La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA.

Présentations similaires


Présentation au sujet: "Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA."— Transcription de la présentation:

1 Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA

2 Contrôle Interne et SSI Objectifs de la présentation Démontrer que : Le contrôle interne et la Sécurité des Systèmes dInformation nest pas le domaine réservé des spécialistes. La mise en œuvre des normes et des bonnes pratiques en matière de sécurité des systèmes dinformation permet daméliorer les performances de tous.

3 Contrôle Interne et SSI Des questions Le contrôle interne cest quoi? Laudit et le contrôle interne est-ce la même chose? Qui est réellement concerné, qui est responsable? Si ce nest pas laffaire des spécialistes, comment sorganiser, que doit-on faire exactement? Une réponse Ce nest pas compliqué, la preuve par lexemple : démonstration

4 Contrôle Interne et SSI Le contrôle interne cest quoi ? Un problème de définition Des attentes divergentes Des malentendus et des problèmes

5 Contrôle Interne et SSI Laudit et le contrôle interne est-ce la même chose ? Internal Control Contrôle interne Maîtriser IT Gouvernance

6 Contrôle Interne Définition COSO Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs généraux suivants: Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. protection des ressources contre les pertes, les mauvais usages et les dommages. Committee of Sponsoring Organizations of the Treadway Commission

7 Contrôle Interne Définition COSO Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs généraux suivants: Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. protection des ressources contre les pertes, les mauvais usages et les dommages. Committee of Sponsoring Organizations of the Treadway Commission

8 Contrôle Interne Définition COSO Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs généraux suivants: Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. protection des ressources contre les pertes, les mauvais usages et les dommages. Committee of Sponsoring Organizations of the Treadway Commission

9 Contrôle Interne Définition COSO Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs de lentreprise. Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel dune organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de lorganisation, des objectifs de lentreprise. réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. protection des ressources contre les pertes, les mauvais usages et les dommages.

10 Contrôle Interne Éléments clés du contrôle interne Committee of Sponsoring Organizations of the Treadway Commission Environnement de contrôle Evaluation des risques Activités de contrôle Communication Pilotage

11 Contrôle Interne et SSI Qui est réellement concerné ? Les attentes des dirigeants et actionnaires Efficacité, rentabilité Qualité de service et image de marque Maîtrise des risques

12 Contrôle Interne et SSI Qui est réellement concerné ? La direction générale La responsabilité finale du bon fonctionnement du contrôle interne relève par nature du plus haut niveau de la hiérarchie. La responsabilité finale du bon fonctionnement du contrôle interne relève par nature du plus haut niveau de la hiérarchie. Obligations réglementaires : Obligations réglementaires : LSF : Loi sur la Sécurité Financière (LSF art. 117) LSF : Loi sur la Sécurité Financière (LSF art. 117) SOX : Sarbanes Oxley (section 404-1) SOX : Sarbanes Oxley (section 404-1) LOLF : Loi Organique relative aux Lois de Finances LOLF : Loi Organique relative aux Lois de Finances Code du commerce L , L , L Code du commerce L , L , L

13 Contrôle Interne et SSI Qui est réellement concerné ? Les attentes de la DSI Efficacité et performances Réduction des coûts Sécurité

14 Contrôle Interne et SSI Qui est réellement concerné ? Tous les acteurs sont concernés, à tous les niveaux ! Tous les acteurs sont concernés, à tous les niveaux ! Les équipes opérationnelles : Les équipes opérationnelles : Responsables opérationnels de la maîtrise d'ouvrage et de la maîtrise d'œuvre, équipes projets, structures de pilotage, ingénieurs, développeurs, sous-traitants, utilisateurs … Responsables opérationnels de la maîtrise d'ouvrage et de la maîtrise d'œuvre, équipes projets, structures de pilotage, ingénieurs, développeurs, sous-traitants, utilisateurs …

15 Contrôle Interne et SSI Qui est réellement concerné ? Les attentes des utilisateurs Disponibilité Intégrité Confidentialité

16 Contrôle Interne et SSI Le rôle de laudit ? Laudit En complément du contrôle permanent exercé par les équipes opérationnelles, laudit intervient de façon ponctuelle dans le cadre du suivi et du pilotage de lefficacité du système de contrôle interne. En complément du contrôle permanent exercé par les équipes opérationnelles, laudit intervient de façon ponctuelle dans le cadre du suivi et du pilotage de lefficacité du système de contrôle interne. Normes et bonnes pratiques utilisés par les auditeurs pour auditer le dispositif de contrôle interne : Traduction française disponible: Normes et bonnes pratiques utilisés par les auditeurs pour auditer le dispositif de contrôle interne : Traduction française disponible: ISO 27001, COBIT (Control Objectives for Business & Related Technology), En anglais : En anglais : ITIL (Information Technology Infrastructure Library), CMMI (Capability Maturity Model intégration).

17 Contrôle Interne et SSI Le rapport entre contrôle interne et SSI ? Risques de contrôles inadaptés Erreurs Accidents Malveillance

18 Contrôle Interne et SSI Mise en œuvre du contrôle interne SSI Que doit-on faire exactement ?

19 Contrôle Interne et SSI Que doit-on faire exactement ? Évaluer le niveau de conformité du dispositif de contrôle existant par rapport à la réglementation, aux normes et aux usages professionnels, Identifier des facteurs de risques et des actions correctrices à entreprendre, Justifier les coûts et les budgets sécurité par une approche basée sur lanalyse des risques.

20 Contrôle Interne et SSI Comment faire ? Sappuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts fondamentaux en matière danalyse des risques des S.I, démarche dinventaire des risques : identification des propriétaires responsables des données etc. Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour lentreprise. Identifier les niveaux de responsabilité par laffectation nominative des points de contrôles et par la remonter les alertes aux instances de pilotage et aux organes de décision.

21 Contrôle Interne et SSI Comment faire ? Sappuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts fondamentaux en matière danalyse des risques des S.I, démarche dinventaire des risques : identification des propriétaires responsables des données etc. Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour lentreprise. Identifier les niveaux de responsabilité par laffectation nominative des points de contrôles et par la remonter les alertes aux instances de pilotage et aux organes de décision. Faire létat des lieux

22 Contrôle Interne et SSI Létat des lieux Évaluer le niveau de conformité par rapport aux objectifs de contrôles Identifier les plans daction de prévention, corrections, ou améliorations. Planifier les actions en fonction du risque et du coût de laction. Constituer des équipes de travail structurées en identifiant formellement les intervenants les responsable et les superviseurs. Documenter chaque point de contrôle (Pdc) pour justifier létat des lieux les plans dactions : associer à chaque Pdc et Plan dAction sa documentation : ex. politiques, documents bureautiques, procédures, bases de tests

23 Contrôle Interne et SSI Létat des lieux Élaborer et actualiser les indicateurs et les tableaux de bord selon la fréquence la plus courte possible (le temps réel serait lidéal). Mettre ces indicateurs à disposition des personnes en charge de piloter le système de gestion de la sécurité du SI, ceci en fonction de leur niveau dintervention : vue exhaustive pour D.G, D.S.I, R.S.S.I, Audit vue partielle pour les opérationnels, responsables ou intervenants, dans la mise en place des contrôles.

24 Contrôle Interne et SSI Les étapes suivantes Planifier Mettre en oeuvre Vérifier Agir !

25 Contrôle Interne et SSI Go Go ! On comprend clairement que la démarche vise à améliorer les performances globales de lentreprise. De toute façon on na pas le choix, cest obligatoire. No go ! Il y a trop de chose à faire pour se mettre en conformité. Malgré les explications on ne voit pas encore comment faire pour sorganiser et lancer la mise en œuvre. Ca va être cher, long et compliqué ; cest comme les démarches qualité, cest bien mais cest long et coûteux. Est-ce réellement rentable ?

26 Contrôle Interne et SSI Go / No go Go ! On comprend clairement que la démarche vise à améliorer les performances globales de lentreprise. De toute façon on na pas le choix, cest obligatoire. No go ! Il y a trop de chose à faire pour se mettre en conformité. Malgré les explications on ne voit pas encore comment faire pour sorganiser et lancer la mise en œuvre. Cest comme les démarches qualité, cest bien mais cest long et coûteux. Est-ce réellement rentable ?

27 Contrôle Interne et SSI Go Ce nest compliqué, la preuve par lexemple Ce nest compliqué, la preuve par lexemple

28 Démonstration DPCIA Dispositif Permanent de Contrôle interne Automatisé

29 Dispositif de Contrôle Interne Automatisé (DPCIA) Un outil de pilotage pour le RSSI Le système permet doptimiser la gestion des projets damélioration de la qualité et de la sécurité des S.I, depuis la planification jusquà la mise en œuvre, Il est ainsi possible de suivre des recommandations et des plans dactions sur plusieurs années, quels que soient les changements. Le système de documentation et de pilotage permet de minimiser les risques liés à la défection de personnes clés. Les spécificités de la démarche favorisent enfin la conduite des évaluations de la sécurité dans les meilleures conditions de coût, defficacité, dimpartialité..

30 Dispositif de Contrôle Interne Automatisé (DPCIA) Laudit dynamique permanent De la planification jusquà la vérification Collecte dinformation via lintranet (réponses au questionnaires en ligne), Documentation en ligne (plans informatique, politiques sécurité, procédures, résultats des tests du PCA …) Rapports détaillés des points forts et points faibles, actualisés en permanence. Suivi permanent des plans daction (action passées, en cours, et actions futures).

31 Dispositif de Contrôle Interne Automatisé (DPCIA) Une réelle valeur ajoutée pour lauditeur La mise à disposition préalable des objectifs de contrôles auprès des responsables opérationnels et une meilleure connaissance des activités de laudité permet doptimiser les entretiens et interviews. Les résultats de lauto-évaluation permanente constituent par ailleurs une base de connaissance précieuse pour la recherche des causes de dysfonctionnements. La démarche contribue à optimiser la rigueur et lexhaustivité des contrôles et des analyses.

32 Dispositif de Contrôle Interne Automatisé (DPCIA) Un référentiel commun pour tous Un dispositif de contrôle interne efficace et cohérent. Un suivi permanent du niveau de sécurité, Une gestion dynamique des recommandations Un suivi continu des plans d'action Une vision consolidée : il est ainsi possible de suivre et de piloter à distance le dispositif de contrôle interne, quelque soit la dimension nationale ou internationale de lorganisme.

33 Dispositif de Contrôle Interne Automatisé (DPCIA) Des questions ? Georges RAVET

34 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA."

Présentations similaires


Annonces Google