Guides Pratiques Audit TI Presentation 2012
-
Upload
malick-nasser-hossem -
Category
Documents
-
view
22 -
download
6
description
Transcript of Guides Pratiques Audit TI Presentation 2012
-
GTAG Documents de rfrence
Prsentation des guides GTAG pouvant tre utiliss par un auditeur interne lors de
mandats daudit TI
-
2Prsentateurs
Gilles SavardCPA, CA, CA-TI, PMP,
CISA, ITILDirecteur principal
Olivier LegaultCPA, CGA, CISA
Directeur
Francis LeBlanc-GervaisCPA, CA, CISA
Directeur
-
GTAG Pourquoi cette prsentation?
Daprs notre exprience, ils sont peu connus et peu utiliss dans la pratique.
Il y a un questionnement. Quelle est la diffrence entre les cadres de rfrence et les GTAG?
Comment pouvons-nous utiliser les GTAG? Sont-ils des outils de formation intressants? Y a-t-il des programmes daudit intgrs dans les GTAG?
3
-
GTAG
Origine GTAG : Global Technology Audit Guides (Guides pratiques
daudit des TI) Guides dvelopps la demande du prsident de lIIA,
David A. Richards en 2005 Guides dvelopps par des gens en provenance de divers
milieux (industries, universits, firmes comptables) Orient principalement vers le personnel de gestion et les
auditeurs internes, et non vers le personnel technique Le premier guide appel Les contrles des systmes
dinformation a t publi en mars 2005 Le dernier guide appel Gouvernance TI a t publi en
2012
4
-
GTAG Objectif vis
labors par lIIA, chaque guide traite dun thme qui a trait la gestion, au contrle et la scurit des systmes dinformation.
Cette srie de guides constitue un outil pour le gestionnaire et lauditeur interne qui peuvent ainsi sinformer sur les diffrents risques lis la technologie et sur les pratiques recommandes.
Expliquer les contrles TI et la vrification de ces contrles pour permettre au gestionnaire et lauditeur interne de comprendre et de communiquer la ncessit dun environnement de contrle TI robuste au sein de leur organisation.
5
-
6GTAG
-
7GTAG 17 guides
Contrles des systmes de l'information (GTAG1) Anglais seulement
Contrles de la gestion du changement et des patchs : un facteur cl de la russite pour toute organisation (GTAG2)
Audit continu : Rpercussions sur l'assurance, le pilotage et l'valuation des risques (GTAG3)
Management de l'audit des systmes d'information (GTAG4) Management et audit des risques d'atteinte la vie prive
(GTAG5) Gestion et audit des vulnrabilits des technologies de
l'information (GTAG6) Infogrance (GTAG7) Audit des contrles applicatifs (GTAG8)
-
8GTAG 17 guides
Identit et gestion des accs (GTAG9) Gestion du plan de continuit des affaires (GTAG10) Dveloppement dun plan daudit (GTAG11) Audit des projets TI (GTAG12) Prvention de la fraude et dtection (GTAG13) Audit des applications utilises par les utilisateurs (Excel,
Access, etc.) (GTAG14) Anglais seulement Gouvernance de la scurit TI (GTAG15) Anglais seulement Analyse des donnes Extraction (GTAG16) Anglais
seulement
Audit de la gouvernance TI (GTAG17) Anglais seulement
-
GTAG1Risques et contrles(36 pages)
9
-
GTAG1 ObjectifsRisques et contrles
Aider les auditeurs internes devenir plus confortables avec les contrles gnraux TI afin quils puissent aborder ces questions avec la haute direction.
Dcrit comment les diffrents intervenants impliqus par la pratique daudit interne (CA, gestion, personnel, professionnels) doivent aborder et valuer les risques et les contrles TI.
De plus, il met les bases des GTAG venir, qui seront consacrs des sujets plus prcis et prsenteront les fonctions et responsabilits correspondantes dans lentreprise avec plus de dtails.
Ce guide est la seconde dition. Le premier tait davantage orient sur les contrles TI et avait t publi en mars 2005.
10
-
GTAG1 IntroductionRisques et contrles
Plusieurs risques et menaces importants sont en lien avec les TI. Les risques les plus importants viennent de linterne et non de lexterne. De bon contrles TI diminuent la probabilit quun risque ou une menace se concrtise.
Plusieurs cadres de rfrence existent pour catgoriser les objectifs et contrles TI. Ce guide recommande que chaque organisation utilise les composantes provenant des diffrents cadres de rfrences existants (COSO, ITIL, CobiT, etc.) qui sont applicables pour eux.
Un gestionnaire daudit interne peut utiliser ce guide comme une fondation pour valuer les risques et contrles TI et la conformit.
-
GTAG1 RisquesRisques et contrles
Pour un dirigeant daudit interne, il est impratif de bien jauger lapptence et la tolrance aux risques du CA.
Un dirigeant daudit interne doit considrer si lenvironnement TI est en ligne avec lapptence aux risques du CA.
Un dirigeant daudit interne doit considrer si le cadre de contrle interne des TI assure que les performances de lorganisation demeurent lintrieur de la tolrance aux risques tablie.
Apptence au risque : Degr de risque que la direction dune organisation est prte accepter dans la poursuite de ses objectifs.
Tolrance au risque : Le dirigeant de laudit interne doit dfinir le niveau acceptable de variation du risque pour latteinte des objectifs. Il est important daligner la tolrance au risque avec lapptence au risque.
-
GTAG1 Structure de lauditRisques et contrles
Lorsque les responsables de laudit interne examinent et valuent les contrles des TI, ils doivent se poser plusieurs questions : Que signifient pour nous les
contrles des SI? Pourquoi avons-nous besoin des
contrles des SI? Qui est responsable des
contrles des SI? Quand convient-il dappliquer les
contrles des SI? O prcisment faut-il mettre en
place les contrles des SI? Comment procder des
valuations des contrles des SI?
Jai mon service six honntes domestiques. (Ils mont appris tout ce que je sais.)Ils sappellent Quoi et Pourquoi, Quand et Comment, et O et Qui.
Rudyard Kipling,Tir de Elephants Child
dans Just So Stories
13
-
GTAG1 Structure de lauditRisques et contrles
14
Que signifient pour nous les contrles des SI?
Pourquoi avons-nous besoin des contrles des SI?
Qui est responsable des contrles des SI?
1) Quand convient-il dappliquer les contrles des SI?2) O prcisment faut-il mettre en place les contrles des SI?
Comment procder des valuations des contrles des SI?
-
GTAG1 Classification des contrlesRisques et contrles
15
-
Questions 1 minuteRisques et contrles
16
-
GTAG11laboration dun plan daudit des TI(40 pages)
17
-
GTAG11 Objectifslaboration dun plan daudit des TI
Le prsent GTAG peut aider les responsables de laudit interne et les auditeurs internes : Prendre en compte lactivit gnrale de lentreprise et la part
des TI dans le support oprationnel Dfinir et prendre en compte lenvironnement des TI Identifier le rle de lvaluation des risques dans la dlimitation
de lunivers daudit interne Formaliser le plan annuel daudit des TI
18
-
GTAG11 Introductionlaboration dun plan daudit des TI
tant donn que le fonctionnement de l'organisation dpend fortement des TI, il est en effet essentiel que le responsable de laudit interne et les auditeurs internes sachent commentlaborer un plan daudit et, pour chaque lment, quelles doivent en tre la frquence, ltendue et la profondeur.
Le responsable de laudit interne et les auditeurs internes pourront dterminer les domaines auditer et la frquenceen se basant sur une cartographie des processus, l'inventaire et la prise en compte de lenvironnement des TI et lvaluation des risques lchelle de lorganisation.
Ce GTAG utilise lexemple dune organisation fictive pour montrer aux responsables de laudit interne et aux auditeurs internes comment mettre en uvre les tapes ncessaires la dlimitation de lunivers daudit.
19
-
GTAG11 Actualisation du plan dauditlaboration dun plan daudit des TI
20
60 %
36%
-
GTAG11 Processus dlaborationdu plan daudit TIlaboration dun plan daudit des TI 21
-
GTAG11 valuer le risque Impact et probabilitlaboration dun plan daudit des TI 22
-
GTAG11 valuer le risquelaboration dun plan daudit des TI
23
-
GTAG11 Audits visslaboration dun plan daudit des TI
Peu de ressources : Slectionner des activits daudit en fonction du carr pointill.Beaucoup de ressources : Slectionner des activits daudit en fonction du carr ligne continu couleur bleu.
24
-
GTAG11 Cadres de rfrencelaboration dun plan daudit des TI
25
CobiT V4 Voir lannexe 1 du cadre de rfrence afin davoir certains
dtails
ITIL V3 - Conception des services Pas un cadre daudit
COSO Pas vraiment pertinent pour un plan daudit TI
ISO 27002Certaines parties peuvent aider : 4 - Apprciation et traitement du risque 15 - Conformit
-
Questions 1 minutelaboration dun plan daudit des TI
26
-
GTAG4Management de laudit des systmes dinformation (SI)(33 pages)
27
-
GTAG4 ObjectifsManagement de laudit des systmes dinformation (SI)
Rpondre aux questions stratgiques suivantes : La fonction daudit value-t-elle les risques efficacement
chaque anne? Lvaluation des risques prend-elle en considration
larchitecture et la configuration technologiques spcifiquesemployes par lorganisation?
Des audits sont-ils prvus tous les niveaux de lenvironnement informatique?
La dotation en personnel pour les audits informatiques est-elle satisfaisante?
28
-
GTAG4 IntroductionManagement de laudit des systmes dinformation (SI)
Dpendance des entreprises face aux SI 2 consquences : Un pourcentage important des contrles internes cls
dterminants pour lorganisation est susceptible dtre activpar la technologie.
Les systmes dont lintgrit est compromise ou dont les contrles sont dfectueux produiront un impact plus important sur les oprations de lorganisation et sa comptitivit, ce qui renforcera la ncessit de disposer de contrles informatiques efficaces.
29
-
GTAG4 tapes dun audit SIManagement de laudit des systmes dinformation (SI)
Dfinir les SI Tenir compte de chaque couche
Management des SI (CGTI) Infrastructure technique Applications Connexions extrieures
valuer les risques lis aux SI (Prioriser) Dfinir lunivers de laudit des SI (Optimiser) Excuter les audits des SI
Normes et cadres de rfrence Grer la fonction daudit des SI (Efficacit) Rsoudre les problmatiques mergentes (Sadapter)
30
-
GTAG4 Dfinir les SIManagement de laudit des systmes dinformation (SI)
Illustration des 4 couches :
31
-
GTAG4 valuer les risquesManagement de laudit des systmes dinformation (SI)
Complexit des SI Chaque SI est unique.
Types de risques des SI Disponibilit : Le systme nest pas disponible pour utilisation. Scurit : Accs non autoris au systme. Intgrit : Donnes incompltes ou inexactes. Confidentialit : Linformation nest pas conserve secrte. Efficacit : Le systme ne procure pas une fonction voulue ou attendue. Efficience : Le systme entrane une utilisation sous-optimale des
ressources. Natures de risques
Spcifiques vs pervasifs Statiques vs dynamiques
32
-
GTAG4 Cl du succsManagement de laudit des systmes dinformation (SI)
Lunivers daudit pour lanne doit porter sur toutes les couches de lenvironnement des SI.
Les audits des SI doivent tre structurs de manire permettre une communication efficace et logique.
Les audits des SI doivent porter sur les bons risques. Lutilisation de dfinitions trop larges pour les audits des SI
(par exemple, contrles gnraux des SI) entrane presque toujours un glissement de primtre.
33
-
GTAG4 Cadres de rfrenceManagement de laudit des systmes dinformation (SI)
34
CobiT V4 Pas vraiment dobjectif rellement coll ce GTAG Lensemble du cadre de rfrence aborde ce GTAG
ITIL V3 ITIL nest pas un rfrentiel daudit
Les cadres de rfrence Contrle interne et Management des risques de lentreprise Pas ncessairement ax sur les TI
ISO 27002 Pas vraiment de point touchant ce volet
-
Questions 1 minuteManagement de laudit des systmes dinformation (SI)
35
-
GTAG3Audit continu : Rpercussions sur lassurance, le pilotage et lvaluation des risques(41 pages)
36
-
GTAG3 ObjectifsAudit continu
Connaissances opportunes sur des problmes critiques Automatisation de certains tests Processus de rvision plus efficace
37
-
GTAG3 IntroductionAudit continu
38
-
GTAG3 IntroductionAudit continu
39
-
GTAG3 Avantages de laudit continuAudit continu
valuation intervalles rapprochs Audit permanent de 100 % des transactions Comprhension accrue des points critiques, des rgles et des
exceptions
Notification rapide des carts et des carences Facilite la planification de laudit Indpendance vis--vis des SI et du pilotage
40
-
GTAG3 Inconvnients de laudit continuAudit continu
Linformation auditer doit provenir de systmes fiables Le processus daudit continu doit tre fortement automatis Des rapports daudit continu comprhensibles et prcis
doivent tre labors et disponibles rapidement
Les auditeurs doivent possder les comptences requisespour mener ce type de mission
Changement des paradigmes daudit traditionnels
41
-
GTAG3 Phases clsAudit continu
42
Objectifs de laudit continu Accs et utilisation des donnes valuation continue des contrles et des risques Communiquer et grer les rsultats
-
GTAG3 Exemples dvaluation de contrlesAudit continu
Contrles financiers : Carte de crdit dentreprisePilotage
chantillonnage manuel trimestriel Audit interne
Pilotage faible et risque lev Examen de la politique et des procdures Tests analytiques sur 100 % transactions Trouve des anomalies
43
-
GTAG3 Cadres de rfrenceAudit continu
44
CobiT V4 Pas vraiment dobjectif rellement coll ce GTAG La srie SE se rapproche le plus de ce GTAG
ITIL V3 ITIL nest pas un rfrentiel daudit
Cadre de rfrence (Enterprise Risk Management (ERM) Framework) Environnement de contrle valuation des risques Information et communication Pilotage des risques
ISO 27002 Pas vraiment de point touchant ce volet. La section 15 se
rapproche le plus de ce GTAG
-
Questions 1 minuteAudit continu
45
-
GTAG16Analyse des donnes(28 pages) Juillet 2011
46
-
GTAG16 ObjectifsAnalyse de donnes
Avoir des approches daudit utilisant les outils danalyse des donnes :
Lanalyse des donnes est significative pour lorganisation Meilleure assurance avec les outils danalyse des donnes Dfis et risques dimplantation des outils Comment implanter les outils danalyse Reconnatre les tendances et les avantages dutiliser les outils
47
-
GTAG16 IntroductionAnalyse de donnes
Dfinition Lanalyse des donnes permet didentifier, obtenir, valider, analyser et interprter diffrents types de donnes lintrieur de lorganisation afin damliorer lefficience dun audit.
Efficience Les outils danalyse des donnes sont une partie intgrante dun audit TI et permettent damliorer lefficacit et lefficience dun audit.
48
-
GTAG16 Les sourcesAnalyse de donnes
Des donnes PDF Des tableurs Des fichiers textes Des donnes provenant des systmes dopration AS/400 Les bases de donnes, dont Access, et les donnes en format
XML
Des ajouts au logiciel de base permettent dinterroger les applications SAP
Les serveurs centraux (mainframe) (travail plus complexe)
49
Lintgrit des donnes source est un critre de base essentiel et non ngociable.
-
GTAG16 Comment les outils peuventtaider Analyse de donnes 50
1. Calcul Paramtres statistiques (moyennes, dviations, plus hautes et plus basses valeurs) afin didentifier des transactions tranges.
2. Classer Trouver des tendances ou des associations parmi des groupes de donnes.
3. Stratifier Valeurs numriques afin didentifier des valeurs non usuelles (excessivement hautes ou basses).
4. Loi de Benfords Identifier des occurrences statistiquement improbables.
5. Joindre Diffrents types de donnes sources afin didentifier des donnes non assorties telles que le nom, adresse, etc.
6. Dupliquer Identifier des transactions dupliques telle que paiements, paies, etc.
7. cart Tester une srie afin de trouver un bris dans une squence.
8. Somme Additionner des donnes afin de valider des totaux de contrles.
9. Valider Des dates afin de trouver des lments suspicieux.
-
GTAG16 Exemples dutilisationAnalyse de donnes
51
Section Contrle Analyse de donnes
Paiement Lapplication ne permet pas un doublon de paiement.
Obtenir les paiements.Valider quil ny a pas de paiement en double (mme vendeur, mme montant et mme numro de fournisseur).
Achat de marchandises
Les PO vieux de troismois et plus ne seront pas traits.
Obtenir la liste des PO produits.Dterminer si des PO de 3 mois et plus ont t traits.
Achat de marchandises
La personne qui cre le PO nest pas celle qui lapprouve.
Obtenir la liste des PO crs.Obtenir la liste des PO approuvs.Comparer les deux concernant la sparation des tches.
Rception de biens
Tous les biens reus sont valids auprs du PO.
Obtenir la liste des biens reus et des PO.Valider que les quantits sont les mmes.
-
GTAG16 Cadres de rfrenceAnalyse de donnes
52
CobiT V4 Non pertinent
ITIL V3 - Conception des services Non pertinent
COSO Non pertinent
ISO 27002 Non pertinent
-
Questions 1 minuteAnalyse de donnes
53
-
GTAG9Gestion des identits etdes accs(32 pages)
54
-
GTAG9 ObjectifsGestion des identits et des accs
Comprendre le rle de la gestion des identits et des accs pour lorganisation et suggrer les points approfondir lors dun audit interne.
Mme si de nombreux dirigeants estiment que la gestion des identits et des accs relve de la direction des systmes dinformations (DSI), elle concerne en fait toutes les directions mtiers de lentreprise
55
PresenterPresentation Notes3 grands thmes: AdministrationPolitiques, stratgies, analyses de risquesProvisionnementAttribuer, modifier et supprimer les accsExcutionDissuader, empcher et dtecter les violations au processus
-
GTAG9 IntroductionGestion des identits et des accs
Les obligations rglementaires et les pratiques de gestion prudentes ont conduit les organisations accrotre au maximum le degr de granularit des droits daccs.
Le management doit dterminer avec prcision les droits ncessaires aux utilisateurs au lieu de leur accorder des ressources dont ils nont pas vraiment besoin.
56
PresenterPresentation NotesFacteurs gestion de risque et efficience
-
GTAG9 Introduction (suite)Gestion des identits et des accs
Daprs un rapport prvisionnel rcent du groupe de presse International Data Group (IDG), les dpenses consacres la gestion des identits et des accs et aux systmes connexes devraient augmenter rapidement. La gestion des identits et des accs devrait donc bientt figurer
au premier rang des projets informatiques de nombreuses organisations.
Dans de nombreuses organisations, la suppression des droits daccs utilisateurs ou des droits daccs associs une identit numrique peut prendre jusqu trois ou quatre mois, ce qui peut reprsenter un risque inacceptable, surtout si lutilisateur peut encore accder aux systmes et ressources de lentreprise alors quil a t rvoqu.
57
PresenterPresentation NotesFacteurs gestion de risque et efficience
-
GTAG9 Requte de changementsdes droits daccsGestion des identits et des accs 58
Employ ou systme
Soumet une requte
Vrification de la
sparation des tches
Transfert vers le premier
approbateur
Gestionnaire ou
administrateur de la scurit
Approuve la requte
Transfert vers les
approbateurs additionnels
Propritaire de
lapplication
Approuve la requte
Appr
obat
ions
Appr
obat
ions
Rgles -sparation des tches Rpertoire des droits daccs
Application vise
Accs automatiquement
accord
Rgles de configuration
Lapplication est responsable de mettre en force les contrles daccs.
PresenterPresentation NotesProvisionnement
-
GTAG9 Cadres de rfrenceGestion des identits et des accs
59
CobiT V4 PO4.9 Proprit des donnes et du systme PO6.1 Politique informatique et environnement de contrle DS5.3 Gestion des identits DS5.4 Gestion des comptes utilisateurs
ITIL V3 - Exploitation des services Gestion des accs
COSOs Internal Control over Financial Reporting -Guidance for Smaller Public Companies Activit de contrles Principe 14
ISO 27002 8 Scurit lie aux ressources humaines 11 Contrle daccs
-
Questions 1 minuteGestion des identits et des accs
60
-
GTAG12Audit des projets informatiques(46 pages)
61
-
GTAG12 ObjectifAudit des projets informatiques
Ce GTAG a pour objectif doffrir aux auditeurs internes et leur responsable une vue densemble des techniques permettant de collaborer efficacement avec les quipes de projet et les instances de pilotage de projet sur lvaluation des risques lis aux projets TI.
Le champ de la gestion de projet tant extrmement vaste, lobjectif de ce guide est de dfinir un cadre dvaluation des risques lis aux projets, de donner des exemples de risques courants lis la gestion de projet et dtudier comment laudit interne peut participer activement lexamen des projets sans perdre son indpendance.
62
-
GTAG12 ObjectifAudit des projets informatiques
63
Cinq thmes centraux de laudit
-
GTAG12 IntroductionAudit des projets informatiques
Au sens courant, un projet est un ensemble d'activits, avec un dbut et une fin dfinis, qui est entrepris pour atteindre un objectif donn dans des contraintes prcises de calendrier, de contenu et de ressources.
Aujourdhui, pour dterminer si un projet est un succs, il ne suffit plus de mesurer si les dlais et le budget ont t respects. Les projets qui chouent ou qui sont menacs peuvent avoir un impact considrable sur l'organisation, selon les besoins mtiers qui les sous-tendent.
Cest la direction gnrale quil incombe de veiller ce que le projet aboutisse et que les rsultats attendus soient atteints.
64
-
GTAG12 IntroductionAudit des projets informatiques
65
tude CHAOS
-
GTAG12 10 facteurs de russiteAudit des projets informatiques
66
1. Participation des utilisateurs Les utilisateurs des directions mtiers et des TI participent aux principaux processus de ralisation dun consensus, de prise de dcision et de collecte dinformations.
2. Soutien de la direction gnrale Les dirigeants assurent la cohrence avec la stratgie de lorganisation, ainsi quun soutien financier et psychologique et une assistance dans la rsolution des conflits.
3. Clart des objectifs de lorganisation Les partenaires comprennent lintrt intrinsque du projet et sa cohrence par rapport la stratgie de lorganisation.
4. Souplesse de loptimisation Le projet emploie des processus itratifs de dveloppement et doptimisation pour viter les lments inutiles et sassurer que les lments essentiels sont bien intgrs.
5. Maturit psychologique Le chef de projet gre les motions et les actions des partenaires du projet et vite certaines attitudes (ambition, arrogance, ignorance, abstention et dloyaut).
6. Connaissance de la gestion de projet Lorganisation fait appel des chefs de projet qui ont les comptences et connaissent les pratiques de base, par exemple des chefs de projets titulaires de la certification PMP (Project Management Professional) du Project Management Institute.
-
GTAG12 10 facteurs de russiteAudit des projets informatiques
67
7. Gestion financire Le chef de projet est capable de grer les ressources financires, de justifier le budget ou les dpenses et dexpliquer lintrt du projet.
8. Comptences des ressources Des personnes comptentes sont recrutes, diriges, retenues et contrles afin de pouvoir continuer avancer en cas de problmes de personnel, notamment de rotation du personnel.
9. Formalisation de la mthodologie Il existe un ensemble prdfini de techniques bases sur les processus qui constituent une feuille de route o sont indiqus les vnements qui doivent se produire, quand, comment et dans quel ordre.
10. Outils et infrastructure Linfrastructure du projet est labore et gre laide doutils permettant la gestion des tches, des ressources, des exigences, des changements, des risques, des fournisseurs, de ladhsion des utilisateurs et de la qualit.
-
GTAG12 Structure dun projetAudit des projets informatiques
68
-
GTAG12 Cadres de rfrenceAudit des projets informatiques
69
CobiT V4 PO10 - Grer les projets
ITIL V3 - Conception des services Plus orient gestion des changements que gestion de projets
COSO Pas vraiment pertinent pour la gestion de projets
ISO 27002 Plus orient opration et scurit que gestion de projets 12 - Acquisition, dveloppement et maintenance des
systmes dinformation
-
Questions 1 minuteAudit des projets informatiques
70
-
Retour dans 15 minutes
71
Pause
-
GTAG2 (2e dition)Contrles de la gestion du changement et des patchs : Un facteur cl de russite pour toute organisation(34 pages)
72
-
GTAG2 ObjectifsContrles de la gestion du changement et des patchs
Acqurir une connaissance oprationnelle des processus de gestion des changements informatiques.
Distinguer rapidement les bons processus de gestion des changements de ceux qui sont inefficaces.
Reconnatre rapidement les indicateurs et signaux dalerte pointant une dfaillance des contrles lis la gestion des changements.
Prendre conscience que lefficacit de la gestion des changements repose sur la mise en place de contrles prventifs, dtectifs et correctifs qui assurent la sparation des fonctions et la supervisionapproprie du management.
Recommander les meilleures pratiques connues pour remdier aux dfaillances afin de vrifier que les risques sont matriss (et que les contrles sont bien effectus) et daccrotre lefficacit et lefficience.
Faire passer plus efficacement vos recommandations auprs de votre directeur des systmes dinformation, de votre directeur gnral ou de votre directeur financier.
73
-
GTAG2 IntroductionContrles de la gestion du changement et des patchs
La gestion des changements est lune des disciplines les plus difficiles mettre en uvre. Elle ncessite une collaboration entre une quipe pluridisciplinaire compose de dveloppeurs dapplication, de personnel de lexploitation informatique et dutilisateurs.
Possder une culture de gestion des changements qui empche et dissuade de procder des changements nonautoriss est une condition essentielle une gestion efficace des changements.
74
-
GTAG2 IntroductionContrles de la gestion du changement et des patchs
Bnfices dune saine gestion des changements Consacrer moins de temps et dnergie dans les SI pour des
interventions non planifies. Consacrer davantage dargent et dnergie dans les SI pour
excuter de nouvelles tches et atteindre les objectifs de lentreprise.
Connatre moins de priodes dindisponibilit. tre plus focalis sur les amliorations que sur les rparations
en urgence. Concerter les efforts sur les priorits du mtier de lentreprise. Motiver le personnel SI (participer lamlioration des
oprations plutt que dteindre des feux) Satisfaire les besoins des utilisateurs finaux.
75
-
GTAG2 Indicateurs dune mauvaisegestion des changementsContrles de la gestion du changement et des patchs
Changements non autoriss Interruptions de service non prvues Faible taux de russite du changement Nombre lev de changements en urgence Retard dans les dploiements de projets
76
-
GTAG2 Tches non planifiesContrles de la gestion du changement et des patchs
La limitation des tches non planifies est un indicateur dun processus efficace de gestion des changements.
On ne peut valuer ce que lon ne mesure pas
77
-
GTAG2 Variables cls influenant les processus de gestion des changementsContrles de la gestion du changement et des patchs 78
Par le taux de changements, le taux de russite du changement,
la dure moyenne de reprise (MMTR)
PresenterPresentation NotesMesures principales de rduction des risquesDonner le ton au sommet (Aucun changement non autoris nest tolr)Surveillances des interruptions/incidents et leur dureCalendrier (Migrer hors des heures de travail et par tapes)Utiliser le taux de russite du changement comme indicateur de performanceUtiliser le nombre de tches non planifies comme indicateur de performance
-
GTAG2 Cadres de rfrenceContrles de la gestion du changement et des patchs
79
CobiT V4 AI 6 Grer les changements AI7 Acqurir et implmenter
ITIL V3 Transition des services / Gestion des changements
Internal Control over Financial Reporting Guidance for Smaller Public Companies Gestion des changements
ISO 27002 12 Acquisition, dveloppement et maintenance des systmes
dinformation 12.5.1 Procdures de contrle des modifications
-
Questions 1 minuteContrles de la gestion du changement et des patchs
80
-
GTAG14Auditer les applications dveloppes par les utilisateurs (ADU)(32 pages)
81
PresenterPresentation NotesAjouts FLG en vert(Excel, Access, etc.)
-
GTAG14 ObjectifsAuditer les applications dveloppes par les utilisateurs (ADU)
Identifier la disponibilit dun cadre de contrle qui comprend une politique, les procdures, linventaire et lvaluation des risques lgard des applications internes.
Utiliser le cadre de contrle dfini au point 1 afin de dfinir la population des applications internes tre incluses dans laudit TI.
82
-
GTAG14 ObjectifsAuditer les applications dveloppes par les utilisateurs (ADU)
Aider la direction dvelopper un cadre de contrle des applications internes efficient :
Utiliser des techniques prouves afin didentifier la population des applications internes.
valuer les risques associs chaque application interne, bass sur le potentiel dimpact et la probabilit quune occurrence se produise.
83
-
GTAG14 IntroductionAuditer les applications dveloppes par les utilisateurs (ADU)
Dfinition Rgle gnrale, ce sont des applications internes comme des tableurs Excel ou des petites applications comme Access cres et utilises par les utilisateurs finaux.
Bnfice La plupart des organisations utilisent ce type dapplications parce quelles sont faciles et moins coteuses dvelopper et maintenir, en plus de permettre de contourner les contrles gnraux des TI pour en faciliter et en acclrer limplantation.
Risque Le contournement des contrles gnraux des TI pose un risque de confidentialit, dintgrit et de disponibilit des donnes extraites, calcules, tries et compiles par ce type dapplication.
84
PresenterPresentation Notesles donnes recueillies depuis 50ans sur les bogues et erreurs humaines nous indiquent que, dans le meilleur des cas, on compte un minimum de trois erreurs par tranche de 1000 lignes de code). http://www.camagazine.com/archives-fr/edition-imprimee/2009/aug/regulars/camagazine29127.aspx
-
GTAG14 Les risquesAuditer les applications dveloppes par les utilisateurs (ADU)
Manque de structure lgard du dveloppement, de la gestion des changements ou de la gestion des versions
Entreposage et gestion de limportation des donnes Manque dexprience de la personne qui dveloppe
lapplication
Manque de documentation Insuffisance des contrles touchant lentre et la sortie de
donnes
Tests insuffisants
85
Est-ce que la personne qui a dvelopp lapplication interne a les connaissances et lexprience pour grer les risques lis aux applications internes?
-
GTAG14 Les bonnes pratiquesAuditer les applications dveloppes par les utilisateurs (ADU)
Contrles daccs Contrles des donnes sources Contrles des donnes sortantes (rsultats) Contrles lgard de la gestion des changements Gestion des archives, sauvegardes et versions Documentation (politiques, procdures, guides)
86
Les contrles lgard des applications internes sont trs similaires aux contrles gnraux TI.
PresenterPresentation NotesCommentairesProtger les feuilles de travailLes rendre statiques, format plat, protgesProtger les formules, comparer aux attentesFaire un parallle avec lancien process manuel (souvent un UDA sert automatiser qqchose de manuel)
-
GTAG14 Dfinir le primtre dauditAuditer les applications dveloppes par les utilisateurs (ADU)
Dfinir la notion dADU cl Recenser la population dADU tablir les facteurs de risques Classification au risque des ADU
87
PresenterPresentation NotesAjouts FLG en vert
-
GTAG14 Dfinir la stratgie dauditAuditer les applications dveloppes par les utilisateurs (ADU)
Deux scnarios1. Le cadre de contrle est efficace
Tester les contrles Effectuer un test dacheminement
2. Le cadre de contrle est inefficace Recommander la mise en place de contrles Rexcution du traitement
Sur base dchantillon
Sur le traitement intgral de lADU en procdant par technique daudit assist par ordinateur (TAAO)
88
-
GTAG14 Cadres de rfrenceAuditer les applications dveloppes par les utilisateurs (ADU)
89
CobiT V4 PO6.2 Cadre de rfrence des contrles et risques
informatiques AI2.4 Scurit et disponibilit des applications AI2.7 Dveloppement dapplications
ITIL V3 - Conception des services Pas un cadre spcifique aux applications internes
COSO De faon gnrale, cest un sujet important dans le cadre
dun audit de conformit SOX et 52-109
ISO 27002 12 Acquisition, dveloppement et maintenance des systmes
dinformation 11 Contrles daccs 5 Politique de scurit
-
Questions 1 minuteAuditer les applications dveloppes par les utilisateurs (ADU)
90
-
GTAG8Audit des contrles applicatifs(32 pages)
91
-
GTAG8 ObjectifsContrles applicatifs
Informer sur les aspects suivants : Dfinition et avantages des contrles applicatifs
Rle des auditeurs internes
Excution dune valuation des risques
Dlimitation de ltendue de la revue des contrles applicatifs
Approches de la revue des applications et autres considrations
Comprendre la diffrence entre les contrles applicatifs et les contrles gnraux informatiques (CGTI)
92
-
GTAG8 IntroductionContrles applicatifs
Dfinition des contrles applicatifs Les donnes dentre sont exactes, compltes, autorises et
correctes.
Les donnes sont traites conformment aux objectifs et dans un dlai acceptable
Les donnes stockes sont exactes et compltes
Les donnes de sortie sont exactes et compltes.
Un enregistrement du processus est conserv.
93
-
GTAG8 CGTI versus Contrles applicatifsContrles applicatifs
Les CGTI sappliquent tous les composants, processus et donnes des systmes dun organisation.
Les contrles applicatifs sappliquent aux transactions et aux donnes relatives chaque systme dapplication.
Les CGTI doivent fonctionner efficacement pour que les contrles applicatifs puissent grer le risque.
94
-
GTAG8 Pondration du risqueContrles applicatifs
95
-
GTAG8 videnceContrles applicatifs
On ne peut vrifier ce que lon ne comprend pas
96
Il est essentiel de comprendre les fonctionnalits et processus entourant les contrles applicatifs avant de commencer laudit.
-
GTAG8 Audit des contrles applicatifsContrles applicatifs
97
valuation du risque Dtermination de ltendue de la revue en fonction de la mthode du processus
dentreprise ou en fonction de la mthode de lapplication unique Examen des contrles daccs laboration du plan de travail laboration du programme dexamen dtaill valuation du besoin en ressource spcialise Ralisation du mandat (tests, documentation et rsultats ) Communication des rsultats
-
GTAG8 Cadres de rfrenceContrles applicatifs
98
CobiT V4 Aucun objectif prcis, mais lensemble du cadre peut devenir
un outil essentiel
ITIL V3 Ne sapplique pas vraiment dans le cadre de ce GTAG
COSOs Internal Control over Financial Reporting -Guidance for Smaller Public Companies Cadre descriptif assez complet touchant la question
ISO 27002 Pas de section particulire
-
Questions 1 minuteContrles applicatifs
99
-
GTAG13Prvention et dtection de la fraude dans un contexte automatis(35 pages)
100
-
GTAG13 ObjectifsPrvention et dtection de la fraude
Ce guide se veut un complment au guide pratique de lIIA sur laudit interne et la fraude. Il vise informer et guider les directeurs de laudit interne et les auditeurs internes sur la faon dutiliser la technologie pour aider prvenir la fraude, la dtecter et y ragir.
Les principales thmatiques portent sur les risques de fraude lie aux systmes de TI, lvaluation de ces risques et la manire dont la technologie peut aider les auditeurs internes et les autres parties prenantes au sein de lorganisation composer avec la fraude et les risques de fraude.
101
-
GTAG13 IntroductionPrvention et dtection de la fraude
Dfinition Tout acte illgal caractris par la tromperie, la dissimulation ou la violation de la confiance sans quil y ait eu violence ou menace de violence. Les fraudes sont perptres par des personnes et des organisations afin dobtenir de largent, des biens ou des services, ou de sassurer un avantage personnel ou commercial .
Norme IIA 1210.A2 Les auditeurs internes doivent possder des connaissances suffisantes pour valuer le risque de fraude et la faon dont ce risque est gr par lorganisation. Toutefois, ils ne sont pas censs possder lexpertise dune personne dont la responsabilit premire est la dtection et linvestigation des fraudes.
Norme IIA 2060 Rapports au conseil et la direction gnrale Le responsable de laudit interne doit rendre compte priodiquement la direction gnrale et au conseil des missions, des pouvoirs et des responsabilits de laudit interne, ainsi que du degr de ralisation du plan daudit.
102
-
GTAG13 Politique denqute surles fraudesPrvention et dtection de la fraude
Ce que doit comprendre une politique denqute sur les fraudes Quand et comment entreprendre une enqute sur fraude Les documents ncessaires pour faire une enqute sur fraude Comment choisir les membres de lquipe denqute La marche suivre pour ajouter des experts lquipe Comment valuer et attnuer le risque li aux contrles internes Quand et comment confier lenqute lchelon suprieur Comment assurer la cohrence et luniformit, de manire ce
que toutes les infractions soient traites de la mme faon Des directives sur ltape jusqu laquelle lorganisation est prte
pousser lenqute Les voies de communication utiliser avant, pendant et aprs
lenqute Des directives sur lampleur des mesures correctives dployer
103
-
GTAG13 valuation des manuvres frauduleusesPrvention et dtection de la fraude
Voici deux mthodes pour valuer le potentiel de manuvres frauduleuses du point de vue du fraudeur :1. Mthode axe sur la faiblesse des contrles On value le
potentiel de fraude en examinant les contrles cls pour voir qui pourrait profiter dune faiblesse dans les contrles et de quelle manire un fraudeur pourrait contourner un contrle dficient.
2. Mthode axe sur les champs cls On value le potentiel de fraude en examinant les donnes saisies, quels champs peuvent tre manipuls (et par qui) et quelles seraient les consquences.
104
-
GTAG13 Grille dvaluation du risquePrvention et dtection de la fraude
Propritaire dentreprise
Risques de fraude Contrles
Prvention ou dtection Surveillance Probabilit Incidence
TI DSI Des contrles physiques insuffisants du matriel de TI donnent lieu des changements, la destruction ou lutilisation illicite du matriel des fins denrichissement personnel. (Scurit physique)
Matriel informatique critique situ dans des centres de donnes scuriss Accs restreint aux
centres de donnes selon les responsabilits Utilisation de dispositifs
de scurit varis(p. ex., carte daccs, surveillance par camra en circuit ferm, gardiens de scurit) Politiques et procdures
consignes par crit Maintien dun registre
des visiteurs Utilisation de cbles de
scurit pour les ordinateurs portables Inventaire trimestriel des
postes de travail Mthodes
dapprovisionnement officielles
Les deux Gestion du centre de donnes Prvention des
pertes Gestion des
risques lis aux TI Oprations TI Surveillance
quotidienne des registres de visiteurs par les gestionnaires Inventaires
priodiques effectus par la gestion de lactif Rapprochement
des comptes dapprovisionne-ment Audit interne
Faible leve
105
-
GTAG13 AcquisitionsPrvention et dtection de la fraude
106
Limportance de lacquisition des donnes : Assurance de lintgrit des donnes Un professionnel
chevronn doit copier les donnes du disque dur suspect vers un disque dur de lauditeur.
La chane de preuves Des outils spcialiss assurent que les donnes nont pas t modifies lors du transfert des donnes.
Lorganisation de la preuve Des procdures claires et bien excutes permettent davoir lassurance que la chane de preuves na pas t brise.
-
GTAG13 Dtection des fraudes par lanalyse des donnes (IDEA et ACL)Prvention et dtection de la fraude
Types de tests de fraude : Des exemples
107
Types de fraude Tests servant dcouvrir la fraudeVentes fictives Chercher les adresses de botes aux lettres : Faire un
croisement entre ladresse des fournisseurs et des employs.Faire attention aux fournisseurs dont les informations sont similaires, avec mmes adresses et numros de tlphone.
Paiements en double Chercher les factures avec les mmes numros.Chercher les factures dont les montants payer sont identiques.Vrifier les demandes rcurrentes pour le remboursement des factures payes deux fois.
Paie un employ ayant quitt lentreprise
Comparer la date de dpart des employs avec la liste des chques de paie.Parcourir la liste des employs sur le registre de la paie.
-
GTAG13 Utilisation de la technologie dansla prvention et la dtection de la fraudePrvention et dtection de la fraude
Outils Ex. : EnCase ou FTK Spcialisation Les auditeurs internes, rgle gnrale,
nont pas ce type dexpertise. Des experts externes sont souvent utiliss.
Expertise judiciaire Un processus comprenant la conservation, lidentification, lextraction et la documentation de matriel et de donnes informatiques des fins de preuve et danalyse des causes profondes. Voici des exemples dactivits lies lexpertise judiciaire en informatique : Rcupration de courriels supprims; Surveillance du courrier lectronique en vue de dtecter des
indices de fraude; Enqute suivant une cessation demploi; Rcupration de preuves suivant le formatage dun disque dur.
108
-
GTAG13 Utilisation de la technologie dansla prvention et la dtection de la fraude Prvention et dtection de la fraude
Lexpertise judiciaire en informatique Elle permet dtablir et de maintenir une chane de possession continue, laquelle est essentielle pour dterminer ladmissibilit dun lment de preuve devant les tribunaux.
Expertise de lauditeur interne Bien quon ne sattende pas ce que les directeurs de laudit interne et les auditeurs internes soient des experts en la matire, les directeurs de laudit interne doivent avoir une comprhension gnrale des avantages que procure cette technologie afin de pouvoir recruter, au besoin, des experts comptents pour collaborer une enqute sur fraude.
109
-
GTAG13 Cadres de rfrencePrvention et dtection de la fraude
110
CobiT V4 Pas vraiment ax sur la fraude
ITIL V3 - Conception des services Pas vraiment ax sur la fraude
COSO Sujet abord de faon gnrale et en lien avec le reporting
financier
ISO 27002 Aucune section spcifique sur la fraude, lensemble du
document traite de faon gnrale de la fraude
-
Questions 1 minutePrvention et dtection de la fraude
111
-
GTAG15Gouvernance de la scurit de linformation (GSI)(28 pages)
112
-
GTAG15 ObjectifsGouvernance de la scurit
Ce guide fournit une rflexion et une approche aux responsables de la vrification interne TI afin que le plan daudit TI incorpore des mesures touchant la gouvernance de la scurit de linformation TI (attitudes, pratiques, etc.) : Identifier et dfinir les mesures de gouvernance lgard de
la scurit de linformation. Aider les auditeurs internes TI afin ceux-ci posent les bonnes
questions et connaissent quels types de documents sont requis.
Dcrire le rle de lauditeur interne TI lgard de la gouvernance de la scurit de linformation.
113
-
GTAG15 IntroductionGouvernance de la scurit
Dfinition La gouvernance de la scurit de linformation consiste au leadership, la structure organisationnelle et aux processus qui assurent que le systme dinformation de lentreprise supporte les stratgies et les objectifs de lorganisation.
Gouvernance Les TI ne sont pas les seules dpositairesde la gouvernance de la scurit de linformation, mais en termes dimpact, elles devraient tre la premire place investiguer.
Comprhension Dpendant des entreprises, la comprhension dune bonne gouvernance de la scurit de linformation peut tre trs diffrente.
114
-
GTAG15 IntroductionGouvernance de la scurit
115
Information Security Governance Triangle
-
GTAG15 ResponsabilitsGouvernance de la scurit
116
Le conseil dadministration donne le ton en ce qui a trait la gouvernance de la scurit de linformation.
-
GTAG15 RisquesGouvernance de la scurit
Non-respect des diffrentes rglementations Atteinte la rputation de lentreprise Perte de comptitivit Donnes incompltes ou inexactes Augmentation du risque de fraude
117
Il est important pour lauditeur interne IT de comprendre le niveau dapptence du risque de lorganisation et du conseil dadministration.
-
GTAG15 Auditeur TIGouvernance de la scurit
Afin de performer un audit touchant la gouvernance de la scurit de linformation, lauditeur TI doit tre : Trs expriment et aguerri; laise avec les concepts de gouvernance; En mesure dvaluer les risques internes et externes; laise pour communiquer avec la direction et la haute
direction.La direction de la laudit interne doit tre implique dans ce type daudit.
118
Lauditeur TI doit tre une personne ayant une vision large des enjeux de scurit, de gestion et de gouvernance dans un cadre global.
-
GTAG15 Cadres de rfrenceGouvernance de la scurit
119
CobiT V4 Lensemble de la famille PO - Planifier et organiser
ITIL V3 - Conception des services La famille Dfinition stratgique pourrait aider
comprendre certains volets touchant la gouvernance
COSO De faon gnrale, cest un sujet important dans le cadre
dun audit de conformit SOX et 52-109
ISO 27002 Cadre davantage oprationnel que de gouvernance. Pas
vraiment appropri pour ce type daudit
-
Questions 1 minuteGouvernance de la scurit
120
-
GTAG17Audit de la gouvernance TI(24 pages)
121
-
GTAG17 ObjectifsAudit de la gouvernance TI
But du guide Permettre lquipe daudit interne de respecter la norme 2110 de lIIA.
122
-
GTAG17 IntroductionAudit de la gouvernance TI
Ce guide fournit une rflexion et une approche aux responsables de la vrification interne TI afin que le plan daudit TI incorpore des mesures touchant la gouvernance des technologies de linformation afin de : identifier et dfinir les processus et structures implants par le
CA pour informer, diriger, grer, surveiller (monitoring) les activits de lorganisation afin de
respecter les objectifs organisationnels dfinis par le CA.
123
Le conseil dadministration (CA) est lultime entit responsable de latteinte des objectifs organisationnels.
-
GTAG17 IntroductionAudit de la gouvernance TI
124
-
GTAG17 IntroductionAudit de la gouvernance TI
125
Les cinq composantes touchant la gouvernance TI
-
GTAG17 Organisation et structure de gouvernanceAudit de la gouvernance TI
126
Imputabilit Communication La structure de gouvernance doit tre aligne avec la
structure organisationnelle
Implication des managers TI dans les dcisions stratgiques Place des TI dans lorganisation Dfinition des rles et responsabilits
-
GTAG17 Support et leadershipAudit de la gouvernance TI
127
Vision claire de la haute direction Communication claire lgard des objectifs TI (ex. : ROI) Les TI doivent tre vues comme un lment stratgique, pas
juste un cot
Plan stratgique qui oriente les actions TI Rles et responsabilits du dirigeant TI senior (CIO) CIO impliqu dans lquipe de direction
-
GTAG17 Planification stratgique et oprationnelleAudit de la gouvernance TI
128
Gouvernance TI en lien avec le plan stratgique CIO responsable du plan tactique align sur plan stratgique Plan tactique = Comment accomplir les objectifs dfinis et
comment mesurer leurs atteintes
Les TI doivent mesurer comment elles contribuent latteinte du plan stratgique
Les TI doivent tre perues comme un partenaire stratgique dans latteinte des objectifs organisationnels
Notion de valeur lgard des investissements TI (ROI)
-
GTAG17 Livrables et mtriquesAudit de la gouvernance TI
129
Modle financier et mtriques TI Utilisation de donnes justes Compilation de donnes pertinentes valuation quantitative et qualitative Satisfaction des parties prenantes fait partie des mtriques Systme de cots adquat et pertinent Comparaison (benchmark) avec dautres organisations
comparables
-
GTAG17 Organisation TI et gestion du risqueAudit de la gouvernance TI
130
Succs TI en lien avec le leadership de la haute direction et du CA
Gestion des risques adquate (humain, technique, etc.) Niveau de maturit des processus TI Niveau de complexit des oprations, applications, etc. Niveau de normalisation des diffrents processus Organisation des TI Niveau dexpertise et dexprience
-
GTAG17 Cadres de rfrenceAudit de la gouvernance TI
131
CobiT V4 Lensemble de la famille PO - Planifier et organiser
ITIL V3 - Conception des services La famille Dfinition stratgique pourrait aider
comprendre certains volets touchant la gouvernance
COSO De faon gnrale, cest un sujet important dans le cadre
dun audit de conformit SOX et 52-109
ISO 27002 Cadre davantage oprationnel que de gouvernance. Pas
vraiment appropri pour ce type daudit
-
Questions 1 minuteAudit de la gouvernance TI
132
-
GTAG6Grer et auditer les vulnrabilits des technologies de linformation(21 pages)
133
-
GTAG6 ObjectifsVulnrabilits TI
Poser les bonnes questions aux spcialistes de la scurit des TI (DSSI) lors de lexamen des procdures de gestion des vulnrabilits.
Ce guide touche le monde de la scurit (intrusion, dtection, virus, etc.).
134
-
GTAG6 IntroductionVulnrabilits TI
Chaque jour, on dcouvre plus de 12 vulnrabilits dans les matriels et logiciels.
La gestion des vulnrabilits devient une priorit absolue. Les auditeurs internes doivent confirmer que le conseil
dadministration a bien t inform des menaces ou incidentssurvenus, des faiblesses exploites et des mesures correctives.
Les auditeurs internes formulent des recommandations.
135
-
GTAG6 Cycle de gestion des vulnrabilitsVulnrabilits TI
136
-
GTAG6 IndicateursVulnrabilits TI
137
-
GTAG6 Cadres de rfrenceVulnrabilits TI
138
CobiT V4 DS5 Assurer la scurit des systmes DS10 Grer les problmes
ITIL V3 - Exploitation des services (Service Operation) Gestion des requtes Gestion des vnements Gestion des accs Gestion des problmes Gestion des incidents
La gestion des risques de lentreprise Cadre de rfrence Cadre gnral
ISO 27002 Section 6 Organisation de la scurit de linformation Section 4 Apprciation et traitement du risque Section 10.1.2 Gestion des modifications Section 10.8.5 Systmes dinformation dentreprise section 12.6 Gestion des vulnrabilits techniques
-
GTAG6 Rfrences autresVulnrabilits TI
139
Common Vulnerability Scoring System (CVSS) Le CVSS est un rfrentiel ouvert qui permet aux utilisateurs
de classer les vulnrabilits des TI en fonction de niveaux de gravit standardiss entre diffrents fournisseurs et de les hirarchiser suivant le risque quelles induisent pour leur organisation
The Laws of Vulnerabilities Cette tude dcrit les six axiomes relatifs au comportement
des vulnrabilits qui se dgagent dun projet de recherche long terme
National Vulnerability Database (NVD) La NVD est une vaste base de donnes amricaine sur la
cyberscurit. Elle inclut toutes les informations sur la vulnrabilit publies par les tats-Unis
SANS Top 20 Les 20 failles de scurit sur Internet les plus critiques sont
prsentes dans un document vivant, avec des instructions dtailles
-
Questions 1 minuteVulnrabilits TI
140
-
GTAG10Gestion de la continuit dactivit(48 pages)
141
-
GTAG10 ObjectifsGestion de la continuit dactivit
Le prsent guide dcrit les connaissances dont doivent disposer les membres des organes de direction, lencadrement et les auditeurs internes pour apprhender lefficacit des dispositifs de reprise dactivit et leur impact sur lentreprise.
Ce GTAG a t rdig en tenant compte du point de vue du responsable de laudit interne. Ce dernier a la tche difficile de sensibiliser les chefs dentreprise aux risques, aux contrles, aux cots et aux avantages lis ladoption dun programme de gestion de la continuit.
142
-
GTAG10 IntroductionGestion de la continuit dactivit
Il appartient au responsable de laudit interne de signaler les carences de la gestion de la continuit la direction et au comit daudit.
La gestion de la continuit dactivit est le processus par lequel une organisation se prpare des incidents futurs qui pourraient menacer sa mission principale et sa viabilit long terme.
Ces incidents peuvent tre des vnements locaux (ex. : lincendie dun btiment, rgionaux (ex. : un sisme) ou nationaux (ex. : une pandmie).
143
-
GTAG10 Questions clsGestion de la continuit dactivit
144
Trois questions simples, mais fondamentales, concernant la continuit dactivit :
Si la rponse lune de ces questions est non , le prsent guide sera srement trs utile!
1. La direction de lorganisation comprend-elle bien le niveau actuel de risque de non-continuit dactivit, ainsi que limpact potentiel de tel ou tel degr probable dinterruption des oprations?
2. Lorganisation peut-elle dmontrer que les risques de non-continuit de lactivit sont ramens un niveau acceptable aux yeux de la direction et font priodiquement lobjet dune nouvelle valuation?
3. Si le risque de non-continuit de lactivit est inacceptable, mais que lencadrement a dcid de lassumer, les actionnaires, les partenaires commerciaux et autres acteurs sont-ils au courant de cette dcision de ne pas rduire le risque? Cette dcision daccepter le risque est-elle correctement documente?
-
GTAG10 Gestion des situationsdurgenceGestion de la continuit dactivit 145
-
GTAG10 Catastrophes naturellesGestion de la continuit dactivit
146
-
GTAG10 Diagramme de ralisationdun plan de continuit des affairesGestion de la continuit dactivit 147
Implication de la direction dans le plan de continuit des affaires1. Btir un plan daffaire et comprendre sa valeur2. tablir un plan de continuit des affaires
Effectuer une valuation du risque de la continuit des affaires1. valuer limpact des vnements pouvant causer des interruptions2. Dvelopper des stratgies pour minimiser limpact des risques sur la continuit
Effectuer une valuation dimpact des affaires1. Identifier les processus daffaire cls2. Dfinir les dlais de recouvrement pour les processus cls identifis 3. Identifier le recouvrement des ressources physiques (ex: aires de travail)
Dfinir la stratgie de continuit et le recouvrement des affaires
1. Dfinir les besoins en ressources humaines2. Dfinir les sources dapprovisionnement critiques3. Dfinir les aires de travail requises pour le recouvrement
tablir un plan de relve informatique1. Comprendre les besoins en recouvrement des affaires2. Slectionner les solutions de recouvrement et les sites de
recouvrement
Dployer, vrifier et maintenir le plan de continuit des affaires1. Renseigner le personnel sur le plan de la continuit des affaires et former ce personnel2. Tester le plan 3. Maintenir le plan
-
GTAG10 Comprendre la DMIA et le DPMAGestion de la continuit dactivit
148
PresenterPresentation NotesDure maximum dinterruption acceptable, Dlai de perte maximale acceptable
-
GTAG10 Cadres de rfrenceGestion de la continuit dactivit
149
CobiT V4 DS4 Assurer un service continu
ITIL V3 - Conception des services Gestion de la continuit
COSO Nest pas un enjeu dans le monde de COSO
ISO 27002 14 Gestion du plan de continuit de lactivit
-
Questions 1 minuteGestion de la continuit dactivit
150
-
GTAG7Linfogrance(37 pages)
151
-
GTAG7 ObjectifsInfogrance
Quest-ce que le service daudit interne doit prendre en compte
Les diffrents types dinfogrance Comprendre le cycle de vie et les modalits
152
-
GTAG7 IntroductionInfogrance
Linfogrance est souvent dfinie comme le recours des prestataires de services ou des fournisseurs afin quils crent, maintiennent ou rorganisent larchitecture et les systmes informatiques dune entreprise.
Ne pas impartir :
la gouvernance des SI;
la gestion du portefeuille dinvestissements informatiques;
la gestion des contrats.
Lentreprise reste vulnrable aux risques informatiques.
Les auditeurs internes jouent un rle proactif dans la supervision de la performance.
153
-
GTAG7 Types dinfogranceInfogrance
154
La tierce maintenance applicative La gestion des infrastructures Le soutien technique Les services indpendants de tests et de validation La gestion des centres de traitement de donnes Lintgration de systme Lhbergement et la maintenance des sites Web Les services de scurit grs Linformatique dans les nuages
-
GTAG7 Cycle de vie : Risques et contrles Infogrance
155
Stratgie et valuation de tierces parties Processus de dcision et analyse de rentabilit Processus dappel doffres et contrats Implmentation et transition Surveillance et rapport Rengociation Rversibilit
-
GTAG7 Efficacit du prestataireInfogrance
Comprhension de ltendue de la prestation Domaines darchitectures Modle de gouvernance utilit par le prestataire (silo ou fonction) Contrles gnraux TI Composantes de la gestion du service TI Audit interne
156
-
GTAG7 Cadres de rfrenceInfogrance
157
CobiT V4 E2 Surveiller et valuer le contrle interne SE3 Sassurer de la conformit aux exigences externes DS2 Grer les services tiers DS5 Assurer la scurit des systmes AI5 Acqurir des ressources informatiques
ITIL V3 Ne sapplique pas vraiment dans le cadre de ce GTAG
La gestion des risques de lentreprise Cadre de rfrence Cadre gnral
ISO 27002 6.2 Tiers 6.2.1 Identification des risques provenant des tiers 6.2.2 La scurit et les clients 6.2.3 La scurit dans les accords conclus avec des tiers 8.1.1 Rles et responsabilits
-
GTAG7 Rfrences autresInfogrance
158
NCMC 3416 La prsente NCMC porte essentiellement sur les contrles
d'une socit de services qui sont susceptibles d'tre pertinents pour le contrle interne de l'information financire des entits utilisatrices
SSAE 16 Lquivalent du NCMC 3416 du ct amricain
-
Questions 1 minuteInfogrance
159
-
GTAG5Le management et laudit des risques datteinte la vie prive(43 pages)
160
-
GTAG5 ObjectifsVie prive
Les dfenseurs de la vie prive ont voulu que chaque citoyen : Puisse matriser qui dtient des informations sur eux ainsi
que le type d'information personnelle dtenue
Puisse matriser l'usage qui est fait de cette information
161
-
GTAG5 IntroductionVie prive
La protection des renseignements personnels a plusieurs formes, dpendant des juridictions :
Au Qubec pour les organismes publics Loi sur l'accs aux documents des organismes publics et sur la protection des renseignements personnels, et Rglement sur la diffusion de l'information et sur la protection des renseignements personnels
Au Qubec pour les organismes privs Loi sur la protection des renseignements personnels dans le secteur priv
Au Canada pour les organismes publics Loi Fdrale sur la protection des donnes
Il faut porter attention aux lois des diffrents pays, chaque pays ayant ses propres lois
162
-
GTAG5 Risques lis vie priveVie prive
Risque de nuire l'image l'organisation Perte financire ou dinvestisseurs potentiels Sanctions rglementaires Accusation de pratiques dloyales Perte de confiance auprs des clients, des citoyen ou des
employs
Perte de clients et de revenus Relation daffaires ternies
163
-
GTAG5 Avantages dun audit de la vie priveVie prive
164
Faciliter la conformit aux lois et rglements Mesurer et aider amliorer la conformit de la protection des
donnes
Identifier les diffrence entre les politiques et la pratique Augmenter le niveau de sensibilisation la protection des
donnes entre la direction et le personnel
Donner de lassurance sur le risque de rputation Amliorer les procdures pour rpondre aux plaintes de
confidentialit
-
GTAG5 Exemples impactant lauditVie prive
Changements dans les lois et rglements Information gre par les tiers ou dans linformatique
dans les nuages
Maturit des politiques, procdure et pratiques de confidentialit
Nouvelles technologies utilises
165
-
GTAG5 Audit de la protection de la viepriveVie prive 166
valuation des risques
Risques juridiques et organisationnels Risques lis linfrastructure Risques lis aux applications Risques lis aux processus oprationnels
Prparation de la mission
valuation de la protection de la vie prive Comprendre le traitement des donnes personnelles Reprer les menaces Identifier les contrles et les contre-mesures Classement par ordre de priorit
valuation
valuer le dispositif de protection des donnes valuer les vulnrabilits et faire des tests dintrusion Tests des contrles physiques Test dingnierie social
Communiquer les rsultats
Consulter le conseiller juridique sur les violations potentielles mettre le rapport Faire le suivi des recommandations
-
GTAG5 Les 12 questionsVie prive
1. Est-ce que lorganisation a un conseil dadministration en place pour traiter du niveau de risque acceptable face la vie prive?
2. Quel est le niveau de risque acceptable pour la direction?3. quelles lgislation et rglementation lorganisation est-elle
soumise en matire de protection de la vie prive?4. Quelles sont les informations caractre personnel que
collecte lorganisation?5. Lorganisation sest-elle dote de politiques et de procdures
pour la collecte, lutilisation, la conservation, la destruction et la divulgation des informations personnelles?
6. Lorganisation a-t-elle dsign un responsable pour la gestion de son dispositif de protection de la vie prive?
167
-
GTAG5 Les 12 questions (suite)Vie prive
7. Lorganisation sait-elle o sont stockes toutes les donnes personnelles?
8. Comment sont protges les informations personnelles?9. Les salaris sont-ils correctement sensibiliss et forms par
rapport la protection des donnes personnelles?10. Lorganisation dispose-t-elle des ressources adquates pour
laborer, mettre en uvre et actualiser un programme?11. Lorganisation procde-t-elle une valuation priodique de
la mise en application de ses politiques et procdures de protection de la vie prive?
12. Certaines informations personnelles sont-elles communiques des tiers?
168
-
GTAG5 Cadres de rfrenceVie prive
169
CobiT V4 DS5 Assurer la scurit des systmes SE3 Sassurer de la conformit aux obligations externes PO2.3 Systme de classification des donnes PO7 Grer les ressources humaines de l'informatique DS11.4 Mise au rebut
ITIL V3 ITIL nest pas un rfrentiel daudit. Ce sujet nest pas abord
par ce rfrentiel
La gestion des risques de lentreprise Cadre de rfrence Cadre gnral
ISO 27002 Section 6 Organisation de la scurit de linformation
-
Questions(10 minutes)
170
-
Mot de la fin171
Corey Anne Bloom 514 393-4835 [email protected]
Gilles Savard 514 954-4624 [email protected]
Olivier Legault 514 954-4685 [email protected]
Francis LeBlanc-Gervais 514 390-4137 [email protected]
GTAG Documents de rfrence PrsentateursGTAG Pourquoi cette prsentation?GTAGGTAG Objectif vis GTAGGTAG 17 guidesGTAG 17 guidesSlide Number 9GTAG1 ObjectifsRisques et contrlesGTAG1 IntroductionRisques et contrlesGTAG1 RisquesRisques et contrlesGTAG1 Structure de lauditRisques et contrlesGTAG1 Structure de lauditRisques et contrlesGTAG1 Classification des contrlesRisques et contrlesQuestions 1 minuteRisques et contrlesSlide Number 17GTAG11 Objectifslaboration dun plan daudit des TIGTAG11 Introductionlaboration dun plan daudit des TIGTAG11 Actualisation du plan dauditlaboration dun plan daudit des TIGTAG11 Processus dlaborationdu plan daudit TIlaboration dun plan daudit des TIGTAG11 valuer le risque Impact et probabilitlaboration dun plan daudit des TIGTAG11 valuer le risquelaboration dun plan daudit des TIGTAG11 Audits visslaboration dun plan daudit des TIGTAG11 Cadres de rfrencelaboration dun plan daudit des TIQuestions 1 minutelaboration dun plan daudit des TISlide Number 27GTAG4 ObjectifsManagement de laudit des systmes dinformation (SI)GTAG4 IntroductionManagement de laudit des systmes dinformation (SI)GTAG4 tapes dun audit SIManagement de laudit des systmes dinformation (SI)GTAG4 Dfinir les SIManagement de laudit des systmes dinformation (SI)GTAG4 valuer les risquesManagement de laudit des systmes dinformation (SI)GTAG4 Cl du succsManagement de laudit des systmes dinformation (SI)GTAG4 Cadres de rfrenceManagement de laudit des systmes dinformation (SI)Questions 1 minuteManagement de laudit des systmes dinformation (SI)Slide Number 36GTAG3 ObjectifsAudit continuGTAG3 IntroductionAudit continuGTAG3 IntroductionAudit continuGTAG3 Avantages de laudit continuAudit continuGTAG3 Inconvnients de laudit continuAudit continuGTAG3 Phases clsAudit continu GTAG3 Exemples dvaluation de contrlesAudit continuGTAG3 Cadres de rfrenceAudit continuQuestions 1 minuteAudit continuSlide Number 46GTAG16 ObjectifsAnalyse de donnesGTAG16 IntroductionAnalyse de donnesGTAG16 Les sourcesAnalyse de donnesGTAG16 Comment les outils peuventtaider Analyse de donnesGTAG16 Exemples dutilisationAnalyse de donnesGTAG16 Cadres de rfrenceAnalyse de donnesQuestions 1 minuteAnalyse de donnesSlide Number 54GTAG9 ObjectifsGestion des identits et des accsGTAG9 IntroductionGestion des identits et des accsGTAG9 Introduction (suite)Gestion des identits et des accsGTAG9 Requte de changementsdes droits daccsGestion des identits et des accsGTAG9 Cadres de rfrenceGestion des identits et des accsQuestions 1 minuteGestion des identits et des accsSlide Number 61GTAG12 ObjectifAudit des projets informatiquesGTAG12 ObjectifAudit des projets informatiquesGTAG12 IntroductionAudit des projets informatiquesGTAG12 IntroductionAudit des projets informatiquesGTAG12 10 facteurs de russiteAudit des projets informatiquesGTAG12 10 facteurs de russiteAudit des projets informatiquesGTAG12 Structure dun projetAudit des projets informatiquesGTAG12 Cadres de rfrenceAudit des projets informatiquesQuestions 1 minuteAudit des projets informatiquesSlide Number 71Slide Number 72GTAG2 ObjectifsContrles de la gestion du changement et des patchsGTAG2 IntroductionContrles de la gestion du changement et des patchsGTAG2 IntroductionContrles de la gestion du changement et des patchsGTAG2 Indicateurs dune mauvaisegestion des changements Contrles de la gestion du changement et des patchsGTAG2 Tches non planifies Contrles de la gestion du changement et des patchsGTAG2 Variables cls influenant les processus de gestion des changementsContrles de la gestion du changement et des patchsGTAG2 Cadres de rfrenceContrles de la gestion du changement et des patchsQuestions 1 minuteContrles de la gestion du changement et des patchsSlide Number 81GTAG14 ObjectifsAuditer les applications dveloppes par les utilisateurs (ADU)GTAG14 ObjectifsAuditer les applications dveloppes par les utilisateurs (ADU)GTAG14 IntroductionAuditer les applications dveloppes par les utilisateurs (ADU)GTAG14 Les risquesAuditer les applications dveloppes par les utilisateurs (ADU)GTAG14 Les bonnes pratiquesAuditer les applications dveloppes par les utilisateurs (ADU)GTAG14 Dfinir le primtre dauditAuditer les applications dveloppes par les utilisateurs (ADU)GTAG14 Dfinir la stratgie dauditAuditer les applications dveloppes par les utilisateurs (ADU)GTAG14 Cadres de rfrenceAuditer les applications dveloppes par les utilisateurs (ADU)Questions 1 minuteAuditer les applications dveloppes par les utilisateurs (ADU)Slide Number 91GTAG8 ObjectifsContrles applicatifsGTAG8 IntroductionContrles applicatifsGTAG8 CGTI versus Contrles applicatifsContrles applicatifsGTAG8 Pondration du risqueContrles applicatifsGTAG8 vidence Contrles applicatifsGTAG8 Audit des contrles applicatifsContrles applicatifsGTAG8 Cadres de rfrenceContrles applicatifsQuestions 1 minuteContrles applicatifsSlide Number 100GTAG13 ObjectifsPrvention et dtection de la fraude GTAG13 IntroductionPrvention et dtection de la fraude GTAG13 Politique denqute surles fraudesPrvention et dtection de la fraudeGTAG13 valuation des manuvres frauduleusesPrvention et dtection de la fraudeGTAG13 Grille dvaluation du risquePrvention et dtection de la fraude GTAG13 AcquisitionsPrvention et dtection de la fraude GTAG13 Dtection des fraudes par lanalyse des donnes (IDEA et ACL) Prvention et dtection de la fraude GTAG13 Utilisation de la technologie dansla prvention et la dtection de la fraudePrvention et dtection de la fraude GTAG13 Utilisation de la technologie dansla prvention et la dtection de la fraude Prvention et dtection de la fraude GTAG13 Cadres de rfrencePrvention et dtection de la fraude Questions 1 minutePrvention et dtection de la fraude Slide Number 112GTAG15 Objectifs Gouvernance de la scurit GTAG15 IntroductionGouvernance de la scurit GTAG15 IntroductionGouvernance de la scurit GTAG15 ResponsabilitsGouvernance de la scurit GTAG15 RisquesGouvernance de la scurit GTAG15 Auditeur TI Gouvernance de la scurit GTAG15 Cadres de rfrenceGouvernance de la scurit Questions 1 minute Gouvernance de la scuritSlide Number 121GTAG17 ObjectifsAudit de la gouvernance TIGTAG17 Introduction Audit de la gouvernance TIGTAG17 IntroductionAudit de la gouvernance TIGTAG17 IntroductionAudit de la gouvernance TIGTAG17 Organisation et structure de gouvernanceAudit de la gouvernance TIGTAG17 Support et leadershipAudit de la gouvernance TIGTAG17 Planification stratgique et oprationnelleAudit de la gouvernance TIGTAG17 Livrables et mtriquesAudit de la gouvernance TIGTAG17 Organisation TI et gestion du risqueAudit de la gouvernance TIGTAG17 Cadres de rfrenceAudit de la gouvernance TIQuestions 1 minuteAudit de la gouvernance TISlide Number 133GTAG6 ObjectifsVulnrabilits TIGTAG6 IntroductionVulnrabilits TI GTAG6 Cycle de gestion des vulnrabilitsVulnrabilits TIGTAG6 IndicateursVulnrabilits TIGTAG6 Cadres de rfrenceVulnrabilits TIGTAG6 Rfrences autresVulnrabilits TIQuestions 1 minuteVulnrabilits TISlide Number 141GTAG10 ObjectifsGestion de la continuit dactivitGTAG10 IntroductionGestion de la continuit dactivitGTAG10 Questions clsGestion de la continuit dactivitGTAG10 Gestion des situationsdurgenceGestion de la continuit dactivitGTAG10 Catastrophes naturellesGestion de la continuit dactivitGTAG10 Diagramme de ralisationdun plan de continuit des affairesGestion de la continuit dactivitGTAG10 Comprendre la DMIA et le DPMAGestion de la continuit dactivitGTAG10 Cadres de rfrenceGestion de la continuit dactivitQuestions 1 minuteGestion de la continuit dactivitSlide Number 151GTAG7 ObjectifsInfogranceGTAG7 IntroductionInfogranceGTAG7 Types dinfogranceInfogranceGTAG7 Cycle de vie : Risques et contrles InfogranceGTAG7 Efficacit du prestataireInfogranceGTAG7 Cadres de rfrenceInfogranceGTAG7 Rfrences autresInfogranceQuestions 1 minuteInfogranceSlide Number 160GTAG5 ObjectifsVie priveGTAG5 IntroductionVie priveGTAG5 Risques lis vie priveVie priveGTAG5 Avantages dun audit de la vie priveVie priveGTAG5 Exemples impactant lauditVie priveGTAG5 Audit de la protection de la viepriveVie priveGTAG5 Les 12 questionsVie priveGTAG5 Les 12 questions (suite)Vie priveGTAG5 Cadres de rfrenceVie priveQuestions(10 minutes)Mot de la fin