Contrôle Interne et Sécurité du SI 3/26/2017 3:56 PM Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI 3/26/2017 3:56 PM Contrôle Interne et SSI Objectifs de la présentation Démontrer que : Le contrôle interne et la Sécurité des Systèmes d’Information n’est pas le domaine réservé des spécialistes. La mise en œuvre des normes et des bonnes pratiques en matière de sécurité des systèmes d’information permet d’améliorer les performances de tous. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI 3/26/2017 3:56 PM Contrôle Interne et SSI Des questions Le contrôle interne c’est quoi? L’audit et le contrôle interne est-ce la même chose? Qui est réellement concerné, qui est responsable? Si ce n’est pas l’affaire des spécialistes, comment s’organiser, que doit-on faire exactement? Une réponse Ce n’est pas compliqué, la preuve par l’exemple : démonstration © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Le contrôle interne c’est quoi ? 3/26/2017 3:56 PM Contrôle Interne et SSI Le contrôle interne c’est quoi ? Un problème de définition Des malentendus et des problèmes Des attentes divergentes © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Contrôle Interne et SSI L’audit et le contrôle interne est-ce la même chose ? Internal Control Maîtriser Contrôle interne IT Gouvernance © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Committee of Sponsoring Organizations of the Treadway Commission Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Committee of Sponsoring Organizations of the Treadway Commission Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Committee of Sponsoring Organizations of the Treadway Commission Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Définition COSO 3/26/2017 3:56 PM Contrôle Interne Définition COSO Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de l’organisation, des objectifs de l’entreprise. réalisation et optimisation des opérations (optimisation des ressources de l'entreprise, fiabilité des informations financières) respect des obligations de rendre compte; conformité aux lois et réglementations en vigueur; protection des ressources contre les pertes, les mauvais usages et les dommages. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne Éléments clés du contrôle interne 3/26/2017 3:56 PM Contrôle Interne Éléments clés du contrôle interne Committee of Sponsoring Organizations of the Treadway Commission Environnement de contrôle Evaluation des risques Activités de contrôle Communication Pilotage © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Les attentes des dirigeants et actionnaires Efficacité, rentabilité Qualité de service et image de marque Maîtrise des risques © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? La direction générale La responsabilité finale du bon fonctionnement du contrôle interne relève par nature du plus haut niveau de la hiérarchie. Obligations réglementaires : LSF : Loi sur la Sécurité Financière (LSF art. 117) SOX : Sarbanes Oxley (section 404-1) LOLF : Loi Organique relative aux Lois de Finances Code du commerce L.225-37, L.225-68, L.225-235 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Les attentes de la DSI Efficacité et performances Préoccupation première du DSI : Sécurité La maîtrise des risques entraîne la réduction des pertes et des coûts et contribue à améliorer l’efficacité et les performances. Réduction des coûts Sécurité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Tous les acteurs sont concernés, à tous les niveaux ! Les équipes opérationnelles : Responsables opérationnels de la maîtrise d'ouvrage et de la maîtrise d'œuvre, équipes projets, structures de pilotage, ingénieurs, développeurs, sous-traitants, utilisateurs … © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Qui est réellement concerné ? 3/26/2017 3:56 PM Contrôle Interne et SSI Qui est réellement concerné ? Les attentes des utilisateurs Disponibilité Intégrité Confidentialité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Le rôle de l’audit ? 3/26/2017 3:56 PM Contrôle Interne et SSI Le rôle de l’audit ? L’audit En complément du contrôle permanent exercé par les équipes opérationnelles, l’audit intervient de façon ponctuelle dans le cadre du suivi et du pilotage de l’efficacité du système de contrôle interne. Normes et bonnes pratiques utilisés par les auditeurs pour auditer le dispositif de contrôle interne : Traduction française disponible: ISO 27001, 17799 COBIT (Control Objectives for Business & Related Technology), En anglais : ITIL (Information Technology Infrastructure Library), CMMI (Capability Maturity Model intégration).   © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Le rapport entre contrôle interne et SSI ? 3/26/2017 3:56 PM Contrôle Interne et SSI Le rapport entre contrôle interne et SSI ? Risques de contrôles inadaptés Malveillance Erreurs Accidents © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Mise en œuvre du contrôle interne SSI 3/26/2017 3:56 PM Contrôle Interne et SSI Mise en œuvre du contrôle interne SSI Que doit-on faire exactement ? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Que doit-on faire exactement ? 3/26/2017 3:56 PM Contrôle Interne et SSI Que doit-on faire exactement ? Évaluer le niveau de conformité du dispositif de contrôle existant par rapport à la réglementation, aux normes et aux usages professionnels, Identifier des facteurs de risques et des actions correctrices à entreprendre, Justifier les coûts et les budgets sécurité par une approche basée sur l’analyse des risques. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Comment faire ? 3/26/2017 3:56 PM Contrôle Interne et SSI Comment faire ? S’appuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts fondamentaux en matière d’analyse des risques des S.I, démarche d’inventaire des risques : identification des propriétaires responsables des données etc. Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour l’entreprise. Identifier les niveaux de responsabilité par l’affectation nominative des points de contrôles et par la remonter les alertes aux instances de pilotage et aux organes de décision. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Comment faire ? 3/26/2017 3:56 PM Contrôle Interne et SSI Comment faire ? S’appuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts fondamentaux en matière d’analyse des risques des S.I, démarche d’inventaire des risques : identification des propriétaires responsables des données etc. Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour l’entreprise. Identifier les niveaux de responsabilité par l’affectation nominative des points de contrôles et par la remonter les alertes aux instances de pilotage et aux organes de décision. Faire l’état des lieux © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI L’état des lieux 3/26/2017 3:56 PM Contrôle Interne et SSI L’état des lieux Évaluer le niveau de conformité par rapport aux objectifs de contrôles Identifier les plans d’action de prévention, corrections, ou améliorations. Planifier les actions en fonction du risque et du coût de l’action. Constituer des équipes de travail structurées en identifiant formellement les intervenants les responsable et les superviseurs. Documenter chaque point de contrôle (Pdc) pour justifier l’état des lieux les plans d’actions : associer à chaque Pdc et Plan d’Action sa documentation : ex. politiques, documents bureautiques , procédures, bases de tests © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI L’état des lieux 3/26/2017 3:56 PM Contrôle Interne et SSI L’état des lieux Élaborer et actualiser les indicateurs et les tableaux de bord selon la fréquence la plus courte possible (le temps réel serait l’idéal). Mettre ces indicateurs à disposition des personnes en charge de piloter le système de gestion de la sécurité du SI, ceci en fonction de leur niveau d’intervention : vue exhaustive pour D.G, D.S.I, R.S.S.I, Audit vue partielle pour les opérationnels, responsables ou intervenants, dans la mise en place des contrôles. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Les étapes suivantes 3/26/2017 3:56 PM Contrôle Interne et SSI Les étapes suivantes Planifier Mettre en oeuvre Vérifier Agir ! © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Go 3/26/2017 3:56 PM Contrôle Interne et SSI Go Go ! On comprend clairement que la démarche vise à améliorer les performances globales de l’entreprise . De toute façon on n’a pas le choix, c’est obligatoire. No go ! Il y a trop de chose à faire pour se mettre en conformité. Malgré les explications on ne voit pas encore comment faire pour s’organiser et lancer la mise en œuvre. Ca va être cher, long et compliqué ; c’est comme les démarches qualité, c’est bien mais c’est long et coûteux. Est-ce réellement rentable ? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Go / No go 3/26/2017 3:56 PM Contrôle Interne et SSI Go / No go Go ! On comprend clairement que la démarche vise à améliorer les performances globales de l’entreprise . De toute façon on n’a pas le choix, c’est obligatoire. No go ! Il y a trop de chose à faire pour se mettre en conformité. Malgré les explications on ne voit pas encore comment faire pour s’organiser et lancer la mise en œuvre. C’est comme les démarches qualité, c’est bien mais c’est long et coûteux. Est-ce réellement rentable ? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle Interne et SSI Go 3/26/2017 3:56 PM Contrôle Interne et SSI Go Ce n’est compliqué, la preuve par l’exemple © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

DPCIA Dispositif Permanent de Contrôle interne Automatisé 3/26/2017 3:56 PM Démonstration DPCIA Dispositif Permanent de Contrôle interne Automatisé © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Un outil de pilotage pour le RSSI Le système permet d’optimiser la gestion des projets d’amélioration de la qualité et de la sécurité des S.I, depuis la planification jusqu’à la mise en œuvre, Il est ainsi possible de suivre des recommandations et des plans d’actions sur plusieurs années, quels que soient les changements. Le système de documentation et de pilotage permet de minimiser les risques liés à la défection de personnes clés. Les spécificités de la démarche favorisent enfin la conduite des évaluations de la sécurité dans les meilleures conditions de coût, d’efficacité, d’impartialité. . © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

De la planification jusqu’à la vérification 3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) L’audit dynamique permanent De la planification jusqu’à la vérification Collecte d’information via l’intranet (réponses au questionnaires en ligne), Documentation en ligne (plans informatique, politiques sécurité, procédures, résultats des tests du PCA …) Rapports détaillés des points forts et points faibles, actualisés en permanence. Suivi permanent des plans d’action (action passées, en cours, et actions futures). © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Une réelle valeur ajoutée pour l’auditeur La mise à disposition préalable des objectifs de contrôles auprès des responsables opérationnels et une meilleure connaissance des activités de l’audité permet d’optimiser les entretiens et interviews. Les résultats de l’auto-évaluation permanente constituent par ailleurs une base de connaissance précieuse pour la recherche des causes de dysfonctionnements. La démarche contribue à optimiser la rigueur et l’exhaustivité des contrôles et des analyses. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Un dispositif de contrôle interne efficace et cohérent. 3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Un référentiel commun pour tous Un dispositif de contrôle interne efficace et cohérent. Un suivi permanent du niveau de sécurité, Une gestion dynamique des recommandations Un suivi continu des plans d'action Une vision consolidée : il est ainsi possible de suivre et de piloter à distance le dispositif de contrôle interne, quelque soit la dimension nationale ou internationale de l’organisme. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Dispositif de Contrôle Interne Automatisé (DPCIA) Des questions ? 3/26/2017 3:56 PM Dispositif de Contrôle Interne Automatisé (DPCIA) Des questions ? Georges RAVET georges.ravet@dpcia.com http://www.dpcia.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/26/2017 3:56 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.