Méthodologies d'Audit : CobiT

Cours Audit des Systèmes d’Information Prof. Jacky Akoka

Mission

Rechercher et promouvoir un ensemble d’objectifs de

contrôle en technologies de l’information.

Objectifs

• Bonnes pratiques applicables au contrôle des SI

• A partir d’un référentiel de contrôle des IT

• Tourné vers le management

Un langage commun au sein des organisations

• Le Management :

pour l’aider à trouver un équilibre entre le risque et l’investissement en

contrôles.

• Les Utilisateurs :

pour obtenir des garanties concernant la sécurité et les contrôles de

leurs services informatiques.

• Les Auditeurs des Systèmes d’Information :

pour justifier leur opinion.

Définitions

• Le Contrôle se définit comme :

Les procédures et les pratiques conçues pour fournir une assurance que les objectifs de l’entreprise seront atteints.

• L ’Objectif de Contrôle en Informatique se définit comme:

L’exposé des buts à atteindre par la mise en œuvre des procédures de contrôle dans une activité spécifique.

Standards

• Standards techniques proposés par ISO, EDIFACT, etc.

• Codes de conduites définies par le Conseil de l’Europe, l’OCDE, l’ISACA, etc.

• Critères de qualification des systèmes et processus informatiques : ITSEC, TCSEC, ISO 9000, SPICE, Critères Communs, etc.

• Standards professionnels en matière d’audit et de contrôle interne : COSO, CICA, IFAC, IIA, AICPA, GAO, PCIE, ISACA, etc.

• Pratiques et règles de l’industrie informatique (ISO 17799, ESF, I4) et plates-formes soutenues par les gouvernements (IBAG, NIST, DTI), etc.

• Exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication des TI

Documents

• Synthèse

• Cadre de Référence

• Objectifs de Contrôle

• Guide d’Audit

Un Cadre de Référence

Impératifs de l’entreprise

Ressources informatiques Processus informatiques

Les Grands Principes (1)

Un Cadre de Référence

• Impératifs de qualité : – Qualité

– Coût

– Délai

• Impératifs économiques et fiduciaires : – Efficience et efficacité des opérations

– Fiabilité de l’information

– Conformité aux lois et à la réglementation

• Impératifs de sécurité : – Confidentialité

– Intégrité

– Disponibilité

Impératifs de l’entreprise : critères liés à l’information

Un Cadre de Référence

• Données

• Applications : manuelles et programmées

• Technologie : architectures, matériels et logiciels

• Installations : Ressources qui hébergent les systèmes

informatiques

• Personnel : Compétence, efficacité, …

Ressources Informatiques

Un Cadre de Référence

Processus de Gestion

Critères :

-Efficacité

-Efficience

-Confidentialité

-Intégrité

-Disponibilité

-Conformité

-Fiabilité

Ressources Informatiques :

-Données

-Applications

-Technologies

-Installations

-Personnel

Information

Ce que l’on obtient Ce dont on a besoin

? concordance

Les Grands Principes (2)

Processus Informatiques

Domaines

Processus

Activités

Un Cadre de Référence

4

34

318

Planification et Organisation (PO)

Définir un plan informatique stratégique (PO1)

1.1 Intégration des IT au plan à long terme et à court terme

1.2 Plan informatique à long terme

1.3 Approche et structure de la planification à long terme

…

1.8 Evaluation des systèmes existants

Les Domaines

1. Planification et Organisation

2. Acquisition et Mise en Place

3. Distribution et Support

4. Surveillance

• Stratégie et tactique informatique

• Contribution aux objectifs de l’entreprise

• Planification, communication et gestion

• Organisation adéquate et infrastructure technologique

Domaine 1. Planification et Organisation (PO)

Planification et Organisation

• PO1 définir un plan informatique stratégique

• PO2 définir l’architecture des informations

• PO3 déterminer l’orientation technologique

• PO4 définir l’organisation et les relations de travail

• PO5 gérer l’investissement en informatique

• PO6 communiquer les objectifs et les orientations du mgt

• PO7 gérer les ressources humaines

• PO8 se conformer aux exigences externes

• PO9 évaluer les risques

• PO10 gérer les projets

• PO11 gérer la qualité

Processus Associés

Application: PO1 Définir un plan informatique stratégique

1.1 Intégration des TI au plan à long et à court terme de l’entreprise

Objectif de contrôle

Les plans doivent permettre de s’assurer que les TI sont bien

alignées sur la mission et les stratégies métiers de l’entreprise.

1.2 Plan informatique à long terme

Objectif de contrôle

Le management doit mettre en œuvre un processus de planification

à long terme, adopter une approche formalisée et établir la structure

d’un plan standard.

Application: PO1 Définir un plan informatique stratégique

1.3 Approche et structure de la planification des TI à long terme

Objectif de contrôle

Le management des TI doit appliquer une approche structurée en

ce qui concerne le processus de planification à long terme.

1.4 Modification du plan informatique à long terme

Objectif de contrôle

Le management des TI doit s’assurer qu’un processus est en place

pour modifier en temps voulu et de manière adéquate le plan

informatique à long terme pour l’adapter en fonction des

modifications qui interviennent dans le plan à long terme de

l’entreprise, et des changements des TI.

Application: PO1 Définir un plan informatique stratégique

1.5 Planification informatique à court terme

Objectif de contrôle

Le management des TI doit s’assurer que le plan informatique à long terme est

régulièrement traduit en plans informatiques à court terme.

1.6 Communication des plans informatiques

Objectif de contrôle

Le management doit s’assurer que les plans informatiques à court et à long terme

sont communiqués aux propriétaires de processus de gestion et aux autres

personnes concernées dans l’entreprise.

1.7 Surveillance et évaluation des plans informatiques

Objectif de contrôle

Le management doit mettre en place des processus visant à obtenir des informations

concernant la qualité et l’utilité des plans à long et à court terme.

1.8 Evaluation des systèmes existants

Objectif de contrôle

La direction des TI doit évaluer les SI existants en terme de niveau d’automatisation, de

fonctionnalités, de stabilité, de complexité, de coûts, de forces et de faiblesses dans le but

de déterminer dans quelle mesure les systèmes existants supportent les exigences liées

aux activités de l’entreprise.

Application: PO1 Définir un plan informatique stratégique

• Mise en œuvre de la stratégie informatique

• Identification, développement ou acquisition, mise en place des

solutions

• Intégration des solutions aux processus de gestion

• Modification et maintenance des systèmes

Domaine 2. Acquisition et Mise en Place (AMP)

Acquisition et Mise en Place

• AMP1 trouver des solutions informatiques

• AMP2 acquérir et maintenir le logiciel d’application

• AMP3 acquérir et maintenir l’architecture technique

• AMP4 développer et maintenir les procédures informatiques

• AMP5 installer et valider les systèmes

• AMP6 gérer les modifications

Processus Associés

• Fourniture des services nécessaires

• Sécurité de l’exploitation

• Mise en place des processus de support

• Traitement des données par les applications

Domaines 3. Distribution et Support (DS)

Distribution et Support

• DS1 définir les niveaux de service

• DS2 gérer les services assurés par des tiers

• DS3 gérer la performance et la capacité

• DS4 assurer un service continu

• DS5 assurer la sécurité des systèmes

• DS6 identifier et imputer les coûts

• DS7 sensibiliser et former les utilisateurs

• DS8 assister et conseiller les clients

• DS9 gérer la configuration

• DS10 gérer les problèmes et les incidents

• DS11 gérer les données

• DS12 gérer les installations

• DS13 gérer l’exploitation

Processus Associés

• Évaluation régulière de tous les processus informatiques

• Conformité aux exigences de contrôle

Domaine 4. Surveillance (S)

Surveillance

• S1 surveiller les processus

• S2 évaluer l’adéquation du contrôle interne

• S3 acquérir une assurance indépendante

• S4 disposer d’un audit indépendant

Processus Associés

Processus informatiques

Impératifs de l’entreprise

Listes de contrôle

Pratiques de contrôle

318 objectifs de contrôle basés sur les bonnes pratiques

Le contrôle des

qui répond aux

est rendu possible par les

qui tiennent compte des

Objectifs de Contrôle

La Démarche

Guide d’Audit

Objectifs de l’audit :

• Apporter au management une assurance que les objectifs de

contrôle sont atteints

• Pour toutes les faiblesses importantes détectées, évaluer et justifier

les risques, et

• Proposer des actions correctives

• Principe d’Audit d’un processus :

– Acquérir une bonne compréhension des impératifs de l’entreprise,

des risques qui s’y attachent et des mesures de contrôle adéquates

– Évaluer l’adéquation des contrôles définis

– Vérifier à l’aide de tests que les contrôles définis sont conformes,

adéquats et permanents

– Justifier le risque de ne pas atteindre les objectifs de contrôle

Guide d’Audit

Application: PO1 Définir un plan informatique stratégique

Application: PO1 Définir un plan informatique stratégique

Un accès multicritères

3 facettes Aides à la navigation

Processus

Critères liés à l’information

Ress

ourc

es

info

rmatiques

Guide d’Audit

Domaines

Processus

Activités

Critères liés à l’information

Pro

cess

us

info

rmatiques

Guide d’Audit