La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Missions d’audit Formes et types

Publié parÉdouard Chartier Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Missions d’audit Formes et types"— Transcription de la présentation:

1 Missions d’audit Formes et types
SIE 2 Missions d’audit Formes et types

2 Types de missions Techniquement, une mission d’audit informatique peut toucher tous les domaines d’un SI On trouvera donc des missions orientées : Audit des logiciels Audit du Service Informatique Audit des contrats Audit de la sous-traitance Audit réseau Etc. L’un des audits les plus importants actuellement est l’audit de la sécurité informatique et de la qualité

3 Exemples de missions d’audit
1- Service informatique 2- Développement et maintenance logicielle 3- MPAQ (Méthode et plan assurance qualité) 4- Maintenance

4 1 - Service informatique
Toute entreprise informatisée (partiellement ou totalement) se trouve dans l’une ou plusieurs de ces situations  absence des services et de compétences ; absence des services mais compétences internes ; utilisation de service(s) informatique(s) interne(s). Dans ce dernier cas, les axes d’études touchent : rôle du service et des membres ; activité et relations avec les utilisateurs et décideurs ; politique informatique de la direction et stratégie associée ; budgets et finances.

5 1.2 - Rôle du service Ils existent 4 pôles qui gravitent autour du service : la direction : résoudre et anticiper les attentes, besoins et problèmes informatiques ; les utilisateurs actuels : fournir les moyens, résoudre les problèmes,former et assister ; les utilisateurs potentiels : répondre aux attentes et besoins ; les prestataires : fournir des demandes claires et réalistes, assister et fournir les moyens nécessaires. Ces 4 catégories de personnes en relation avec le service informatique, ayant des besoins différents, sont des sources de conflits et de tensions.

6 1.3 - Exemple de questionnement
Existe-t-il une définition des missions du service? Existe-t-il un organisme du service informatique et de sa position dans l’entreprise ? SI oui est-il à jour ? Quelles en sont les responsabilités et dépendances hiérarchiques connues - reconnues? Existe-t-il une définition formelle des rôles et fonctions ? Existe-t-il un organe de contrôle du service et de son activité ? Quel est son rôle exact ? Existe-t-il une (ou des) règle(s) de remplacement et d’évolution dans les rôles et fonctions ? Ce pour faire face aux cas de figures tels que : absence, départ, évolution des missions, évolution des compétences, évolution des outils et moyens, etc.

7 1.4 - Activités du service (extraits)
Génie logiciel : veille technologique, spécification, production, tests, implémentation ; Matériel : administration, investissement (recherche, sélection, proposition, achat, ...), mise en oeuvre, évolution et remplacement / suivi des performances ; Maintenance : logiciel / matériel, préventive/curative, moyens internes (outils, locaux, personnes, câblage, etc.) ; Relation avec les utilisateurs : formation (des informaticiens et des utilisateurs) recueil des expressions de besoins, recherche des besoins, etc. assistance, conseil recherches des compétences, définition des rôles utilisateurs, mise en place de correspondants ; Relation avec la direction : compte rendu et gestion du service, schéma directeur, politique informatique, politique sociale au sein du service informatique ; Relation avec les fournisseurs : recherche/sélection, contrat et cahier des charges, suivi et utilisation, gestions des conflits / légalisation ; Sécurité : données, humaine, matérielle, logicielle, locaux, maintenance, communication. Administration données, réseau, communication, serveurs, etc. Références législatives

8 2 – Développement logiciel
Exemple d’analyse du formalisme et des méthodes de développement : Cahier des charges Cahier des spécifications techniques Méthodes et outils de développement Méthodes et protocoles de tests et recettes Protocoles de maintenance, de contrôle et de suivi des logiciels Protocoles d’installation et diffusion Protocoles de formation des utilisateurs, des informations Mise en expérience Prise en compte des expressions de besoin, échanges avec les utilisateurs, demandeurs et décideurs Etc.

9 2.2 - Moyens matériels Adaptation des moyens par rapport aux contraintes du cahier des charges (performances, délai,...) ; Adaptation des moyens de développement à ceux d’exploitation ; Pérennité du matériel par rapport aux développement à effectuer (évolution matériel et ses contraintes,...) ; Contraintes imposées pour le matériel, prises en compte dans les développements ; Intégrations des : coûts, charges supportées/supportables, assurance, maintenance matérielle ; Sécurité matérielle de développement

10 2.3 - Moyens logiciels AGL, SGBD, O/S traités et supportés,
Langages (L3G,L4G,L5G) Outils spécifiques / internes, Progiciels associées à des langages de développements, Bibliothèques de développement, Outils de maquettage, Outils de prototypage, Outils de documentation. Etc. Couverture par chaque outil de l’ensemble des besoins ? Maîtrise de l’utilisabilité (utilisé, suivi, évoluant,...) ; la maintenabilité (facilité d’évolution, centre de réutilisabilité, portabilité ou adaptabilité,...) ; la lisibilité (lecture de la fonctionnalité, des dépendances, du squelette, etc.) la documentation (utilisateurs, maintenance, conception - programmation) à jour, archivée, accessible, lisible ; l’adéquation qualité, Etc.

11 3 – Assurance qualité informatique
On s’inquiète dans cette phase d’audit des points suivants : Inscription de l’informatique au PAQ et au MAQ Utilisation de méthodes et normes internes / externes ; Formation, information et documentation; Procédures de MOQ pour toute nouvelle activité, règle, version logicielle ou matérielle, etc.

12 3.2 – Exemples de questionnement
Existe-t-il des méthodes ? Pour quels acteurs ? Pour quelle couverture de l’activité informatique (du cycle de vie système/logiciel) ? Existe-t-il un nombre réduit de méthodes et outils employés (UML, OMT, M/2, POO, etc.) ? Couverture avec recouvrement : les méthodes recouvrent plusieurs secteurs et / ou disposent de points de jonctions et d’échanges. Existe-t-il des documents de synthèse d’utilisation de ces méthodes ? Existe-t-il des outils informatiques ? (facilité/rapidité de réalisation, attrait, cadre obligatoire) Existe-t-il des formations (sur les méthodes) ? Utilise-t-on des méthodes connues et utilisées ? Dans une entreprise, si des méthodes sont utilisées, on peut avoir : obligation d’usage (2 objectifs : certitude de forme et certitude de fond) ; simplification la méthode en utilisant des “recettes” (parfois maison) : éléments de base de communication sans “blocage” de personnel (souvent pour l’extérieur); minimum vital d’étude pour “asseoir” un travail.

13 4. Maintenance DEUX aspects de la maintenance : technique et organisationnel. Sur le plan technique, on distinguera : Les niveaux : préventif, curatif, Les tranches : matériel, logiciel, communications, sécurité, données. Sur le plan organisationnel  : remède aux incidents et pannes, mise à niveau et « conservation » à niveau, contrôle d’utilisation, de conformité, ... optimisation, fiabilisation, suivi des changements et parade aux incidents (actions de prévention) délai d’intervention et de résolution des problèmes mise en expérience et partage d’expérience

14 4.2 – Exemple de questionnement
Possède-t-on un descriptif complet des éléments à maintenir (liste avec information, rôle,...) et leur état des lieux ? Existe-t-il et utilise-t-on des règles de maintenance ? Quels sont les documents de référence ? Comment sont-ils utilisés ? Corrigés ? Diffusés ? Etc. Existe-t-il une veille technique et technologique ? Existe-t-il des indicateurs de maintenance préventive ? Des plannings de cette maintenance ? Etc. Gère-t-on les contrats externes ? Les coûts externes et internes ? Le service et le domaine maintenance sont-ils inclus dans le PAQ ? Comment et par qui ? Quel service audite cela ? Etc.

15 Cas particulier Audit de la sécurité informatique :
Présentation de la notion de sécurité informatique et des éléments associés

16 Synthèse Revoir le 1° cours d’introduction
Un constat en terme de sécurité informatique est souvent fait ainsi : Les pertes informatiques sont le plus souvent pensées en terme de « Pertes matérielles, de plus en plus souvent en Pertes de données, etc. », c’est à dire pertes directes Mais on omet trop souvent les pertes indirectes qui en découlent … les pertes de trésorerie, de CA, d’affaires et contrats, les conséquences pénales et juridiques (par exemple dans un cas de fiducie de données), etc.

17 Un état d’esprit La sécurité n’est pas une évidence; il faut étudier et penser aux risques possibles : Besoin de sauvegardes, Risque d’intrusions, de vols, ou de diffusions, Risque naturels, Etc. Et les pondérer : Tout le monde n’encourt pas les mêmes risques; Les risques varient en fonction des périodes, de la configuration du système, du personnel, de la zone géographique, du métier, etc.

18 Une réalité des pertes Matérielles DIRECTES Immatérielles Frais suppl.
Coûts de remplacement, de réparation, d’expertise, de déblaiement ou d’enlèvement, etc. des éléments matériels DIRECTES Immatérielles Coûts de remplacement, de réparation, d’expertise, de déblaiement ou d’enlèvement, etc. des éléments immatériels Frais suppl. Mesures conservatoires permettant la remise en état du système en performances et fonctionnalités nécessaires, … Pertes biens Pertes de biens physiques (informatiques ou non), de fonds, savoir-faire, informations stratégiques, patrimoine, etc. INDIRECTES Pertes expl. Pertes de marché, de marges, de revenus, de clients, d’image de marque, de contrats, etc. Resp. Civ. RC suite aux préjudices causés à des tiers dans un cadre juridique (enceinte géographique, juridique, technique,…) Autres Qualitatives, réglementaires, normatives, déontologiques, juridiques, etc.

19 Risques Risques A E M Conséquences DDP
Typologie définie au sein des méthodes MEHARI et MARION développées par le CLUSIF (Club de la sécurité informatique français) Risques A E M Accidents Erreurs Malveillances Conséquences DDP Détériorations, Dégâts, Pertes.

20 Sécurité et sûreté 2 concepts liés au même titre que sécurité et qualité Les informations (éléments essentiels du SI) se doivent d’être en mode DICP D comme disponibles I comme intègres C comme confidentielles P comme pérennes P comme prouvées La méthode d’audit COBIT ajoute des critères qualité et fiduciaire : efficacité efficience conformité fiabilité

21 Méthodes sécurités (quelques …)
Source : étude comparative menée par le secrétariat du conseil du Trésor du Québec, en novembre 2001 Nota : depuis Melisa (M. Version 3) n’est plus maintenue ni diffusée

22 Normes sécurité Pour s’assurer qu’un produit ou système fournit effectivement toutes les fonctions de sécurité nécessaires, il doit être soumis à une évaluation formelle basée sur des normes internationales rigoureuses et objectives définissant la méthodologie et les critères. ITSEC/ITSEM (Information technology security evaluation criteria / methodology) Critères Communs/ CEM (Criteria Evaluation Methodology) Reconnaissance mutuelle des certificats : accord européen France, Allemagne, UK … au total 13 pays européens (tous niveaux) 13 pays Européens (tous niveaux) Reconnaissance mutuelle des certificats : accord mondial (aucun) 13 pays Européens + USA, Canada, Australie, Nvlle Zélande (niveaux EAL 1 à 4 uniquement) Situation à ce jour ITSEC : Juin 1991 (bibliothèque de remise à jour annuelle) ITSEM : Juin 1995 CC Version 1.0 : 1996 CC Version 2.0 : 1998 CC Version 2.1(ISO15408) : 1999 CEM Version 1.0 : 01/2000 Evolutions prévues Pas d’évolution au niveau du concept Sera maintenu par le centre français de certification (SCSSI , Service Central de Sécurité des Systèmes d’Information)

23 Norme ISO 17799 Aspects organisationnels Aspects logiques
Politique de sécurité – organisation Veille Mesures d’audit Procédures Recensement des actifs – conformité à la législation – sécurité du personnel Politique d’embauche Clauses de confidentialité, etc. Continuité d’activité Aspects logiques Contrôle d’accès Gestion des droits et mots de passe Etc. Développement et maintenance des systèmes – communication et management opérationnel Gestion des sauvegardes, des journaux, des erreurs Protection contre les codes « malicieux » Séparation des responsabilités Aspects physiques Sécurité physique et environnementale Périmètre de sécurité Contrôle d’accès physique Isolement des zones de livraisons et d’accès clients Alimentation électrique Obligation de rangement (bureau principalement) Etc.

24 FIN

Télécharger ppt "Missions d’audit Formes et types"

Présentations similaires

FICHE DE DESCRIPTION D’EMPLOI

FICHE DE DESCRIPTION D’EMPLOI
Analyse et Programmation Orientées Objets

Analyse et Programmation Orientées Objets
L'installation et la diffusion 1 LInstallation et la Diffusion.

L'installation et la diffusion 1 LInstallation et la Diffusion.
La Gestion de la Configuration

La Gestion de la Configuration
Les Evolutions et la Maintenance

Les Evolutions et la Maintenance
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Addis-Abeba 21-25 novembre 2005 La Coordination du Système Statistique Atelier régional sur « Organisation et gestion des systèmes statistiques nationaux.

Addis-Abeba novembre 2005 La Coordination du Système Statistique Atelier régional sur « Organisation et gestion des systèmes statistiques nationaux.
Sommaire Introduction Les politiques de sécurité

Sommaire Introduction Les politiques de sécurité
LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½

LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
La politique de Sécurité

La politique de Sécurité
Journées régionales dIle-de-France 26 novembre 2007 Dominique PELJAK Quel mode de pilotage pour lhôpital public ?

Journées régionales dIle-de-France 26 novembre 2007 Dominique PELJAK Quel mode de pilotage pour lhôpital public ?
Dossier Philippe FIRMIN LES NORMES Monsieur W. ANDRZEJAK Juin 2007.

Dossier Philippe FIRMIN LES NORMES Monsieur W. ANDRZEJAK Juin 2007.
Les Ateliers de Génie Logiciel

Les Ateliers de Génie Logiciel
PARTENAIRE SECURITE - 2 Avenue Aristide Briand 92220 Bagneux Tél : 01 58 07 01 01 Fax : 01 58 07 01 00 Lexternalisation de lopérationnel de votre Sécurité

PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
Control des objectifs des technologies de l’information COBIT

Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne

Gestion des risques Contrôle Interne
Le diagnostic de vulnérabilité : un outil mobilisable

Le diagnostic de vulnérabilité : un outil mobilisable
La composante humaine du système d'information (Réfs : chap 8.1 p 231)

La composante humaine du système d'information (Réfs : chap 8.1 p 231)
Organigramme des services de l’Ecole

Organigramme des services de l’Ecole

Présentations similaires

Annonces Google