Audit, étude & analyse des systèmes d’informations
-
Upload
santiago-martin -
Category
Documents
-
view
51 -
download
0
description
Transcript of Audit, étude & analyse des systèmes d’informations
Lic
en
ce L
3 -
SIE
2 –
An
né
e 2
00
5
SIE 2
Séance 2
Audit, étude & analyseAudit, étude & analysedes systèmes d’informationsdes systèmes d’informations
1. Niveaux et acteurs
2. Missions (structuration et organisation)
SIE
2 -
Séa
nce
2
AuditeursAuditeurs
Acteurs
Internes et Externes
Rôles et fonctions
Missions
Obligations
Capacités
SIE
2 -
Séa
nce
2
Audit Interne et ExterneAudit Interne et ExterneAudit INTERNE
demandé par la direction ou un responsable de service, de domaine, d'agence, ....
permet un suivi régulier des indicateurs et des procédures, méthodes
réalisé par un service de Contrôle Interne
activité régulière basée sur un audit une mise en place
d'indicateurs de contrôle un contrôle régulier
personnel placé pour 3 à 5 ans (on évite de rester au delà)
Audit EXTERNE
demandé par un CA, un syndicat, un groupe d'actionnaire, un législateur
permet une étude ponctuelle et poussée de la globalité d'un domaine ou d'une entreprise
réalisée par un cabinet extérieur (consultants)
activité basée sur• un audit critique
• des avis et conseils
auditeur ne devant pas aller au delà d'un travail supérieur à 1 ou 2 ans, au delà la fonction se périme au profit du conseil pur
SIE
2 -
Séa
nce
2
Acteurs de la fonction d'AuditActeurs de la fonction d'AuditOn considère 7 grands acteurs de la fonction d'audit
L'organisateur et le responsable prospective
Le responsable de sécurité et celui de la sécurité informatique
Le contrôleur de Gestion
L'auditeur interne
Le réviseur comptable (EC et CC)
qui est indépendant
Le consultant (cabinet d’audit
ou indépendant)
Chacun dispose de moyens et
domaines de compétences propres
SIE
2 -
Séa
nce
2
Responsable sécuritéResponsable sécuritéRattaché à la DT
Domaine de compétencesSécurité physique des systèmes, biens et patrimoine, et/ou des personnes
Rôle :contrôle et inspection des sites (accès, utilisation, procédures)
recherche des risques, préparation des préventions et parades
vérification des applications de normes et de la législation, du règlement intérieur
gestion du personnel de sécurité
SIE
2 -
Séa
nce
2
Responsable sécurité informatiqueResponsable sécurité informatiqueR.S.S.I. ou D.S.S.I.
Rattaché à la DT et/ou la DSI
Domaine de compétences
Sécurité physique et logiciel des systèmes d’informations, (matériels, données, logiciels, personnels, accès, etc.)
Rôle :
contrôle et inspection des sites (accès, utilisation, procédures)
recherche des risques, préparation des préventions et parades
vérification des applications de normes et de la législation, du règlement intérieur
gestion du personnel informatique
SIE
2 -
Séa
nce
2
Auditeur interneAuditeur interneRattaché à la DG et DFC
Domaine de compétences :
Contrôle technique, commercial et comptable
Contrôle de sécurité
Rôle
Intervient sur planning ou sur ordre de mission (LM)
analyse (photographie) un service, une action, à un instant donné
Apprécie l'état du contrôle interne ou l'effectue
réalise un rapport avec constats et recommandations
SIE
2 -
Séa
nce
2
Consultant / Auditeur externeConsultant / Auditeur externeMembre d’un cabinet ou indépendant
Domaine de compétences
Diagnostics
Avis et conseil
Rôle
dispose d'une spécialité et d'une compétence reconnue
analyse et détecte les problèmes
émet des avis et conseils (ou recommandations)
réalise un rapport public ou privé suivant les cas
contacté le plus souvent par appel d'offres avec lettre de mission
SIE
2 -
Séa
nce
2
Capacité d'organisation et sens pratique
Facilité de contact et de diplomatie
Impartialité et intégrité …
Capacité d'analyse et de synthèse
Connaissances méthodologiques élevées
Adaptabilité à l'environnement et personnes
Capacité d'écoute réelle
Connaissance des techniques du domaine étudiée
Connaissance du domaine d'entreprise importante
Connaissance complète du domaine de compétence
Capacités des auditeursCapacités des auditeurs
SIE
2 -
Séa
nce
2
Un métier certifiéUn métier certifié Certification spécifique des «Auditeurs Informatiques»
CIA (Certified International Audit / US) utilisé en France
CISA (Certified Information Systems Auditor) utilisé en France
CISSP (Certified Information Systems Security Professionnel / US) commence à s’utiliser en France
Belgique : MCA (Master Computer Audit)
GB : QiCA (Qualification in Computer Audit)
Certification acquise pour 1 an et devant être maintenue par des crédits formations, articles de fond, travail en groupe à l’AFAI & IFACI Environ 10.000 Auditeurs certifiés en France Indépendante d’une notion de qualité (telle qu’ISO 9000) mais rattaché souvent à des normes sécurité informatique (telles qu’ISO 17799) ou à des méthodes (COBIT)
SIE
2 -
Séa
nce
2
Ordre de Mission (OM & LM)Ordre de Mission (OM & LM)Document ECRIT
Transmise par le groupe demandeur de l'audit :Direction - Conseil d'Administration - etc.
Responsable de service - Syndicats
Définit la Mission :Type d'audit et domaine de l'audit (Développement, maintenance, sécurité, ...)
Cadres, délais et moyens à utiliser
Lieu, contraintes imposées
Définit les objectifs de la MissionObjectifs recherchés et problèmes constatés ou connus
« Pouvoirs » des auditeurs
SIE
2 -
Séa
nce
2
Cadres de la LM ou de l’OMCadres de la LM ou de l’OM
Défense Nationale ou cadre secret défenseMultinationale : Droit européen, internationalAudit des partenaires ou associés : Contrat pluri-partenairesetc.
Normalisation spécifiquePAQ ou ISO 900x ou ISO 14000 ou ISO 17799Méthodologie spécifique de travailetc.
Financements multiplesModalités spécifiques de paiementSubventions (FRAC par exemple)etc.
Impossibilité d ’accéder à … sans agrément …Impossibilité de dupliquer ou sortir les documents …Obligation de connaissance de …etc.
ContraintesContraintes Influent surInfluent sur Objectifs de l ’AuditObjectifs de l ’Audit
CADRESCADRES
LégislationLégislation
TechniqueTechnique
FinanceFinance
SIE
2 -
Séa
nce
2Cadres de la LMCadres de la LM
ObjectifsObjectifs
Ce sont ceux de l’AUDIT INFORMATIQUE et non ceux de l’entreprise dans le domaine informatique
Ils se déclinent en 3 points :• Etude et formalisation de l ’existant• Recherche des points forts et faibles (BBK ou FRAP)• Recherche des causes réelles des points faibles
En audit opérationnel, ils sont complétés par :• Etude de solutions (propositions)• Assistance à la spécification opérationnelle des solutions
nécessitenécessite
PouvoirsPouvoirsPouvoirs essentiels :• investigation, recueil d’informations et documents• interviews, accès aux locaux, accès au système informatique• etc.Pouvoirs spécifiques à un audit• interviews hors des locaux de l’entreprise• contacts des sous-traitants, partenaires, prestataires, …• etc.
• Utilisation de salle spécifique de l ’entreprise pour réunions et/ou interviews• Terminal dédié à l’audit, User Code, Carte d’accès, Espace disque, Duplication de base, de sources, etc.• etc.
nécessitenécessite
MoyensMoyens
SIE
2 -
Séa
nce
2
Etude de la LMEtude de la LMLa réception d'une lettre de Mission implique :
L'analyse des objectifs demandés et une discussion avec les
demandeurs quant à tous les points spécifiés dans la LM
La demande de mise au clair des points omis
La création d'une équipe de travail
• si existe déjà, conforter et informer cette équipe
• si n'existe pas, réaliser un BC des personnes pouvant y participer et
réunir l'équipe la plus apte à remplir la mission
Une classification des objectifs (de mission et de LM) par thèmes ou
familles
Une validation de la LM conjointe entre les demandeurs et le
responsable de l'Audit
SIE
2 -
Séa
nce
2
Compétences nécessairesCompétences nécessairesLa mission étant connue, on va rechercher les collaborateurs internes ou externes pouvant l'assurer
Ils devront disposer dans certaines cas de compétences techniques particulières. Mais on cherchera principalement à avoir une équipe apte à traiter les points ci-contre
La technicité n'est qu'un aspect annexe du travail, qui pourrait être confiée à un technicien si besoin donc ...
TECHNICITETECHNICITE
InformatiqueInformatique S.d'EntrepriseS.d'Entreprise
11
COMMUNICATIONCOMMUNICATION
IndividuelleIndividuelle de Groupede Groupe
22
ORGANISATION ORGANISATION et METHODESet METHODES
Org. EquipeOrg. Equipe T&M d'org.T&M d'org.
33
SIE
2 -
Séa
nce
2
Préparation à la missionPréparation à la mission
L'Equipedispose deplusieursmembresayant une
solideconnaissancedu domaine
++Points FORTS
L'Equipe nedispose que
d'UNmembre
ayant une solide
connaissancedu domaineou plusieurs
membresayant une
connaissancelimitée
du domaine
+Point acceptable
L'Equipene disposed'aucune
connaissancedu domaine
ou alorsest troplimitée
pour êtreefficace
-Points FAIBLES
Organisation Equipe :Direction d'EquipeGestion de Projet
M.T.d'Organisation :Schéma directeur, Plan,Méthodes info et indus
Individuelle :écoute, interview,prise de RdV, etc.
de Groupe :Réunion, Présentation,Enquête, Rapport, etc.
de Spécialité :matériels, logiciels, OS
droit info, SGBD, Génie.
d'Entreprise :droit, RH, gestion,
organisation, produc, ...
TECHNICITE (SI)et
ENTREPRISE(Environnement)
COMMUNICATIONet
ECHANGES
ORGANISATIONet
METHODES
EXEMPLES
SIE
2 -
Séa
nce
2
Missions et méthodeMissions et méthode
Formes
Organisation d’équipe
Compétences
Experts externes
Bilan général et mission
Démarche générale
Phases
Contrôles
Cadres de travail
Suivi
SIE
2 -
Séa
nce
2
Place et forme de l’AuditPlace et forme de l’Audit
Propositions
HistoriqueHistorique
Audit deContrôle
Audit deContrôle
MISE EN ŒUVRE& SUIVI
MISE EN ŒUVRE& SUIVI
FuturFutur
AuditOpérationnel
AuditOpérationnel
Norme / Optimum
Réalisable
Existant
ActuelActuel
Audit dePrescription
Audit dePrescription
Bilan
’
SIE
2 -
Séa
nce
2
Mission d’audit : préparationMission d’audit : préparation
Ordre de Mission(OM)
Plan d’Approche(PdA)Reconnaissance
Analyse des risquesTableau des Forces etfaiblesses apparentes
(TFfA)
Choix des objectifs Rapport d’orientation(RdO)
Détermination des tâchesProgramme de
Vérification (PdeV)
PlanificationBudget, Allocation,
Planning, Suivi(BAPS)
SIE
2 -
Séa
nce
2
Mission d’Audit : réalisationMission d’Audit : réalisation
Feuille de CouvertureFdeC
Phase de travailsur Terrain
Phase de travailsur Terrain
Phase de travailsur Terrain
Papiers de Travail(PdeT)
Feuille de Révélation et d’Analyse de Problème(FRAP) – 1 par section
SIE
2 -
Séa
nce
2
Mission d’Audit : FinalisationMission d’Audit : Finalisation
FRAPFRAPFRAPSynthèse
(au service d’audit)Ossature de Rapport
(OR)
RestitutionCompte Rendu Final
au Site (CRFS)
Rédaction etValidation
Rapport : en 3 tempsProjet, Validation,
Définitif (Rapp)
Suivi desrecommandations
État des Actions de Progrès (EAP)
SIE
2 -
Séa
nce
2
ENTRE-PRISE
Niveaux de Contrôles InformatiquesNiveaux de Contrôles Informatiques
NIVEAU DE LAFONCTION, DU
SERVICE ET DESPERSONNELS
NIVEAU DES MATERIELSDES APPLICATIONS
et DES DONNES
Schéma directeur et Plan informatiqueAudit Interne et Fonction d'AuditNormalisation et Réglementation
Sécurité Générale et QualificationsCirculation des informationsProcédures et Formalismes
Projets et DéveloppementMéthodes et TechniquesFormation et Assistance
Organisation et MaintenanceSous-Traitance et Fournisseurs
Matériels et RéseauxCommunications externes
Applications spécifiquesApplications standards
Bases de données
CONCEPTSCONCEPTSetet
MODELESMODELES
TECHNIQUESTECHNIQUES
ORGANISATIONORGANISATIONet SOCIALet SOCIAL
SIE
2 -
Séa
nce
2
Mission d’étude-conseil (externe)Mission d’étude-conseil (externe)
ORDRE de MISSION (OM-int.)ou LETTRE de MISSION (LM-ext.)
ORDRE de MISSION (OM-int.)ou LETTRE de MISSION (LM-ext.)
ENQUETE PRELIMINAIRE(EPr)
ENQUETE PRELIMINAIRE(EPr)
PHASE DE VERIFICATION(PVr)
PHASE DE VERIFICATION(PVr)
PreuveSuffisantes ?
PreuveSuffisantes ?
RAPPORT FINAL(Rapports)
RAPPORT FINAL(Rapports)
Réception LM - Spécification des objectifsBilan de compétences (BC) - Validation M
Réception LM - Spécification des objectifsBilan de compétences (BC) - Validation M
Phase préparatoire (PPr)Etude Préalable et Confirmation (OM-LM)
Phase préparatoire (PPr)Etude Préalable et Confirmation (OM-LM)
Rapports intermédiaires(Mémorandums)
Rapports intermédiaires(Mémorandums)
Rapport de synthèseRapport final avec recommandations
Rapport de synthèseRapport final avec recommandations
SIE
2 -
Séa
nce
2
Phase de Vérification (PVr)Phase de Vérification (PVr)
Vérifications"RAPIDES"
Vérifications"RAPIDES"
Vérifications"DETAILLEES"
Vérifications"DETAILLEES"
BBK sûrs ?TFf complet ?
BBK sûrs ?TFf complet ? NONNON Points de REVUE
(PR)
Points de REVUE(PR)
ANALYSE etDEPOUILLEMENT
ANALYSE etDEPOUILLEMENT
NONNON
Confirmation ?Confirmation ?
OUIOUI
OUI
La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes.
Ceux-ci trouvés, la phase Vérification DETAILLLEEva analyser les causes, les incidents, les rapports,...
de ces problèmes recensés
La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes.
Ceux-ci trouvés, la phase Vérification DETAILLLEEva analyser les causes, les incidents, les rapports,...
de ces problèmes recensés
SIE
2 -
Séa
nce
2
Préparation de la PVrPréparation de la PVrInterviews préliminaires
Plan d'approche
Plan de vérification
Phase de vérification
Vérification Rapide
Vérification détaillée
« Certification » des BBKS
Mise en forme du TFf
Dépouillement final & synthèse
Rencontre préliminaire des responsables concernés
Préparation des actions :
Qui voir, quand, pourquoi
Comment les voir
Que demander
Préparation des contrôles :
Quelles preuves rechercher
Quels moyens de certitude
Réalisation de la vérification
Lister les problèmes
Vérifier chaque point
S'assurer de leur véracité
Rechercher des parades
SIE
2 -
Séa
nce
2
BBK, TFf et PRBBK, TFf et PR
Les BBK (Blue Black Keys) représentent :
Les problèmes et incidents, critiques, dysfonctionnements, etc. constatés : les POINTS NOIRS (Blacks)
Les points qui semblent corrects et fonctionnels : les POINTS BLEUS (Blue)
Il y a donc une répartition en 2 classes des points analysés
Chaque BK est vérifié pour savoir :
si un point noir est réel et ne cache pas un problème plus important
si un point bleu est réel et n'est pas simplement une apparence de fonctionnement correct
En cas d'incertitude on effectue un Point de REVUE (pour "revoir") des BBK contestés.
Les BBK sont classés au sein d’un Tableau des Forces et faiblesses apparentes (TFf)
SIE
2 -
Séa
nce
2
Concept BBK et TFfConcept BBK et TFfN° ou code de référence
Définition sommaire
Détail du BBK
Type
incident ponctuel, problème récurant, risque, erreur technique, erreur humaine, etc.
Source de la découverte
personne, groupe, documents, RAO, élément externe, étude directe, etc.
Origine, cause
Conséquence
technique, organisationnelle
financière, etc.
Niveau de confiance et justification de ce niveau
Importance relative, coefficient de pondération et justifications
Interdépendance avec d’autres BBK
regroupement (thèmes et familles), séquence, etc.
Solutions possibles
technique, organisationnelle, financière, etc.
Indicateur de suivi
outil et process de suivi
process de réaction et correction sur incident
SIE
2 -
Séa
nce
2
Etude des BBK : ThèmesEtude des BBK : ThèmesOrganisation
Circuit et traitements
Humain / Social / Relationnel
Informations
Informatique Structurelle
Schéma directeur et plans
Matériel
Logiciels / OS / Tools
Base de données / Fichiers
Energie et associés
Locaux et mobiliers
Documentations
Communications & Réseaux
Projets en cours et futurs
Budgets
Informatique Organisationnelle
Service informatique
Personnel informatique
Exploitation
Hot line et assistance
Développement
Maintenance, Formation
Contrats et doc légaux
Sous-traitance, régie, fournisseurs
Projets en cours et futurs
Budgets
Sécurité
Accès, personnel, locaux, moyens mat et log., budgets
Scénarios et process
Assurances
SIE
2 -
Séa
nce
2
Tableau des Forces & FaiblessesTableau des Forces & Faiblesses L’existant opérationnel
Fonctionnel (opérationnel, technique, etc.)
Gains
Avancée
Certifiés et contrôlés
Savoir-faire et savoirs
Reconnaissance
Les maîtrisesMaîtrise d’œuvre et d’ouvrages formalisés et contrôlés
Projet en cours en situation de validité
Certifications et normalisations
Tableaux de bords
Outils de contrôles et de validation
Les acquis et avoirs pérennes
Transmission de savoir-faire et de savoirs
Historique exploitable
Biens et produits (informatiques)
RH pérennisées
Relations et contrats pérennisés
LES FORCESLES FORCESLES FORCESLES FORCES
SIE
2 -
Séa
nce
2
Tableau des Forces & FaiblessesTableau des Forces & FaiblessesL’existant opérationnel
Incidents
Pannes
Dysfonctions
Erreurs
Retards
Pertes
Conflits
L’existant non opérationnel
Non maîtrisé
Inutile
Non connuSous-utilisé
Les risques (problèmes potentiels)
Risque technique
Risque humain
Risque économique et/ou financier
Les manques et besoinsManque constaté
Manque exprimé
Les faiblessesLes faiblessesLes faiblessesLes faiblesses