ils devront disposer dans certaines cas de compétences techniques particulières. Mais on cherchera principalement à avoir une équipe apte à traiter les points ci-contre La technicité n'est qu'un aspect annexe du travail, qui pourrait être confiée à un technicien si besoin donc... TECHNICITE InformatiqueS.d'Entreprise 1 COMMUNICATION Individuelle de Groupe 2 ORGANISATION et METHODES Org. Equipe T&M d'org. 3

17 SIE2 - Séance 2 Préparation à la mission L'Equipe dispose de plusieurs membres ayant une solide connaissance du domaine ++ Points FORTS L'Equipe ne dispose que d'UN membre ayant une solide connaissance du domaine ou plusieurs membres ayant une connaissance limitée du domaine + Point acceptable L'Equipe ne dispose d'aucune connaissance du domaine ou alors est trop limitée pour être efficace - Points FAIBLES Organisation Equipe : Direction d'Equipe Gestion de Projet M.T.d'Organisation : Schéma directeur, Plan, Méthodes info et indus Individuelle : écoute, interview, prise de RdV, etc. de Groupe : Réunion, Présentation, Enquête, Rapport, etc. de Spécialité : matériels, logiciels, OS droit info, SGBD, Génie. d'Entreprise : droit, RH, gestion, organisation, produc,... TECHNICITE (SI) et ENTREPRISE (Environnement) COMMUNICATION et ECHANGES ORGANISATION et METHODES EXEMPLES

18 SIE2 - Séance 2 Missions et méthode Formes Organisation d’équipe Compétences Experts externes Bilan général et mission Démarche générale Phases Contrôles Cadres de travail Suivi

19 SIE2 - Séance 2 Place et forme de l’Audit Propositions Historique Audit de Contrôle Audit de Contrôle MISE EN ŒUVRE & SUIVI Futur Audit Opérationnel Audit Opérationnel Norme / Optimum Réalisable Existant Actuel Audit de Prescription Audit de Prescription Bilan ’’

20 SIE2 - Séance 2 Mission d’audit : préparation Ordre de Mission (OM) Plan d’Approche (PdA) Reconnaissance Analyse des risques Tableau des Forces et faiblesses apparentes (TFfA) Choix des objectifs Rapport d’orientation (RdO) Détermination des tâches Programme de Vérification (PdeV) Planification Budget, Allocation, Planning, Suivi (BAPS)

21 SIE2 - Séance 2 Mission d’Audit : réalisation Feuille de Couverture FdeC Phase de travail sur Terrain Phase de travail sur Terrain Phase de travail sur Terrain Papiers de Travail (PdeT) Feuille de Révélation et d’Analyse de Problème (FRAP) – 1 par section

22 SIE2 - Séance 2 Mission d’Audit : Finalisation FRAP Synthèse (au service d’audit) Ossature de Rapport (OR) Restitution Compte Rendu Final au Site (CRFS) Rédaction et Validation Rapport : en 3 temps Projet, Validation, Définitif (Rapp) Suivi des recommandations État des Actions de Progrès (EAP)

23 SIE2 - Séance 2 ENTRE- PRISE Niveaux de Contrôles Informatiques NIVEAU DE LA FONCTION, DU SERVICE ET DES PERSONNELS NIVEAU DES MATERIELS DES APPLICATIONS et DES DONNES Schéma directeur et Plan informatique Audit Interne et Fonction d'Audit Normalisation et Réglementation Sécurité Générale et Qualifications Circulation des informations Procédures et Formalismes Projets et Développement Méthodes et Techniques Formation et Assistance Organisation et Maintenance Sous-Traitance et Fournisseurs Matériels et Réseaux Communications externes Applications spécifiques Applications standards Bases de données CONCEPTSetMODELES TECHNIQUES ORGANISATION et SOCIAL

24 SIE2 - Séance 2 Mission d’étude-conseil (externe) ORDRE de MISSION (OM-int.) ou LETTRE de MISSION (LM-ext.) ORDRE de MISSION (OM-int.) ou LETTRE de MISSION (LM-ext.) ENQUETE PRELIMINAIRE (EPr) ENQUETE PRELIMINAIRE (EPr) PHASE DE VERIFICATION (PVr) PHASE DE VERIFICATION (PVr) Preuve Suffisantes ? Preuve Suffisantes ? RAPPORT FINAL (Rapports) RAPPORT FINAL (Rapports) Réception LM - Spécification des objectifs Bilan de compétences (BC) - Validation M Réception LM - Spécification des objectifs Bilan de compétences (BC) - Validation M Phase préparatoire (PPr) Etude Préalable et Confirmation (OM-LM) Phase préparatoire (PPr) Etude Préalable et Confirmation (OM-LM) Rapports intermédiaires (Mémorandums) Rapports intermédiaires (Mémorandums) Rapport de synthèse Rapport final avec recommandations Rapport de synthèse Rapport final avec recommandations

25 SIE2 - Séance 2 Phase de Vérification (PVr) Vérifications "RAPIDES" Vérifications "RAPIDES" Vérifications "DETAILLEES" Vérifications "DETAILLEES" BBK sûrs ? TFf complet ? BBK sûrs ? TFf complet ? NON Points de REVUE (PR) Points de REVUE (PR) ANALYSE et DEPOUILLEMENT ANALYSE et DEPOUILLEMENT NON Confirmation ? OUI La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes. Ceux-ci trouvés, la phase Vérification DETAILLLEE va analyser les causes, les incidents, les rapports,... de ces problèmes recensés La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes. Ceux-ci trouvés, la phase Vérification DETAILLLEE va analyser les causes, les incidents, les rapports,... de ces problèmes recensés

26 SIE2 - Séance 2 Préparation de la PVr Interviews préliminaires Plan d'approche Plan de vérification Phase de vérification Vérification Rapide Vérification détaillée « Certification » des BBKS Mise en forme du TFf Dépouillement final & synthèse Rencontre préliminaire des responsables concernés Préparation des actions : Qui voir, quand, pourquoi Comment les voir Que demander Préparation des contrôles : Quelles preuves rechercher Quels moyens de certitude Réalisation de la vérification Lister les problèmes Vérifier chaque point S'assurer de leur véracité Rechercher des parades

27 SIE2 - Séance 2 BBK, TFf et PR Les BBK (Blue Black Keys) représentent : Les problèmes et incidents, critiques, dysfonctionnements, etc. constatés : les POINTS NOIRS (Blacks) Les points qui semblent corrects et fonctionnels : les POINTS BLEUS (Blue) Il y a donc une répartition en 2 classes des points analysés Chaque BK est vérifié pour savoir : si un point noir est réel et ne cache pas un problème plus important si un point bleu est réel et n'est pas simplement une apparence de fonctionnement correct En cas d'incertitude on effectue un P oint de R EVUE (pour "revoir") des BBK contestés. Les BBK sont classés au sein d’un Tableau des Forces et faiblesses apparentes (TFf)

28 SIE2 - Séance 2 Concept BBK et TFf N° ou code de référence Définition sommaire Détail du BBK Type incident ponctuel, problème récurant, risque, erreur technique, erreur humaine, etc. Source de la découverte personne, groupe, documents, RAO, élément externe, étude directe, etc. Origine, cause Conséquence technique, organisationnelle financière, etc. Niveau de confiance et justification de ce niveau Importance relative, coefficient de pondération et justifications Interdépendance avec d’autres BBK regroupement (thèmes et familles), séquence, etc. Solutions possibles technique, organisationnelle, financière, etc. Indicateur de suivi outil et process de suivi process de réaction et correction sur incident

29 SIE2 - Séance 2 Etude des BBK : Thèmes Organisation Circuit et traitements Humain / Social / Relationnel Informations Informatique Structurelle Schéma directeur et plans Matériel Logiciels / OS / Tools Base de données / Fichiers Energie et associés Locaux et mobiliers Documentations Communications & Réseaux Projets en cours et futurs Budgets Informatique Organisationnelle Service informatique Personnel informatique Exploitation Hot line et assistance Développement Maintenance, Formation Contrats et doc légaux Sous-traitance, régie, fournisseurs Projets en cours et futurs Budgets Sécurité Accès, personnel, locaux, moyens mat et log., budgets Scénarios et process Assurances

30 SIE2 - Séance 2 Tableau des Forces & Faiblesses L’existant opérationnel Fonctionnel (opérationnel, technique, etc.) Gains Avancée Certifiés et contrôlés Savoir-faire et savoirs Reconnaissance Les maîtrises Maîtrise d’œuvre et d’ouvrages formalisés et contrôlés Projet en cours en situation de validité Certifications et normalisations Tableaux de bords Outils de contrôles et de validation Les acquis et avoirs pérennes Transmission de savoir-faire et de savoirs Historique exploitable Biens et produits (informatiques) RH pérennisées Relations et contrats pérennisés LES FORCES

31 SIE2 - Séance 2 Tableau des Forces & Faiblesses L’existant opérationnel Incidents Pannes Dysfonctions Erreurs Retards Pertes Conflits L’existant non opérationnel Non maîtrisé Inutile Non connu Sous-utilisé Les risques (problèmes potentiels) Risque technique Risque humain Risque économique et/ou financier Les manques et besoins Manque constaté Manque exprimé Les faiblesses


Télécharger ppt "Licence L3 - SIE 2 – Année 2005 SIE 2 Séance 2 Audit, étude & analyse des systèmes d’informations 1.Niveaux et acteurs 2.Missions (structuration et organisation)"

Présentations similaires


Annonces Google