Download - Méthode et outils d'audit informatique
AUDIT INFORMATIQUE
Alger, octobre 2001
Mr MAACHOU
Consultant CETIC
AUDIT INFORMATIQUE
POINTS ABORDES
AUDIT INFORMATIQUE
Points abordés
•Objectifs •Champ d ’application•Ce qu’il faut vérifier•Conduite d ’une mission d ’audit infor.•Profil de l’auditeur•Audit d ’environnement •audit de la fonction sécurité
•Objectif •Sécurité dans les grandes entreprises•Sécurité dans les entreprises moyennes
Sécurité physiquesSécurité logique
AUDIT INFORMATIQUE
Objectif de l ’audit
AUDIT INFORMATIQUE
OBJECTIFS de l ’AUDIT Informatique
Les objectifs visent à satisfaire:
Besoin d ’accroître la sécurité des systèmes:
Assurer la continuité de fonctionnement Réduire les risques de fraude, de détournement ...Besoin d ’optimiser les performances:
Systèmes plus efficaces, plus compétitifs, plus conviviaux...
AUDIT INFORMATIQUE
OBJECTIFS de l ’AUDIT Informatique
Les objectifs de l ’audit se définissent par:
Ce que l ’on observe:
Le domaine sur lequel porte l ’auditexemple: Politique informatique
Progiciel de GPAO
Ce que l ’on juge:
Les caractéristiques du domaineExistence, intégrité, conformité, fiabilité...
AUDIT INFORMATIQUE
OBJECTIFS de l ’AUDIT Informatique
il s ’agit en général de faire contrôler et valider:•Les choix et investissements informatiques
•Le plan de développement informatique
•L ’organisation de la fonction informatique
•La compétence et l ’efficacité du service informatique
•Les performances et la sécurité des équipements
•Les performances et la sécurité des logiciels
AUDIT INFORMATIQUE
Approche (2 étapes)
Identifier les risques pesant sur les ressources informatiques de nature à compromettre l ’intégrité des données, la continuité de l ’exploitation et la conservation du patrimoine...
1 ère étape
AUDIT INFORMATIQUE
Approche
Examiner les facteurs de sécurité (procédures, hommes, dispositifs) présents dans l ’entreprise et permettant de couvrir ces risques.
2 ème étape
AUDIT INFORMATIQUE
Les 4 NIVEAUX d ’AUDIT
AUDIT INFORMATIQUE
Les 4 niveaux d ’audit
Audit de conformité
Audit d ’efficacité
Audit de management
Audit de stratégie
AUDIT INFORMATIQUE
Les demandeurs d ’audit
Audit de conformité
Audit d ’efficacité
Audit de management
Audit de stratégie
Utilisateurs
Resp. informatiq
D. G.
D.G.
AUDIT INFORMATIQUE
AUDIT de conformité
CONFORMITE des résultats par rapport aux procédures et règles de calcul utilisées
(Vérifier la bonne exploitation des machines et des logiciels et l ’application stricte des règles de gestion de l ’entreprise).
Il s ’agit de contrôler :
AUDIT INFORMATIQUE
AUDIT d ’efficacité
EFFICACITE de l ’utilisation de l ’ordinateur dans la gestion courante:
Il s ’agit de contrôler :
Meilleure des solutions possibles:
La plus sure, la plus productive, la moins coûteuse...
AUDIT INFORMATIQUE
Domaines d ’application
AUDIT INFORMATIQUE
DOMAINE D APPLICATION
Audit général: Tous les aspects sont analysés
Audit d ’une sous-fonction: Exploitation, sécurité, méthodes…
Audit d ’une application: Fonctionnalité, performance, sécurité, conformité au CDC…
AUDIT INFORMATIQUE
DOMAINE D APPLICATION
1. Audit des centres informatiques : centre informatique de gestion, centreinformatique industriels ( fabrication automatique )
2. Audit de la Bureautique : dans toute son étendue et sa diversité et sacomplexité.
3. Audit des réseaux informatiques : en relation avec les deux premiers points.
4. Audit des logiciels en exploitation: ce domaine recouvre l’ensemble desautres fonctions de l’entreprise dans la mesure ou celles ci font appel àl’informatique.
5. Audit des logiciels en développement : s’assurer de la prise en charge desbesoins exprimés par les gestionnaires, de la cohérence d’intégration desnouvelles fonctions à informatiser.
AUDIT INFORMATIQUE
CHAMP D ’ APPLICATION
On peut vérifier aussi:
La politique informatique
L ’organisation de la fonction informatique
AUDIT INFORMATIQUE
Ce qu’il faut vérifier
Quelques exemples
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
• Centre informatique :
L’audit dans ce domaine doit porter sur :
Exploitation des machines
La sécurité
Opinion des utilisateurs
Analyse des incidents déjà survenus
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
• 1. Exploitation des machines :
La charge des machines : pour déterminer le taux d’occupation des machines et par conséquent situer les saturations
Nombre de terminaux connectés
Les performances et la productivité du service exploitation
Temps de réponse lors de l’utilisation des machines en mode conversationnel
•Erreurs d’exploitation et nombre de travaux refaits
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
2. Maintenance :
Les pannes et appels au service dépannage
Taux de panne
Durée moyenne des indisponibilités des machines
Les erreurs de logiciels et la manière du recyclage
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
3. La sécurité :
PHYSIQUEAccès au centre informatiqueFiabilité de l’alimentation électrique (et groupe de secours)
LOGIQUESécurité d’accès à l’information Sauvegarde des données (BACK UP)
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
Applications de gestionConformité aux procédures et règles de gestion en vigueur Exactitude des résultatsNiveau de détail obtenu pour l’analyse d’un fait de gestion Rapidité d ’exécutionNiveau de paramètrage pour prendre en charge des nouveautés (mise à jour des règles de gestion ) L’interface de communication avec les modules existants et le degré d’intégration Documentation des logicielsPrise en charge des formulations des utilisateurs
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
systèmes informatiques en exploitation1- Sécurité :
Existence de programmes de contrôle Existence des mots de passe pour l’accès à l’information La sauvegarde systématique es donnéesidentification la gestion et la conservation des supports de sauvegarde Organisation du travail d’exploitation informatique Le cryptage des données confidentielles Les procédures de reprise après incidentLes tests des programmes avant mise en exploitation réelle
L’existence des procédures de redressement en cas d’erreur
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
systèmes informatiques en exploitation
2. Apport dans la gestion : Economie dans l’exécution des tâches répétitives
Amélioration du service
Disponibilité de l’information dans des délais plus brefs
Contrôler l’activité de l’entreprise (aide à la gestion)
Amélioration de la qualité des décisions
AUDIT INFORMATIQUE
Ce qu’il faut apprécier
systèmes informatiques en exploitation:
3- Autres critères:
Les coûts
Les délais
Les Temps de réponse
Délai d’information sur le fait
L’adaptation aux gestionnaires
AUDIT INFORMATIQUE
Conduite de l ’audit
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
La conduite d ’un audit se déroule en 5 étapes:
•Etape 1: définition des objectifs•Etape 2:préparation de l ’intervention•Etape 3:investigation et animation des entretiens•Etape 4: validation des conclusion•Etape 5: rapport d ’audit
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
•Etape 1: définition des objectifs
Les objectifs de l ’audit informatique pouvant être très variés, il est impératif dans chaque cas de bien préciser le (ou les ) objectifs de la mission à entreprendre.
Ex:
Un progiciel de GPAO acquis depuis 3 ans n ’est toujours pas en exploitation normale. Pourquoi?
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
•Etape 2: Préparation de la mission
•Délimiter le périmètre de la mission:sites concernés
•Fixer la période et la durée
•Aviser de la contrainte de la mission pour les services à auditer et s ’assurer de la disponibilité du personnel
•Constituer l ’équipe d ’intervention
•Arrêter la méthode de travail (recours aux questionnaires)
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
•Etape 3: Investigation entretiensEffectuer la mission auprès des structures concernées en respectant le programme de travail.
Recourir aux méthodes adaptées aux objectifs de la mission selon le type d ’audit :
Interview,
Questionnaires, Jeux d ’essai, et divers outils.
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
•Etape 4: Validation des conclusionsLa validation des conclusions doit être systématique si l ’on veut élaborer un rapport objectif.
La validation se fait par rapport à un « programme de validation »
ex: Existe -il un PDI ?
Validation: Obtenir une copie de ce PDI.
Des erreurs sont constatées sur des bulletins de paie: Appuyer le constat par un jeu d ’essai.
Outils de l’AUDIT informatique
•Procédures d ’audit,
•Tests,
•Référentiels,
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
Outils de l’AUDIT informatique
Exemple: Procédure de mesure du temps de réponse
Objectif:
S ’assurer que les temps de réponse des traitements en temps réél sont convenables.
La référence proposée est:
2 s pour l ’opérateur à temps plein
30 s pour les interrogations complexes occasionnelles
Méthode
1- Utiliser ou établir les statistiques de suivi des temps par transaction
2- Si les temps ne sont pas corrects, en rechercher les causes
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
Exemple: Procédure de mesure des délais de restitution des résultats
Objectif: S ’assurer que les délais de restitution ne sont ni trop longs, ni irréguliers.Méthode 1: Concernant les délais irréguliers, les investigations porteront sur:
Les incidents de fonctionnementLa qualité de l ’exploitation
Méthode 2:
Pour les délais trop longs, les investigations porteront sur:L ’étude des planningsLes files d ’attenteLes aller-retour d ’informations entre inetervenants
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
AUDIT INFORMATIQUE
CONDUITE d ’une mission d ’AUDIT
•Etape 5: Rédaction du rapport d ’audit
Le rapport d ’audit matérialise la fin de la mission.
Outre l ’analyse critique, il est souhaitable qu’il contienne une synthèse des recommandations de l ’auditeur.
AUDIT INFORMATIQUEPROFIL DE L ’AUDITEUR
AUDIT INFORMATIQUE
PROFIL DE L ’AUDITEUR
L ’auditeur informatique doit être capable de répondre aux questions classiques:
Pourquoi ?Où?Quand? (Périodicité, temps de réponse)
Comment? (Algorithme de calcul)Combien? (Volume d ’information)
Qui fait quoi?
AUDIT INFORMATIQUE
PROFIL DE L ’AUDITEUR
informaticien
Formation d ’auditeur
Auditeur
Formation d ’Informaticien
AUDIT INFORMATIQUE
Audit de la fonction SECURITE
AUDIT INFORMATIQUEFonction sécurité
Objectif de l ’audit de la fonction SECURITE
AUDIT INFORMATIQUEFonction sécurité
Contrôler l ’efficacité des mesures de sécurité permettant de lutter contre:
•Les accidents•Les erreurs•Les malveillances•Les risques divers
AUDIT INFORMATIQUE
Fonction sécurité
La fonction sécurité est plus ou moins importante selon la
taille de l’entreprise.
Gestion du risque informatique
AUDIT INFORMATIQUE Fonction sécurité dans les grandes entreprises
Risque management
Plan directeur de la sécurité
AUDIT INFORMATIQUEFonction sécurité
Fonction sécurité dans les entreprises de petite taille ou de taille moyenne.
Un responsable de la sécurité
AUDIT INFORMATIQUE
Fonction sécurité
Que la fonction existe en tant que structure, ou simplement en tant que tâche assumée par un responsable (chef de dpt, sce…) l ’auditeur s’attellera à vérifier les aspects suivants:
AUDIT INFORMATIQUE
Fonction sécurité
La sécurité physique
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité Logique
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité physique
L ’accès physique à l ’environnement informatique est-il protégé?
Circulation des personnes
Accès des étrangers
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité physiqueL ’accès physique aux endroits où sont stockés les supports des sauvegardes, d ’archives, de la documentation…
est-il réglementé?
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité physique
Y ’a -t-il une protection contre l ’incendie?
Détection
Extinction automatique
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité physique
Y ’a -t-il un risque d ’inondation?
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité physiqueLa salle des serveurs est-elle protégée contre les défauts d ’alimentation électrique?
•Onduleurs,
•Groupes électrogène de secours,
•Fiabilité des installation électriques
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité physique
La salle des serveur est-elle protégée contre les intrusions (en dehors des heures de travail)?
•Gardiennage,
•Télésurveillance,
•Alarmes.
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité physique
L ’entreprise a-t-elle souscrit une assurance couvrant les risques informatiques:
•Destruction, vol de matériel,
•Destruction de fichiers….
ASSURANCES
AUDIT INFORMATIQUE
Fonction sécurité
Sécurité logique
AUDIT INFORMATIQUE
Sécurité LogiqueConcerne la protection et la confidentialité des données (Fichiers et programmes) pour éviter:
•Le détournement de fond•La destruction de l ’environnement•Les erreurs
AUDIT INFORMATIQUE
Sécurité Logique
Mots de passe
Identification de terminaux
Criptage des données
AUDIT INFORMATIQUE
Sécurité Logique
Programmes de contrôle
Procédures d ’exploitation
AUDIT INFORMATIQUE
Sécurité Logique
Mots de passe
Vérifier que l ’accès aux applications est réglementé par des mots de passe
Les mots de passes sont ils suffisamment sophistiqués?
Vérifier la bonne gestion des mots des passe: Affectés nominativement et modifiés de temps en temps, tenue d ’une table des mots de passe...
AUDIT INFORMATIQUE
Sécurité Logique
Identification de terminaux
Dans les cas où la sécurité doit être renforcée, vérifier que le terminal appelant est lui-même identifié pour réduire les risques d ’intrusion .
AUDIT INFORMATIQUE
Sécurité Logique
Criptage des données
Vérifier que les données les plus sensibles sont criptées pour éviter qu’elles ne soient accessibles en cas de vol ou qu’elles ne soient divulguées aux agents n ’ayant pas droit (données confidentielles).
AUDIT INFORMATIQUE
Sécurité Logique
Vol et piratage
Vérifier l ’existence de procédures de lutte contre le vol et le piratage des fichiers et des programmes:
Existe-t-il des pièges en ce sens?
AUDIT INFORMATIQUE
Sécurité Logique
Procédures d ’exploitation
Vérifier que les procédures de sauvegarde existent et sont appliquées.
AUDIT INFORMATIQUE
Sécurité Logique
Contrôle dans les logiciels
Vérifier que les applications comportent des modules de contrôle permettant d ’éviter les erreurs
Que les applications sont suffisamment testées avant leur mise en production….
E N DE N DE N DE N DE N D
E N DE N DE N D
E N D