Audit, étude & analyse des systèmes d’informations Audit & étude SI - Analyse SI Organisation et conception SI

L’entreprise, c’est … Un ensemble de produits et services mis sur le marché pour réaliser, à la base un ensemble de profits pour les actionnaires et investisseurs …

un ensemble de chaînes de valeur : L’entreprise, c’est … Il faut, pour cela, un ensemble de chaînes de valeur : Étude de marché Marketing Achats Production Logistique Ventes Suivi client Management Qualité Finances RH

Mais aussi un ensemble de systèmes dont principalement L’entreprise, c’est Mais aussi un ensemble de systèmes dont principalement Système de production Système d’information Système de communication Etc.

L’entreprise, c’est Une nécessité permanente d’évoluer et de s’adapter : Au marché, Aux nouvelles techniques de productique et production par exemple, Aux nouvelles méthodes et normes, Aux changements de législation et d’environnement, Aux évolutions de la société (problématique de l’éthique par exemple) et des mentalités, Aux nouvelles technologies (et pas seulement en informatique), A l’évolution des autres entreprises (partenaires comme concurrents, clients comme fournisseurs), A la situation conjoncturelle, Etc.

Système et entreprises … Qui dit systèmes et outils, qui dit financier et RH, qui dit évolution, dit aussi : RISQUES Risques financiers Risques techniques Risques humains Risques et catastrophes naturels Risques informatifs … & Risques informatiques …

Environnement actuel L’informatique est un outil qui subit de profondes mutations et génère une problématique particulière dans l’entreprise : Évolution permanente  dégradation, Usage en back-office  front-office  stratégique outil vital de pilotage d’entreprise Fragilité générale  outil à risque : En 1996, les pertes (directes ou indirectes) liées à l’informatique étaient estimées à plus de 3 Md’€ en France; en 2000, on a estimé qu’elles avaient pratiquement triplé … La démocratisation de l’informatique puis de l’Internet ont ouvert une brèche médiatique sur le monde de l’Informatique et de ses risques

catastrophique +140 % d’impact ! Les mêmes en 2001 et 2002 Seules 40 % des entreprises déclarent avoir subi des sinistres … Les 60 % restants pêchent souvent par ignorance (absence de détection des incidents). Un « BOUM » catastrophique +140 % d’impact !

Risques et contrôle de risques Le risque informatique s'applique à 3 domaines : risque direct dû à l'informatique (pannes, vols, pertes, erreurs, etc. ) risque induit (perte d'image de marque, perte de qualité, perte de clientèle, perte financière, perte de stock, etc. ) risque généré (utilisation de l'informatique pour détourner, voler, escroquer, rançonner, etc.) Il est nécessaire de le contrôler au même titre que toutes les autres activités

Usage de connexion externe Évolution en 2001 et 2002 des comportements des entreprises et des outils en terme de connexion externe. Les plus fortes hausses depuis 1999 : Accès au Web Messagerie généralisée

Moyens de sécurité Encore très peu de sécurité de base sur les réseaux ouverts à l’extérieur

Plans et procédures de secours Encore très peu de plan de réaction et de secours en cas d’alerte ou d’incident

Réalité et perception … 87,3 % des sinistres 69% des "croyances" 9,7 % des sinistres 77% des croyances

Face à ces constats …

Réactions et actions Action sécuritaire : Sensibiliser, former, informer Mettre en œuvre des outils et procédures Action techniques et logistiques Assurer une démarche complète d’étude Assurer une démarche complète de recettes Assurer une démarche complète de suivi Assurer une démarche complète maîtrise d’œuvre Action d’analyse et de suivi Audit initial, audit régulier (interne / externe) Indicateurs et tableau de bord Organiser Schéma directeur – Plan informatique CdC – Appel d’offre – Assurance Équipe et personnel

1 2 3 4 Nécessité … Étude du système existant Étude de solutions Phases de contrôle, d’audit de recensement 1 Étude de solutions Phases d’audit et de conseil, prescription 2 Mise en œuvre Recherche, sélection, maîtrise d’œuvre et d’ouvrage 3 Maintenance Suivi, maintenance, audit régulier, évolution planifiée. 4

Étape 1 : Auditer …

Rôle premier de l'Audit L'audit a pour fonction principale le contrôle du SYSTEME étudié qu'il s'agisse de son fonctionnement ou de ses outils de fonctionnement Par là, il a pour but de réduire les écarts et risques ou au moins de les signaler et de proposer des solutions ...

Notion d'Audit Mission / Procédure consistant à : Nom Masculin : UN AUDIT Mission / Procédure consistant à : s'assurer du caractère COMPLET, SINCERE et REGULIER des Comptes d'une Entreprise s'en porter GARANT auprès des divers partenaires intéressés de l'entreprise porter (de manière plus générale) un JUGEMENT sur la qualité de sa gestion Synonyme : Procédure de Révision Par extension, la personne réalisant cette mission (Synonyme : Auditeur) En anglais : AUDIT and AUDITOR

Historique de l'Audit Historiquement, l'AUDIT est d'abord financière A l'époque romaine, les questeurs en étaient chargés. Puis Charlemagne en a généralisé l'usage par les missi dominici A la fin du XIX° siècle, elle fut rationalisée en France avec la création de l'OECCA (Ordre des Experts Comptables et Comptables Agréés ) puis de la CNCC (Compagnie Nationale des Commissaires aux Comptes ) La fonction a été officiellement créée en 1941 aux USA avec l'IIA (Institute of Internationals Auditors ), en prolongement de la Secury Act de 1935, obligeant à la ratification des comptes par un Expert Comptable En France, il faut attendre 1965 pour voir la création de son équivalent l'IFACI rattachée à l'IIA (Institut Française des Auditeurs et Contrôleurs Internes )

Intérêts initiaux de l'Audit CONTRÔLE et VALIDATION du système de Gestion Procédures et méthodes Données CONTRÔLE et VALIDATION des moyens Matériels, réseaux, logiciels Personnels CONTRÔLE et VALIDATION des financements Coûts d'investissements et d'exploitation Rentabilité et budgets CONTRÔLE et VALIDATION des évolutions Plan informatique et Schéma directeur Gestion et suivi des projets

Intérêt réel des audits L’audit est devenu au fil du temps : Audit d’efficacité Audit d’efficience Audit de management et de stratégie Les apports ont évolué et sont devenus : Conseil (au lieu d’évaluation) Valeur ajoutée Assurance (contractualisation) Qualité (Q.S.E. avec le Système de Management Environnemental (SME), basé sur les normes ISO 14000) Sécurité Informatique (dont norme ISO 17799)

L'audit Informatique Analyse exhaustive du fonctionnement d'un centre de traitement et de son environnement Débouche sur un diagnostic précisant l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise l'adéquation des résultats obtenus en regard des moyens engagés l'adéquation des moyens en regard de la législation Les méthodes d'Audit Informatiques sont définies par l'IFACI comme les autres techniques d'Audit En Anglais : COMPUTING CENTER AUDIT

Audit de sécurité Méthodes : Marion Mélisa MV3 Méhari Ebios 1.0.2 L’un des points clefs de l’audit informatique reste l’audit des réseaux et de la sécurité informatique. Pour ce faire, des méthodes, législations et normes, (utilisables dans d’autres domaines que l’audit de sécurité info) ont été créés et mises en place : Méthodes : Marion Mélisa MV3 Méhari Ebios 1.0.2 COBIT CRAMM v4 etc. Normes : BS7799 (GB) et ISO 17799 (sécurité TIC) ISO/CEI 13335 (management sécu TIC) Législation : Loi n 78-17 du 6/01/78 sur l'informatique, les fichiers, les libertés Loi n 85-660 du 3/07/85 sur la protection des logiciels Loi n 88-19 du 5/01/88 relative à la fraude informatique Projet de loi pour la confiance dans l’économie numérique (LCEN) ou loi Fontaine

Points clefs d’ISO 17799 Aspects organisationnels Aspects physiques Politique de sécurité – organisation Veille Mesures d’audit Procédures Recensement des actifs – conformité à la législation – sécurité du personnel Politique d’embauche Clauses de confidentialité, etc. Continuité d’activité Aspects logiques Contrôle d’accès Gestion des droits et mots de passe Etc. Développement et maintenance des systèmes – communication et management opérationnel Gestion des sauvegardes, des journaux, des erreurs Protection contre les codes « malicieux » Séparation des responsabilités Aspects physiques Sécurité physique et environnementale Périmètre de sécurité Contrôle d’accès physique Isolement des zones de livraisons et d’accès clients Alimentation électrique Obligation de rangement (bureau principalement) Etc.

Informatique & législation en Europe Exemple de l’Internet en Europe avec la LEN (loi sur l’économie numérique de Juin 2000) qui est transposée en France … depuis juin 2004 Les « lois de l'Internet » en Europe : Espagne : loi sur la société de l'information et les services de commerce électronique Finlande : loi sur la fourniture de services de la société de l'information Autriche : loi fédérale sur le commerce électronique Danemark : loi sur les services de la société de l'information Luxembourg : loi sur le commerce électronique avec modification des Code civil, Code du commerce, Code de procédure civil et Code pénal Italie : idem Allemagne : loi sur l'utilisation des télé-services, loi sur la protection des données personnelles, loi sur la signature électronique, rassemblées au sein d’une loi fédérale sur les services d'information et de communication France : LCEN (loi pour la confiance dans l’économie numérique)

Système d’informations Rappels systèmes : Système automatisé, Système informatique, Système d’Information, Notion d’informatique et d’information

Principe d'Activité Informatique POLITIQUE GENERALE Schéma Directeur d'Entr. POLITIQ. INFORMATIQUE Schéma Directeur Info Organisation du Service ou de l ’Activité Informatique Sécurité Méthodes Personnel Formation Budgets Base données Développement Exploitation Parc Matériel Réseau-Comm. Appels d'offre Sous-Traitance Fournisseurs Maintenance Assistance Tec.

Complexité des SI Sécurité & Sûreté Données Mémorisation RESEAUX* INTERNES Sécurité & Sûreté RESEAUX EXTERNES Système de saisie Mémorisation directe Système de sortie Restitution directe Logiciels & ERP Données Mémorisation ORGANISATION INFORMATIQUE R.H. Mobilier & Immobilier Énergie Matériel info et péri-info Formation & Doc Fournisseurs Contrats & Prestations Finances - Plans info. - SD - ... * Réseaux filaires ou non (WiFi, Bluetooth, VoIP, etc.)

Pluralité d’usage des données « Chapeaute » Décisionnel, Stratégie et Juridique Front Office Gestion Production Commerce Marketing E-comm Échanges Productique Intégré DataWH Back Office Infocentre Infogérance Outils Sécurité Un problème de + en + crucial Un outil de + en + utilisé par les entreprises

Validité d’un S.I. un SI est potentiellement valide si au minimum, les informations qu’il « contient » sont dans un cadre DICP: DISPONIBLES, c’est à dire accessibles lorsque l’on en a besoin INTEGRES, c’est à dire que la totalité des informations reste présente sans perte, modification, altération, ajout d’informations ou valeurs d’informations non prévues CONFIDENTIELLES, c’est à dire si seules les personnes disposant des droits adéquates peuvent consulter, modifier, ajouter, supprimer, diffuser des informations, ET si ces droits sont eux-mêmes placés dans un cadre DICP PERENES, c’est à dire si les 3 paramètres précédents sont valables dans le temps

UN TABLEAU DE BORD (tableau de pilotage) dU S.I. Implication pour un S.I. Indicateurs, Système d’alertes, Suivi des évolutions, Maintenance, Tests, Scénarios, Etc. UN TABLEAU DE BORD (tableau de pilotage) dU S.I. En bref

Le Système d'Information RIGUEUR des indicateurs Définition claire Précision Circulation et délais Méthodologie de saisie, calcul et agrégation FIABILITE des indicateurs durant Transmissions et Utilisation (non influence des acteurs ou de l'utilisation) dans le temps indépendant de l'erreur humaine (ou corrigeable / corrigé ) S.I UNICITE des indicateurs Conception unique Mode de saisie et remonté fiable Comparaison possible quelque soit le lieu de gestion et l'utilisateur (métrique de réf.) COHERENCE des indic... pas de redondance couverture de la totalité du SI Vision globale et « détaillable » (vue d'ensemble -> tableau de bord puis détail d'un poste à la demande)