La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Audit, étude & analyse des systèmes d’informations

Publié parFrédérique Marechal Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Audit, étude & analyse des systèmes d’informations"— Transcription de la présentation:

1 Audit, étude & analyse des systèmes d’informations
Audit & étude SI - Analyse SI Organisation et conception SI

2 L’entreprise, c’est … Un ensemble de produits et services mis sur le marché pour réaliser, à la base un ensemble de profits pour les actionnaires et investisseurs …

3 un ensemble de chaînes de valeur :
L’entreprise, c’est … Il faut, pour cela, un ensemble de chaînes de valeur : Étude de marché Marketing Achats Production Logistique Ventes Suivi client Management Qualité Finances RH

4 Mais aussi un ensemble de systèmes dont principalement
L’entreprise, c’est Mais aussi un ensemble de systèmes dont principalement Système de production Système d’information Système de communication Etc.

5 L’entreprise, c’est Une nécessité permanente d’évoluer et de s’adapter : Au marché, Aux nouvelles techniques de productique et production par exemple, Aux nouvelles méthodes et normes, Aux changements de législation et d’environnement, Aux évolutions de la société (problématique de l’éthique par exemple) et des mentalités, Aux nouvelles technologies (et pas seulement en informatique), A l’évolution des autres entreprises (partenaires comme concurrents, clients comme fournisseurs), A la situation conjoncturelle, Etc.

6 Système et entreprises …
Qui dit systèmes et outils, qui dit financier et RH, qui dit évolution, dit aussi : RISQUES Risques financiers Risques techniques Risques humains Risques et catastrophes naturels Risques informatifs … & Risques informatiques …

7 Environnement actuel L’informatique est un outil qui subit de profondes mutations et génère une problématique particulière dans l’entreprise : Évolution permanente  dégradation, Usage en back-office  front-office  stratégique outil vital de pilotage d’entreprise Fragilité générale  outil à risque : En 1996, les pertes (directes ou indirectes) liées à l’informatique étaient estimées à plus de 3 Md’€ en France; en 2000, on a estimé qu’elles avaient pratiquement triplé … La démocratisation de l’informatique puis de l’Internet ont ouvert une brèche médiatique sur le monde de l’Informatique et de ses risques

8 catastrophique +140 % d’impact !
Les mêmes en 2001 et 2002 Seules 40 % des entreprises déclarent avoir subi des sinistres … Les 60 % restants pêchent souvent par ignorance (absence de détection des incidents). Un « BOUM » catastrophique +140 % d’impact !

9 Risques et contrôle de risques
Le risque informatique s'applique à 3 domaines : risque direct dû à l'informatique (pannes, vols, pertes, erreurs, etc. ) risque induit (perte d'image de marque, perte de qualité, perte de clientèle, perte financière, perte de stock, etc. ) risque généré (utilisation de l'informatique pour détourner, voler, escroquer, rançonner, etc.) Il est nécessaire de le contrôler au même titre que toutes les autres activités

10 Usage de connexion externe
Évolution en et 2002 des comportements des entreprises et des outils en terme de connexion externe. Les plus fortes hausses depuis 1999 : Accès au Web Messagerie généralisée

11 Moyens de sécurité Encore très peu de sécurité de base sur les réseaux
ouverts à l’extérieur

12 Plans et procédures de secours
Encore très peu de plan de réaction et de secours en cas d’alerte ou d’incident

13 Réalité et perception …
87,3 % des sinistres 69% des "croyances" 9,7 % des sinistres 77% des croyances

14 Face à ces constats …

15 Réactions et actions Action sécuritaire :
Sensibiliser, former, informer Mettre en œuvre des outils et procédures Action techniques et logistiques Assurer une démarche complète d’étude Assurer une démarche complète de recettes Assurer une démarche complète de suivi Assurer une démarche complète maîtrise d’œuvre Action d’analyse et de suivi Audit initial, audit régulier (interne / externe) Indicateurs et tableau de bord Organiser Schéma directeur – Plan informatique CdC – Appel d’offre – Assurance Équipe et personnel

16 1 2 3 4 Nécessité … Étude du système existant Étude de solutions
Phases de contrôle, d’audit de recensement 1 Étude de solutions Phases d’audit et de conseil, prescription 2 Mise en œuvre Recherche, sélection, maîtrise d’œuvre et d’ouvrage 3 Maintenance Suivi, maintenance, audit régulier, évolution planifiée. 4

17 Étape 1 : Auditer …

18 Rôle premier de l'Audit L'audit a pour fonction principale le contrôle du SYSTEME étudié qu'il s'agisse de son fonctionnement ou de ses outils de fonctionnement Par là, il a pour but de réduire les écarts et risques ou au moins de les signaler et de proposer des solutions ...

19 Notion d'Audit Mission / Procédure consistant à :
Nom Masculin : UN AUDIT Mission / Procédure consistant à : s'assurer du caractère COMPLET, SINCERE et REGULIER des Comptes d'une Entreprise s'en porter GARANT auprès des divers partenaires intéressés de l'entreprise porter (de manière plus générale) un JUGEMENT sur la qualité de sa gestion Synonyme : Procédure de Révision Par extension, la personne réalisant cette mission (Synonyme : Auditeur) En anglais : AUDIT and AUDITOR

20 Historique de l'Audit Historiquement, l'AUDIT est d'abord financière
A l'époque romaine, les questeurs en étaient chargés. Puis Charlemagne en a généralisé l'usage par les missi dominici A la fin du XIX° siècle, elle fut rationalisée en France avec la création de l'OECCA (Ordre des Experts Comptables et Comptables Agréés ) puis de la CNCC (Compagnie Nationale des Commissaires aux Comptes ) La fonction a été officiellement créée en 1941 aux USA avec l'IIA (Institute of Internationals Auditors ), en prolongement de la Secury Act de 1935, obligeant à la ratification des comptes par un Expert Comptable En France, il faut attendre 1965 pour voir la création de son équivalent l'IFACI rattachée à l'IIA (Institut Française des Auditeurs et Contrôleurs Internes )

21 Intérêts initiaux de l'Audit
CONTRÔLE et VALIDATION du système de Gestion Procédures et méthodes Données CONTRÔLE et VALIDATION des moyens Matériels, réseaux, logiciels Personnels CONTRÔLE et VALIDATION des financements Coûts d'investissements et d'exploitation Rentabilité et budgets CONTRÔLE et VALIDATION des évolutions Plan informatique et Schéma directeur Gestion et suivi des projets

22 Intérêt réel des audits
L’audit est devenu au fil du temps : Audit d’efficacité Audit d’efficience Audit de management et de stratégie Les apports ont évolué et sont devenus : Conseil (au lieu d’évaluation) Valeur ajoutée Assurance (contractualisation) Qualité (Q.S.E. avec le Système de Management Environnemental (SME), basé sur les normes ISO 14000) Sécurité Informatique (dont norme ISO 17799)

23 L'audit Informatique Analyse exhaustive du fonctionnement d'un centre de traitement et de son environnement Débouche sur un diagnostic précisant l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise l'adéquation des résultats obtenus en regard des moyens engagés l'adéquation des moyens en regard de la législation Les méthodes d'Audit Informatiques sont définies par l'IFACI comme les autres techniques d'Audit En Anglais : COMPUTING CENTER AUDIT

24 Audit de sécurité Méthodes : Marion Mélisa MV3 Méhari Ebios 1.0.2
L’un des points clefs de l’audit informatique reste l’audit des réseaux et de la sécurité informatique. Pour ce faire, des méthodes, législations et normes, (utilisables dans d’autres domaines que l’audit de sécurité info) ont été créés et mises en place : Méthodes : Marion Mélisa MV3 Méhari Ebios 1.0.2 COBIT CRAMM v4 etc. Normes : BS7799 (GB) et ISO (sécurité TIC) ISO/CEI (management sécu TIC) Législation : Loi n du 6/01/78 sur l'informatique, les fichiers, les libertés Loi n du 3/07/85 sur la protection des logiciels Loi n du 5/01/88 relative à la fraude informatique Projet de loi pour la confiance dans l’économie numérique (LCEN) ou loi Fontaine

25 Points clefs d’ISO 17799 Aspects organisationnels Aspects physiques
Politique de sécurité – organisation Veille Mesures d’audit Procédures Recensement des actifs – conformité à la législation – sécurité du personnel Politique d’embauche Clauses de confidentialité, etc. Continuité d’activité Aspects logiques Contrôle d’accès Gestion des droits et mots de passe Etc. Développement et maintenance des systèmes – communication et management opérationnel Gestion des sauvegardes, des journaux, des erreurs Protection contre les codes « malicieux » Séparation des responsabilités Aspects physiques Sécurité physique et environnementale Périmètre de sécurité Contrôle d’accès physique Isolement des zones de livraisons et d’accès clients Alimentation électrique Obligation de rangement (bureau principalement) Etc.

26 Informatique & législation en Europe
Exemple de l’Internet en Europe avec la LEN (loi sur l’économie numérique de Juin 2000) qui est transposée en France … depuis juin 2004 Les « lois de l'Internet » en Europe : Espagne : loi sur la société de l'information et les services de commerce électronique Finlande : loi sur la fourniture de services de la société de l'information Autriche : loi fédérale sur le commerce électronique Danemark : loi sur les services de la société de l'information Luxembourg : loi sur le commerce électronique avec modification des Code civil, Code du commerce, Code de procédure civil et Code pénal Italie : idem Allemagne : loi sur l'utilisation des télé-services, loi sur la protection des données personnelles, loi sur la signature électronique, rassemblées au sein d’une loi fédérale sur les services d'information et de communication France : LCEN (loi pour la confiance dans l’économie numérique)

27 Système d’informations
Rappels systèmes : Système automatisé, Système informatique, Système d’Information, Notion d’informatique et d’information

28 Principe d'Activité Informatique
POLITIQUE GENERALE Schéma Directeur d'Entr. POLITIQ. INFORMATIQUE Schéma Directeur Info Organisation du Service ou de l ’Activité Informatique Sécurité Méthodes Personnel Formation Budgets Base données Développement Exploitation Parc Matériel Réseau-Comm. Appels d'offre Sous-Traitance Fournisseurs Maintenance Assistance Tec.

29 Complexité des SI Sécurité & Sûreté Données Mémorisation
RESEAUX* INTERNES Sécurité & Sûreté RESEAUX EXTERNES Système de saisie Mémorisation directe Système de sortie Restitution directe Logiciels & ERP Données Mémorisation ORGANISATION INFORMATIQUE R.H. Mobilier & Immobilier Énergie Matériel info et péri-info Formation & Doc Fournisseurs Contrats & Prestations Finances - Plans info. - SD - ... * Réseaux filaires ou non (WiFi, Bluetooth, VoIP, etc.)

30 Pluralité d’usage des données
« Chapeaute » Décisionnel, Stratégie et Juridique Front Office Gestion Production Commerce Marketing E-comm Échanges Productique Intégré DataWH Back Office Infocentre Infogérance Outils Sécurité Un problème de + en + crucial Un outil de + en + utilisé par les entreprises

31 Validité d’un S.I. un SI est potentiellement valide si au minimum, les informations qu’il « contient » sont dans un cadre DICP: DISPONIBLES, c’est à dire accessibles lorsque l’on en a besoin INTEGRES, c’est à dire que la totalité des informations reste présente sans perte, modification, altération, ajout d’informations ou valeurs d’informations non prévues CONFIDENTIELLES, c’est à dire si seules les personnes disposant des droits adéquates peuvent consulter, modifier, ajouter, supprimer, diffuser des informations, ET si ces droits sont eux-mêmes placés dans un cadre DICP PERENES, c’est à dire si les 3 paramètres précédents sont valables dans le temps

32 UN TABLEAU DE BORD (tableau de pilotage) dU S.I.
Implication pour un S.I. Indicateurs, Système d’alertes, Suivi des évolutions, Maintenance, Tests, Scénarios, Etc. UN TABLEAU DE BORD (tableau de pilotage) dU S.I. En bref

33 Le Système d'Information
RIGUEUR des indicateurs Définition claire Précision Circulation et délais Méthodologie de saisie, calcul et agrégation FIABILITE des indicateurs durant Transmissions et Utilisation (non influence des acteurs ou de l'utilisation) dans le temps indépendant de l'erreur humaine (ou corrigeable / corrigé ) S.I UNICITE des indicateurs Conception unique Mode de saisie et remonté fiable Comparaison possible quelque soit le lieu de gestion et l'utilisateur (métrique de réf.) COHERENCE des indic... pas de redondance couverture de la totalité du SI Vision globale et « détaillable » (vue d'ensemble -> tableau de bord puis détail d'un poste à la demande)

Télécharger ppt "Audit, étude & analyse des systèmes d’informations"

Présentations similaires

Les Ressources Requises pour un Exercice de Profilage des PDIs Atelier Bangui, République Centrafrique 9 mars 2011.

Les Ressources Requises pour un Exercice de Profilage des PDIs Atelier Bangui, République Centrafrique 9 mars 2011.
Comment généraliser la dématérialisation dans les cabinets ?

Comment généraliser la dématérialisation dans les cabinets ?
Le Groupe  ses ACTIVITES :

Le Groupe  ses ACTIVITES :
Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.

Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.
METHODOLOGIE DE LAUDIT. Séance 1 Présentation de lUV Introduction Missions et fonctions de lauditeur Réglementation actuelle.

METHODOLOGIE DE LAUDIT. Séance 1 Présentation de lUV Introduction Missions et fonctions de lauditeur Réglementation actuelle.
Votre SIRH en toute confiance !

Votre SIRH en toute confiance !
Sommaire Introduction Les politiques de sécurité

Sommaire Introduction Les politiques de sécurité
Thierry Sobanski – HEI Lille

Thierry Sobanski – HEI Lille
L’ASSISTANT ET LES NTIC.

L’ASSISTANT ET LES NTIC.
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.

TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
ESAP 2000 Travaux Pratiques Groupe Sud Alsace – Territoire de Belfort

ESAP 2000 Travaux Pratiques Groupe Sud Alsace – Territoire de Belfort
Le management de l’entreprise

Le management de l’entreprise
L’audit assisté par ordinateur

L’audit assisté par ordinateur
PARTENAIRE SECURITE - 2 Avenue Aristide Briand 92220 Bagneux Tél : 01 58 07 01 01 Fax : 01 58 07 01 00 Lexternalisation de lopérationnel de votre Sécurité

PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
Extrait de la présentation du 10 juin 2010

Extrait de la présentation du 10 juin 2010
MRP, MRP II, ERP : Finalités et particularités de chacun.

MRP, MRP II, ERP : Finalités et particularités de chacun.
Control des objectifs des technologies de l’information COBIT

Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne

Gestion des risques Contrôle Interne
« Solution de gestion pour l’entreprises de BTP »

« Solution de gestion pour l’entreprises de BTP »
Les exigences de la norme ISO 14001

Les exigences de la norme ISO 14001

Présentations similaires

Annonces Google