EXPOSÉ DE MÉMOIRE DE STAGE

Elaboré par : Mr Ammar SASSI

Université de Sfax – Institut des Hautes Études Commerciales de Sfax

Audit des systèmes d’information : mise en œuvre

de l’approche Cobit4.1

(Élaboration d’un générateur de guides d’audit pour

le cas de la STEG)

Soutenance de

18/04/2014

Plan

Introduction

Problématique

Contexte et mission de stage

Pourquoi Cobit4.1?

Le générateur de guides d’audit : raisons d’être

Le générateur de guides d’audit : démarche et résultats

Tutoriel

Conclusion

Limites

Introduction

Une évolution de la notion de l’informatique dans l’économie moderne a transformé

l’organisation de la fonction informatique.

Approche classique

Qui la découpe selon

l’organisation structurelle

(fonctionnelle) de l’entreprise et

la considère comme juste un

support technique aux métiers.

Approche intégrée

Axée sur les métiers, et

organisée en processus

interconnectés, donnant ainsi

lieu à la nouvelle notion de

système d’information.

Cette mutation a eu des répercutions sur la fonction d’audit informatique, pour ainsi

se transformer en audit des systèmes d’information.

Désormais plusieurs référentiels et normes traitant les SI des entreprises de plusieurs perspectives se présentent aux auditeurs, tels que : ITIL , CMMi, PMBOK, PRINCE2, TOGAF, COSO, eSCM, Cobit, ISO 20000 , la famille ISO 2700X….

Parmi ces nombreux référentiels et normes internationales Cobit 4.1 se manifeste

comme un cadre fédérateur et global de contrôle, de management, de gouvernance

et d’audit des SI.

Il est considéré pour les SI comme l’équivalent de COSO en matière de contrôle

interne. Il est de mode ces dernières années et il gagne de reconnaissance.

Mais à vrai dire, c’est pour des raisons concrètes et bien fondées qu’il est jugé utile

pour les entreprises.

Problématique

Quels sont les avantages de cadre fédérateur Cobit4.1 en matière

d’audit des SI? Et au moyen de quel outil peut-on les mettre en

œuvre?

Contexte et mission de stage

La Société Tunisienne de l’Électricité et de Gaz (STEG) est un monopole public crée en 1962 et qui œuvre dans la production, la distribution et le transport de l’électricité et du gaz sur l’ensemble de territoire tunisien.

Elle occupe la deuxième place dans l’échelle des performances des entreprises tunisiennes en terme de chiffre d'affaires (qui a atteint 2670 MDT en 2012).

Pour satisfaire les besoins de ses clients

dans les meilleures conditions de coût,

qualité et sécurité, et afin de garder sa

place de leader, la STEG adopte une

stratégie globale qui se fond sur les cinq

valeurs suivantes :

L’orientation client

Le travail en équipe

La considération des personnes

La gestion par les faits

L'amélioration continue

C’est au moyen des instance telle que la direction d’audit interne (et ses différentes divisions) que la STEG a pu soutenir cette stratégie d’amélioration continue.

Mission de stage

Ma mission pendant ce stage était de contribuer au développement des méthodes et

outils d’audit des SI de la STEG afin d’assurer des SI efficaces et efficients à un haut

niveau de qualité et de sécurité, permettant ainsi de soutenir la stratégie globale de

la STEG : celle de l’amélioration continue de ses services et produits.

Mes tâches se sont alors étendues du diagnostic de l’état des lieux de la STEG en

matière d’audit des SI, jusqu’à la présentation des nouvelles solutions et leurs

implémentations.

Pourquoi Cobit4.1?

Un modèle de 34 processus interconnectés (groupés en 4 domaines) qui

considère toutes les ressources de SI et couvre l’intégralité des ses activités.

Un ensemble de bonnes pratiques sous formes de 215 objectifs de contrôle qui

se déclinent en plusieurs pratiques de contrôle

Son alignement sur les besoins des métiers

Son alignement sur les différentes approches et bonnes pratiques des

autres référentiels et normes internationales

Un grand nombre d’éléments, concepts, et démarches couvrant les

volets contrôle, management, gouvernance et audit des SI

Une documentation abondante

Cobit4.1 se distingue par :

Modèle processus de Cobit4.1

Dans son modèle

processus,

Cobit4.1 considère

toutes les ressources

de SI et couvre

l’intégralité des

ses activités,

tout en s’alignant sur

les objectifs métiers

et ceux de la

gouvernance.

Les éléments de Cobit4.1

Cobit4.1

Objectifs métiers Objectifs informatiques

Objectifs de contrôle

Objectifs activité Objectif processus

Les mesures de performance (KPI)

Les mesures des résultats (KGI)

Les tableaux RACI

Les modèles de maturités

Les entrées / sorties des processus

Les descriptifs des processus

Les descriptifs des objectifs de contrôle Les énoncées des valeurs et des risques

Les attributs des modèles Les procédures d’évaluation

La liste des processus

Les critères d’information

Procédures de contrôle

La documentation Cobit4.1

La documentation Cobit4.1 couvre

les volets contrôle, gouvernance, management,

et audit des SI.

Et s’adresse aux différents intervenants :

dirigeants, responsables métiers et

informatiques, professionnels

d’assurance, auditeurs , opérationnels …

La démarche d’audit selon Cobit4.1

Cobit 4.1 offre au

moyen de son

guide d’audit une

démarche d’audit

bien élaborée qui

se divise en trois

phases

Le générateur de guides d’audit : raisons

d’être

Suite à une étude des états des lieux de la STEG en matière de management

et d‘audit des SI (couvrant la période de l’année 2007 à l’année 2011), on a

remarqué les points suivants :

Un fort développement des activités des SI (qui touchent aussi bien le niveau stratégique, organisationnel, managériale qu’opérationnel) Alignement des projets informatiques sur les objectifs stratégiques de l’entreprise

Établissement d’un schéma directeur des SI

L’actualisation, la restructuration et la mise en place des structures de contrôle et de pilotage

Développement des projets informatiques

L’acquisition, le déploiement, le test et la mise en œuvre des progiciels et systèmes informatiques

La maintenance et le développement de l’infrastructure informatique

L’externalisation des services et la gestion des contrats avec des tiers

La gestion des centres d’assistances aux utilisateurs (helpdesk) ….

Ce développement des activités des SI a impliqué une croissance dans les missions d’audit (de 12 missions en 2007 à 32 en 2010 et 22 en 2011) afin de couvrir toutes ces activités

Pour exécuter ces missions les auditeurs informatique de la STEG se référent à une variété des référentiels et normes, tels que :

ISO 9001, ISO 14001, ISO 26000, OHSAS 18001 dans le cadre des missions globales d’audit interne traitant l’ensemble des structures de la STEG (y compris les SI)

ISO 13335, ISO 17799, la famille ISO 2700X, ITIL V3, PRINCE2 … qui sont des normes et des cadres de références spécifiques aux SI.

Ces missions, bien qu’ils apportent leurs contributions à l’amélioration des dispositifs de contrôle propres aux SI, cependant on a remarqué l’absence d’une démarche d’audit globale permettant d’organiser et de structurer les différentes missions dans une logique cohérente et complémentaire.

La solution était d’élaborer un générateur de guides d’audit hiérarchisés, cohérents

et complémentaires sur la base de l’approche de cadre de référence Cobit4.1 en

raison de ses nombreux avantages, l’ensemble de ses éléments et concepts adaptés

à l’audit et l’abondance de sa documentation en la matière.

Ce générateur de guides d’audit sera implémenté en une application Excel et

comportera les sous produits suivants :

Un guide générique (une plateforme de questionnaires d’audit)

Une carte de correspondance « Missions- Objectifs de contrôle »

Un ensemble de tables de mappage

Générateur de guides d’audit

Guide générique (plateforme des

questionnaires d’audit)

Carte de correspondance « Missions – Objectifs de

contrôle » Tables de mappage

Conception

Implémentation

Feuilles Excel

Conception de générateur de guides d’audit

Le générateur de guides d’audit : démarche et

résultats

Ce générateur de guides d’audit aura pour objectif de traduire l’approche Cobit4.1 en

matière d’audit des SI en permettant aux auditeurs de planifier, cadrer et exécuter :

L’élément central sur le quel se base l’approche Cobit4.1 en matière d’audit des SI ce

sont les « objectifs de contrôle », c’est ainsi le cas pour ce produit. Autres éléments et

publications de Cobit4.1 vont œuvrer dans l’élaboration de ce générateur de guides

d’audit et ses différents sous produits.

des missions d’audits cohérentes, complémentaires, opérant dans une même

logique, couvrant l’intégralité des activités des SI, alignées sur les exigences

métiers au niveau le plus général et ouvertes sur les bonnes pratiques d’autres

référentiels et normes plus spécifiques.

Cobit4.1

Objectifs métiers Objectifs informatiques

Objectifs de contrôle

Objectifs activité Objectif processus

Les mesures de performance (KPI)

Les mesures des résultats (KGI)

Les tableaux RACI

Les modèles de maturités

Les entrées / sorties des processus

Les descriptifs des processus

Les descriptifs des objectifs de contrôle Les énoncées des valeurs et des risques

Les attributs des modèles Les procédures d’évaluation

La liste des processus

Les critères d’information

Procédures de contrôle

Ce guide présente une plateforme depuis de laquelle vont être générés différents

questionnaires en réponse à un éventail de missions. Cette plateforme est établi

intégralement à partir de la documentation Cobit4.1 en la matière, elle présente

tous les objectifs de contrôles Cobit4.1 et offre un grand nombre d’évaluations

associées à chacun de ces objectifs sous forme de questions soutenus par des

renseignements et des conseils.

Le guide générique (plateforme de questionnaires d’audit)

C’est une carte clé qui permettra d’identifier les principaux objectifs de contrôle qui

devront être évalués en réponse à une mission bien déterminée. Sur la base de ces

objectifs identifiés, un questionnaire spécifique à la mission fixée sera généré par la

suite.

La carte de correspondance « Missions- Objectifs de contrôle)

Et afin d’alimenter cette carte avec des modèles de cadrage, on a choisi une mission

type « Audit de la sécurité globale des SI ». Le choix de cette mission nous a

permet d’élaborer une hiérarchie de guides d’audit spécifiques traitant la sécurité

des SI de plusieurs perspectives.

La démarche qu’on a suivi pour dresser cette carte s’est inspirée largement de la

démarche de cadrage des objectifs de contrôle de Cobit4.1

Elle comporte en principe trois niveaux de cadrage:

Un premier niveau de cadrage (cadrage de haut niveau) : afin d’identifier les

processus Cobit4.1 qui répondent aux exigences de sécurité

Un deuxième niveau de cadrage (cadrage des objectifs de contrôle initiaux)

Un troisième niveau de cadrage (affinement de cadrage) : ce niveau permet de ne

garder que les objectifs de contrôle critiques et qui correspondent aux ressources

les plus concernées par la mission

Le principe de

cadrage consiste à

identifier les

objectifs de

contrôle critiques

correspondant aux

ressources en

relation

directe avec une

mission d’audit

précise.

Dans un premier lieu cette démarche aura pour objectif de restreindre le champ

d’investigation pour la mission choisie « Audit de la sécurité globale des SI » en un

sous-ensemble d’objectifs de contrôle critiques et correspondant aux ressources les

plus concernées.

Cependant notre choix pour cette mission a un autre objectif plus intéressant. Celui de

présenter un hiérarchie de guides d’audit cohérents et complémentaires dont la

mission mère sera un cadre annuel pour les sous- missions dérivées.

Pour cette raison, on s’est arrêté au deuxième niveau de cadrage, qui permet de

déterminer les objectifs de contrôles initiaux répondant à la mission « Audit de la

sécurité globale des SI ».

Et on a opéré à un découpage de cette mission globale en sous-mission plus

spécifiques, en se référant aux publications Cobit4.1 (essentiellement « Cobit Security

Baseline 2nd Edition»).

Ces tables vont permettre aux auditeurs d’affiner leurs missions d’audit en se

référant aux bonnes pratiques des autres cadres de références et normes

internationales qui traitent le même objet d’une telle ou telle mission d’audit. Le

cadre de référence Cobit4.1 offre cet avantage via ses objectifs de contrôle qui

s’alignent sur les bonnes pratiques d’un grand nombre de standards et normes

internationales.

Les tables de mappage

Dans notre cas d’étude « Audit de la sécurité globale des SI », le cadre de référence

le plus adapté, c’est la norme ISO 27002. Et en se référant aux publications

Cobit4.1 (essentiellement « Cobit Security Baseline 2nd Edition») nous avons pu

dresser la table de mappage suivante :

Tutoriel

Générateur de guides d’audit

Conclusion

Ce présent travail a eu pour but de répondre aux questions posées au début :

Quels sont les avantages de cadre fédérateur Cobit4.1 en matière

d’audit des SI? Et au moyen de quel outil peut-on les mettre en

œuvre?

En fait j’ai essayé via cet exposé et mon mémoire écrit de mettre de la lumière sur

le volet audit de cadre de référence Cobit4.1, et par le produit résultant « le

générateur de guides d’audit » j’ai cru proposé un outil afin d’implémenter cette

dimension « audit » de Cobit4.1

Les plus importants remarques à retenir de ce travail, c’est que:

Cobit4.1 se présente aussi bien comme un cadre d’audit des SI

Cobit4.1 permet via son modèle processus, qui couvre l’ensemble des ressources et les activités des SI, de mener des missions d’audit allant des niveaux stratégiques et managériales jusqu’aux niveaux purement opérationnels et techniques

Cobit4.1 est un cadre fédérateur c.à.d. qu’il intègre plusieurs démarches, bonnes pratiques et concepts d’autres standards informatiques

Cobit4.1 dote d’un ensemble important d’éléments œuvrant dans son volet audit et dote aussi d’un documentation abondante en la matière

Cobit 4.1 offre via son guide d’audit une démarche bien élaborée pour les auditeurs informatiques afin de planifier, organiser et exécuter différentes missions d’audit cohérentes, complémentaires et œuvrant dans une même logique

Le produit de ce présent travail

: le générateur de guides

d’audit présente une

incarnation de l’approche

Cobit4.1 en matière d’audit

des SI. Il peut intervenir dans

les différents niveaux de la

démarche d’audit présentée

par ce dernier.

Carte de correspondance

« Missions – Objectifs de contrôle »

Tables de mappage

Questionnaires générés

Limites

Le générateur de guides d’audit résultant de ce travail ne présente qu’un seul modèle

de cadrage (celui correspondant à la mission type traitée), ainsi il ne peut être pas

considéré comme un travail complet.

Cependant il offre une plateforme de procédures d’évaluations bien élaborée, il n’en

reste que d’alimenter la carte clé (carte de correspondance « Missions – Objectifs de

contrôle ») par d’autre travaux de cadrage portant sur d’autres types de missions.

Dans ce travail on s’est focalisé seulement sur le volet audit de Cobit4.1, ce qui ne

résume pas l’étendu de ce cadre fédérateur. En fait Cobit4.1 et multidimensionnels,

c’est aussi un cadre de gouvernance, de contrôle et de management et de des SI.

Il offre une plateforme de communication pour les différents intervenants : dirigeants,

managers, opérationnels et auditeurs … afin de mieux maîtriser les SI et d’accentuer

leur rôle émergeant en tant que « créateur de valeur ».

Ainsi une implémentation de ce cadre multidimensionnels sera d’une grande utilité

pour les entreprises. Et aussi sera fortement recommandée pour que le produit de ce

présent travail (le générateur de guides d’audit) ouvrera dans un contexte approprié.

Merci pour votre attention