méthodologies d'audit : cobit · • pratiques et règles de l’industrie informatique (iso...
TRANSCRIPT
Méthodologies d'Audit : CobiT
Cours Audit des Systèmes d’Information Prof. Jacky Akoka
Mission
Rechercher et promouvoir un ensemble d’objectifs de
contrôle en technologies de l’information.
Objectifs
• Bonnes pratiques applicables au contrôle des SI
• A partir d’un référentiel de contrôle des IT
• Tourné vers le management
Un langage commun au sein des organisations
• Le Management :
pour l’aider à trouver un équilibre entre le risque et l’investissement en
contrôles.
• Les Utilisateurs :
pour obtenir des garanties concernant la sécurité et les contrôles de
leurs services informatiques.
• Les Auditeurs des Systèmes d’Information :
pour justifier leur opinion.
Définitions
• Le Contrôle se définit comme :
Les procédures et les pratiques conçues pour fournir une assurance que les objectifs de l’entreprise seront atteints.
• L ’Objectif de Contrôle en Informatique se définit comme:
L’exposé des buts à atteindre par la mise en œuvre des procédures de contrôle dans une activité spécifique.
Standards
• Standards techniques proposés par ISO, EDIFACT, etc.
• Codes de conduites définies par le Conseil de l’Europe, l’OCDE, l’ISACA, etc.
• Critères de qualification des systèmes et processus informatiques : ITSEC, TCSEC, ISO 9000, SPICE, Critères Communs, etc.
• Standards professionnels en matière d’audit et de contrôle interne : COSO, CICA, IFAC, IIA, AICPA, GAO, PCIE, ISACA, etc.
• Pratiques et règles de l’industrie informatique (ISO 17799, ESF, I4) et plates-formes soutenues par les gouvernements (IBAG, NIST, DTI), etc.
• Exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication des TI
Documents
• Synthèse
• Cadre de Référence
• Objectifs de Contrôle
• Guide d’Audit
Un Cadre de Référence
Impératifs de l’entreprise
Ressources informatiques Processus informatiques
Les Grands Principes (1)
Un Cadre de Référence
• Impératifs de qualité : – Qualité
– Coût
– Délai
• Impératifs économiques et fiduciaires : – Efficience et efficacité des opérations
– Fiabilité de l’information
– Conformité aux lois et à la réglementation
• Impératifs de sécurité : – Confidentialité
– Intégrité
– Disponibilité
Impératifs de l’entreprise : critères liés à l’information
Un Cadre de Référence
• Données
• Applications : manuelles et programmées
• Technologie : architectures, matériels et logiciels
• Installations : Ressources qui hébergent les systèmes
informatiques
• Personnel : Compétence, efficacité, …
Ressources Informatiques
Un Cadre de Référence
Processus de Gestion
Critères :
-Efficacité
-Efficience
-Confidentialité
-Intégrité
-Disponibilité
-Conformité
-Fiabilité
Ressources Informatiques :
-Données
-Applications
-Technologies
-Installations
-Personnel
Information
Ce que l’on obtient Ce dont on a besoin
? concordance
Les Grands Principes (2)
Processus Informatiques
Domaines
Processus
Activités
Un Cadre de Référence
4
34
318
Planification et Organisation (PO)
Définir un plan informatique stratégique (PO1)
1.1 Intégration des IT au plan à long terme et à court terme
1.2 Plan informatique à long terme
1.3 Approche et structure de la planification à long terme
…
1.8 Evaluation des systèmes existants
Les Domaines
1. Planification et Organisation
2. Acquisition et Mise en Place
3. Distribution et Support
4. Surveillance
• Stratégie et tactique informatique
• Contribution aux objectifs de l’entreprise
• Planification, communication et gestion
• Organisation adéquate et infrastructure technologique
Domaine 1. Planification et Organisation (PO)
Planification et Organisation
• PO1 définir un plan informatique stratégique
• PO2 définir l’architecture des informations
• PO3 déterminer l’orientation technologique
• PO4 définir l’organisation et les relations de travail
• PO5 gérer l’investissement en informatique
• PO6 communiquer les objectifs et les orientations du mgt
• PO7 gérer les ressources humaines
• PO8 se conformer aux exigences externes
• PO9 évaluer les risques
• PO10 gérer les projets
• PO11 gérer la qualité
Processus Associés
Application: PO1 Définir un plan informatique stratégique
1.1 Intégration des TI au plan à long et à court terme de l’entreprise
Objectif de contrôle
Les plans doivent permettre de s’assurer que les TI sont bien
alignées sur la mission et les stratégies métiers de l’entreprise.
1.2 Plan informatique à long terme
Objectif de contrôle
Le management doit mettre en œuvre un processus de planification
à long terme, adopter une approche formalisée et établir la structure
d’un plan standard.
Application: PO1 Définir un plan informatique stratégique
1.3 Approche et structure de la planification des TI à long terme
Objectif de contrôle
Le management des TI doit appliquer une approche structurée en
ce qui concerne le processus de planification à long terme.
1.4 Modification du plan informatique à long terme
Objectif de contrôle
Le management des TI doit s’assurer qu’un processus est en place
pour modifier en temps voulu et de manière adéquate le plan
informatique à long terme pour l’adapter en fonction des
modifications qui interviennent dans le plan à long terme de
l’entreprise, et des changements des TI.
Application: PO1 Définir un plan informatique stratégique
1.5 Planification informatique à court terme
Objectif de contrôle
Le management des TI doit s’assurer que le plan informatique à long terme est
régulièrement traduit en plans informatiques à court terme.
1.6 Communication des plans informatiques
Objectif de contrôle
Le management doit s’assurer que les plans informatiques à court et à long terme
sont communiqués aux propriétaires de processus de gestion et aux autres
personnes concernées dans l’entreprise.
1.7 Surveillance et évaluation des plans informatiques
Objectif de contrôle
Le management doit mettre en place des processus visant à obtenir des informations
concernant la qualité et l’utilité des plans à long et à court terme.
1.8 Evaluation des systèmes existants
Objectif de contrôle
La direction des TI doit évaluer les SI existants en terme de niveau d’automatisation, de
fonctionnalités, de stabilité, de complexité, de coûts, de forces et de faiblesses dans le but
de déterminer dans quelle mesure les systèmes existants supportent les exigences liées
aux activités de l’entreprise.
Application: PO1 Définir un plan informatique stratégique
• Mise en œuvre de la stratégie informatique
• Identification, développement ou acquisition, mise en place des
solutions
• Intégration des solutions aux processus de gestion
• Modification et maintenance des systèmes
Domaine 2. Acquisition et Mise en Place (AMP)
Acquisition et Mise en Place
• AMP1 trouver des solutions informatiques
• AMP2 acquérir et maintenir le logiciel d’application
• AMP3 acquérir et maintenir l’architecture technique
• AMP4 développer et maintenir les procédures informatiques
• AMP5 installer et valider les systèmes
• AMP6 gérer les modifications
Processus Associés
• Fourniture des services nécessaires
• Sécurité de l’exploitation
• Mise en place des processus de support
• Traitement des données par les applications
Domaines 3. Distribution et Support (DS)
Distribution et Support
• DS1 définir les niveaux de service
• DS2 gérer les services assurés par des tiers
• DS3 gérer la performance et la capacité
• DS4 assurer un service continu
• DS5 assurer la sécurité des systèmes
• DS6 identifier et imputer les coûts
• DS7 sensibiliser et former les utilisateurs
• DS8 assister et conseiller les clients
• DS9 gérer la configuration
• DS10 gérer les problèmes et les incidents
• DS11 gérer les données
• DS12 gérer les installations
• DS13 gérer l’exploitation
Processus Associés
• Évaluation régulière de tous les processus informatiques
• Conformité aux exigences de contrôle
Domaine 4. Surveillance (S)
Surveillance
• S1 surveiller les processus
• S2 évaluer l’adéquation du contrôle interne
• S3 acquérir une assurance indépendante
• S4 disposer d’un audit indépendant
Processus Associés
Processus informatiques
Impératifs de l’entreprise
Listes de contrôle
Pratiques de contrôle
318 objectifs de contrôle basés sur les bonnes pratiques
Le contrôle des
qui répond aux
est rendu possible par les
qui tiennent compte des
Objectifs de Contrôle
La Démarche
Guide d’Audit
Objectifs de l’audit :
• Apporter au management une assurance que les objectifs de
contrôle sont atteints
• Pour toutes les faiblesses importantes détectées, évaluer et justifier
les risques, et
• Proposer des actions correctives
• Principe d’Audit d’un processus :
– Acquérir une bonne compréhension des impératifs de l’entreprise,
des risques qui s’y attachent et des mesures de contrôle adéquates
– Évaluer l’adéquation des contrôles définis
– Vérifier à l’aide de tests que les contrôles définis sont conformes,
adéquats et permanents
– Justifier le risque de ne pas atteindre les objectifs de contrôle
Guide d’Audit
Application: PO1 Définir un plan informatique stratégique
Application: PO1 Définir un plan informatique stratégique
Un accès multicritères
3 facettes Aides à la navigation
Processus
Critères liés à l’information
Ress
ourc
es
info
rmatiques
Guide d’Audit
Domaines
Processus
Activités
Critères liés à l’information
Pro
cess
us
info
rmatiques
Guide d’Audit