Contrôle Interne et Sécurité du SI

Slides:



Advertisements
Présentations similaires
Surveiller la Réglementation Manager l’organisation Auditer
Advertisements

FICHE DE DESCRIPTION D’EMPLOI
SUIVI ET ÉVALUATION AU FEM
Amélioration de la qualité des forfaits
Des outils pour l’amélioration de la sécurité du patient
Direction générale de la santé Mo VII-5-1 Des résultats évalués : vers un tableau de bord de la santé en France Lévaluation.
Le point de vue de l’auditeur
Appréciation du contrôle interne
Evaluation.
définition L’évaluation :
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
Le profil ingénieur type de l'option QSF sappuie sur la définition des ingénieurs EMN comme des professionnels de la conduite de projets technologiques.
Master MLPS : le profil 5 décembre 2007
DU RÉFÉRENTIEL À L’ÉPREUVE DE CONDUITE ET
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié
Le COBIT : L’état de l’Art Socle de la gouvernance des SI
Bernard HERBAIN IUP3 GEII AMIENS
D ISO 9000 Étapes pour l’implantation d’un système qualité dans une organisation.
K. D. TSATSU, B. DAO, K. LABARE ITRA/Direction scientifique
Le management de l’entreprise
PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
ABAF 8 Novembre 2007 Institut de lAudit Interne. ABAF 8 Novembre 2007 Internal Control and Audit Where are we today and where are we going tomomorow.
Journée Technique Régionale PSSI
Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne
Les exigences de la norme ISO 14001
EFQM 2009: Axes de travail 500 POINTS 500 POINTS Gestion Satisfaction
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Sésame Conseils Bon sens et compétences
Etapes vers la Certification - Préparation de groupe –
De la RSE au SMI Les référentiels du SMI Le processus de certification
Vers une gouvernance efficace dans la communauté sportive nationale du Canada Juin 2011.
par : Rachid NAFTI, Consultant Environnementaliste
Guide de gestion environnementale dans l’entreprise industrielle
Cahier des charges des Connaissances nécessaires au salarié d’une entreprise de travaux agricoles et ruraux en matière de Qualité-Sécurité et Environnement.
Gouvernance du Système d’Information
Place de l’audit dans la démarche qualité en hygiène hospitalière
SEMINAIRE DE CONTACT novembre 2008 Outils de gestion de projet.
Certification OHSAS Version 2007
Généralité 1/2 Après avoir longtemps été cantonné au domaine financier, le terme « audit » s'est maintenant largement diffusé et concerne notamment les.
Méthode Audit Système Informatique Cobit
La démarche d’audit La démarche d’audit s’articule toujours en Phases : La première phase permet de planifier l’audit à partir de la définition du périmètre.
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
Le management de l'IVVQ Processus techniques IVVQ
De la RSE au SMI Les référentiels du SMI Le processus de Certification
PRESENTATION SYSTEME QUALITE IM Projet
La norme international OHSAS et la directive MSST
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Gestion du risque – Influences externes Piya Sen Directrice, projets spéciaux (Services des finances) 20 juin 2006 Congrès annuel ACPAU 2006.
Initiation à la conception des systèmes d'informations
Type de mission Les missions d'audit se caractérisent :
Management de la qualité
Hygiène Sécurité Conditions de Travail AVSC Nord de France
L’Amélioration continue
Principes et définitions
Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d'information Partie 3: ANNNEXES Module Audit Emanuel Campos - version.
ISO 31000: Vers un management global des risques
PERFORMANCE ET GESTION PATRIMONIALE
MISE EN PLACE D’UN SYSTEME QUALITE
Cabinet d’experts en gestion de projets
Système de Management Intégré
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Assemblée générale annuelle Conseil d’administration Directeur général Directeur adjoint Intervenants Responsable du développement Coordonnatrice clinique.
Coopération Technique Belge Audit interne à la CTB : présentation.
CONTENU DE L ’ISO Définition métrologie.
AUDIT Expliquer le contexte d’audit et de contrôle interne à la CTB TRAINING LAF 2009.
Transcription de la présentation:

Contrôle Interne et Sécurité du SI 3/26/2017 3:56 PM Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI 3/26/2017 3:56 PM Contrôle Interne et SSI Objectifs de la présentation Démontrer que : Le contrôle interne et la Sécurité des Systèmes d’Information n’est pas le domaine réservé des spécialistes. La mise en œuvre des normes et des bonnes pratiques en matière de sécurité des systèmes d’information permet d’améliorer les performances de tous. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI 3/26/2017 3:56 PM Contrôle Interne et SSI Des questions Le contrôle interne c’est quoi? L’audit et le contrôle interne est-ce la même chose? Qui est réellement concerné, qui est responsable? Si ce n’est pas l’affaire des spécialistes, comment s’organiser, que doit-on faire exactement? Une réponse Ce n’est pas compliqué, la preuve par l’exemple : démonstration © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Le contrôle interne c’est quoi ? 3/26/2017 3:56 PM Contrôle Interne et SSI Le contrôle interne c’est quoi ? Un problème de définition Des malentendus et des problèmes Des attentes divergentes © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Contrôle Interne et SSI L’audit et le contrôle interne est-ce la même chose ? Internal Control Maîtriser Contrôle interne IT Gouvernance © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Committee of Sponsoring Organizations of the Treadway Commission Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Committee of Sponsoring Organizations of the Treadway Commission Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Committee of Sponsoring Organizations of the Treadway Commission Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs de l’entreprise. réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Éléments clés du contrôle interne 3/26/2017 3:56 PM Contrôle Interne Éléments clés du contrôle interne Committee of Sponsoring Organizations of the Treadway Commission Environnement de contrôle Evaluation des risques Activités de contrôle Communication Pilotage © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Les attentes des dirigeants et actionnaires Efficacité, rentabilité Qualité de service et image de marque Maîtrise des risques © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? La direction générale La responsabilité finale du bon fonctionnement du contrôle interne relève par nature du plus haut niveau de la hiérarchie. Obligations réglementaires : LSF : Loi sur la Sécurité Financière (LSF art. 117) SOX : Sarbanes Oxley (section 404-1) LOLF : Loi Organique relative aux Lois de Finances Code du commerce L.225-37, L.225-68, L.225-235 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Les attentes de la DSI Efficacité et performances Préoccupation première du DSI : Sécurité La maîtrise des risques entraîne la réduction des pertes et des coûts et contribue à améliorer l’efficacité et les performances. Réduction des coûts Sécurité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Tous les acteurs sont concernés, à tous les niveaux ! Les équipes opérationnelles : Responsables opérationnels de la maîtrise d'ouvrage et de la maîtrise d'œuvre, équipes projets, structures de pilotage, ingénieurs, développeurs, sous-traitants, utilisateurs … © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Les attentes des utilisateurs Disponibilité Intégrité Confidentialité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Le rôle de l’audit ? 3/26/2017 3:56 PM Contrôle Interne et SSI Le rôle de l’audit ? L’audit En complément du contrôle permanent exercé par les équipes opérationnelles, l’audit intervient de façon ponctuelle dans le cadre du suivi et du pilotage de l’efficacité du système de contrôle interne. Normes et bonnes pratiques utilisés par les auditeurs pour auditer le dispositif de contrôle interne : Traduction française disponible: ISO 27001, 17799 COBIT (Control Objectives for Business & Related Technology), En anglais : ITIL (Information Technology Infrastructure Library), CMMI (Capability Maturity Model intégration).   © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Le rapport entre contrôle interne et SSI ? 3/26/2017 3:56 PM Contrôle Interne et SSI Le rapport entre contrôle interne et SSI ? Risques de contrôles inadaptés Malveillance Erreurs Accidents © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Mise en œuvre du contrôle interne SSI 3/26/2017 3:56 PM Contrôle Interne et SSI Mise en œuvre du contrôle interne SSI Que doit-on faire exactement ? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Que doit-on faire exactement ? 3/26/2017 3:56 PM Contrôle Interne et SSI Que doit-on faire exactement ? Évaluer le niveau de conformité du dispositif de contrôle existant par rapport à la réglementation, aux normes et aux usages professionnels, Identifier des facteurs de risques et des actions correctrices à entreprendre, Justifier les coûts et les budgets sécurité par une approche basée sur l’analyse des risques. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Comment faire ? 3/26/2017 3:56 PM Contrôle Interne et SSI Comment faire ? S’appuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts fondamentaux en matière d’analyse des risques des S.I, démarche d’inventaire des risques : identification des propriétaires responsables des données etc. Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour l’entreprise. Identifier les niveaux de responsabilité par l’affectation nominative des points de contrôles et par la remonter les alertes aux instances de pilotage et aux organes de décision. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Comment faire ? 3/26/2017 3:56 PM Contrôle Interne et SSI Comment faire ? S’appuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts fondamentaux en matière d’analyse des risques des S.I, démarche d’inventaire des risques : identification des propriétaires responsables des données etc. Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour l’entreprise. Identifier les niveaux de responsabilité par l’affectation nominative des points de contrôles et par la remonter les alertes aux instances de pilotage et aux organes de décision. Faire l’état des lieux © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI L’état des lieux 3/26/2017 3:56 PM Contrôle Interne et SSI L’état des lieux Évaluer le niveau de conformité par rapport aux objectifs de contrôles Identifier les plans d’action de prévention, corrections, ou améliorations. Planifier les actions en fonction du risque et du coût de l’action. Constituer des équipes de travail structurées en identifiant formellement les intervenants les responsable et les superviseurs. Documenter chaque point de contrôle (Pdc) pour justifier l’état des lieux les plans d’actions : associer à chaque Pdc et Plan d’Action sa documentation : ex. politiques, documents bureautiques , procédures, bases de tests © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI L’état des lieux 3/26/2017 3:56 PM Contrôle Interne et SSI L’état des lieux Élaborer et actualiser les indicateurs et les tableaux de bord selon la fréquence la plus courte possible (le temps réel serait l’idéal). Mettre ces indicateurs à disposition des personnes en charge de piloter le système de gestion de la sécurité du SI, ceci en fonction de leur niveau d’intervention : vue exhaustive pour D.G, D.S.I, R.S.S.I, Audit vue partielle pour les opérationnels, responsables ou intervenants, dans la mise en place des contrôles. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Les étapes suivantes 3/26/2017 3:56 PM Contrôle Interne et SSI Les étapes suivantes Planifier Mettre en oeuvre Vérifier Agir ! © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Go 3/26/2017 3:56 PM Contrôle Interne et SSI Go Go ! On comprend clairement que la démarche vise à améliorer les performances globales de l’entreprise . De toute façon on n’a pas le choix, c’est obligatoire. No go ! Il y a trop de chose à faire pour se mettre en conformité. Malgré les explications on ne voit pas encore comment faire pour s’organiser et lancer la mise en œuvre. Ca va être cher, long et compliqué ; c’est comme les démarches qualité, c’est bien mais c’est long et coûteux. Est-ce réellement rentable ? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Go / No go 3/26/2017 3:56 PM Contrôle Interne et SSI Go / No go Go ! On comprend clairement que la démarche vise à améliorer les performances globales de l’entreprise . De toute façon on n’a pas le choix, c’est obligatoire. No go ! Il y a trop de chose à faire pour se mettre en conformité. Malgré les explications on ne voit pas encore comment faire pour s’organiser et lancer la mise en œuvre. C’est comme les démarches qualité, c’est bien mais c’est long et coûteux. Est-ce réellement rentable ? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Go 3/26/2017 3:56 PM Contrôle Interne et SSI Go Ce n’est compliqué, la preuve par l’exemple © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

DPCIA Dispositif Permanent de Contrôle interne Automatisé 3/26/2017 3:56 PM Démonstration DPCIA Dispositif Permanent de Contrôle interne Automatisé © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Un outil de pilotage pour le RSSI Le système permet d’optimiser la gestion des projets d’amélioration de la qualité et de la sécurité des S.I, depuis la planification jusqu’à la mise en œuvre, Il est ainsi possible de suivre des recommandations et des plans d’actions sur plusieurs années, quels que soient les changements. Le système de documentation et de pilotage permet de minimiser les risques liés à la défection de personnes clés. Les spécificités de la démarche favorisent enfin la conduite des évaluations de la sécurité dans les meilleures conditions de coût, d’efficacité, d’impartialité. . © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

De la planification jusqu’à la vérification 3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) L’audit dynamique permanent De la planification jusqu’à la vérification Collecte d’information via l’intranet (réponses au questionnaires en ligne), Documentation en ligne (plans informatique, politiques sécurité, procédures, résultats des tests du PCA …) Rapports détaillés des points forts et points faibles, actualisés en permanence. Suivi permanent des plans d’action (action passées, en cours, et actions futures). © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Une réelle valeur ajoutée pour l’auditeur La mise à disposition préalable des objectifs de contrôles auprès des responsables opérationnels et une meilleure connaissance des activités de l’audité permet d’optimiser les entretiens et interviews. Les résultats de l’auto-évaluation permanente constituent par ailleurs une base de connaissance précieuse pour la recherche des causes de dysfonctionnements. La démarche contribue à optimiser la rigueur et l’exhaustivité des contrôles et des analyses. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Un dispositif de contrôle interne efficace et cohérent. 3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Un référentiel commun pour tous Un dispositif de contrôle interne efficace et cohérent. Un suivi permanent du niveau de sécurité, Une gestion dynamique des recommandations Un suivi continu des plans d'action Une vision consolidée : il est ainsi possible de suivre et de piloter à distance le dispositif de contrôle interne, quelque soit la dimension nationale ou internationale de l’organisme. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Dispositif de Contrôle Interne Automatisé (DPCIA) Des questions ? 3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Des questions ? Georges RAVET georges.ravet@dpcia.com http://www.dpcia.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/26/2017 3:56 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.