Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Catégorie Domaine Thème Objectif Exemple de bonne pratique Documentation à prép

Catégorie Domaine Thème Objectif Exemple de bonne pratique Documentation à préparer Eléments à préparer Formalisation Mise en œuvre Contrôle généraux informatiques Configuration des droits d’accès Matrice de séparation des tâches Les principes de séparation des tâches sont respectés pour les applications du périmètre (voir guide partie 2.3.1 Une matrice de séparation des fonctions est définie et validée par la direction générale et est appliquée au niveau informatique Matrice de séparation des tâches validée par la DSI Extraction des profils utilisateurs et des droits associés La politique de sécurité traite des points relatifs à la séparation des tâches Une matrice de séparation des tâches existe et est validée. La matrice a été appliquée dans les systèmes (construction des profils, etc). Les profils d’autorisation dans les applications correspondant à la matrice de séparation des tâches. Catégorie Domaine Thème Objectif Exemple de bonne Documentation à Eléments à préparer 1 pratique préparer Formalisation Mise en œuvre Contrôle généraux informatiques Gestion des accès Revue périodique des accès aux applications Les accès aux applications, bases de données et systèmes d’exploitation clés sont régulièrement revu Une revue périodique des comptes, des droits d’accès associés et du respect de la séparation des fonctions par les Responsables "Métiers" est en place pour les applications clés. Ces revues impliquent la DSI et les Responsables de services. La DSI initie la revue en éditant les listes d’utilisateurs avec leurs droits d’accès. Les Responsables de service revoient ces listes en identifiant les utilisateurs et les droits d’accès injustifiés. Les responsables applicatifs effectuent dans le système les corrections nécessaires sur les droits d’accès conformément aux commentaires des Responsables services. Documents formalisant la revue des droits d’accès Preuve de la correction des anomalies identifiées Logs de connexion des applications du périmètre La politique de sécurité traite des points relatifs aux revues périodiques des accès aux applications La dernière revue des comptes utilisateurs a été formalisée et date de moins d’un an. Elle a été réalisée avec les Responsables des services concernés. Les anomalies détectées ont été corrigées. Si applicable, sélectionner aléatoirement X comptes à supprimer et recenser des preuves que les corrections nécessaires ont été effectuées dans le système, dans des délais raisonnables (par exemple, moins d’une semaine après la revue). Si applicable, vérifier que les logs de connexions infructueuses sont contrôlés et que des actions sont prises afin d’en détecter les origines. 2 Catégorie Domaine Thème Objectif Exemple de bonne pratique Documentation à préparer Eléments à préparer Formalisation Mise en œuvre Contrôle généraux informatiques Autorisation développement, test et appropriation Mise en production des changements applicatifs Les migrations (applicatives et systèmes) ont fait l’objet d’une demande formelle de mise en production validée par la DSI. L’accès aux mises en production est suffisamment restreint et les changements significatifs donnent lieu à la mise à jour de la documentation applicative. Une procédure de mise en production est formalisée. Les migrations (applicatives et systèmes) ont fait l’objet d’une demande formelle de mise en production validée par la DSI. Les migrations en environnement de production sont automatiquement tracées et revues. Un nombre limité de personnes a un accès à l’environnement de production et les habilitations en place permettent une correcte séparation des tâches. Les changements significatifs donnent lieu à la mise à jour des documentations du SI (documentations techniques, manuels utilisateurs…) Procédure de mise en production Demandes et validations des mises en production survenues sur l’exercice Les procédures et méthodologies de gestion des changements applicatifs sont disponibles et traitent notamment de la mise en production des changements La procédure de mise en production existe et est à jour. Les rôles et les tâches attribués à la Maîtrise d’ouvrage, aux Etudes et à l’Exploitation sont définis. Il existe une demande et un compte rendu d’intervention pour chaque mise en production. Chaque mise en production est tracée et une revue par la direction des mises en production est réalisée. Il existe une fiche de test validée pour chaque mise en production réalisée. Il a été défini une liste des utilisateurs avec accès à l’environnement de production et une liste des utilisateurs avec à l’accès à l’environnement de développement. Le département Etudes ne dispose pas d’accès à l’environnement de production. Catégorie Domaine Thème Objectif Exemple de bonne pratique Documentation à préparer Eléments à préparer 3 Formalisation Mise en œuvre Contrôle généraux informatiques Changements urgents Changements applicatifs en urgence Les changements applicatifs en urgence suivent une procédure permettant le suivi, la validation et la documentation a posteriori des évolutions apportées. Une procédure est définie pour les changements en urgence Suivi, Tests, Validation d’un responsable pour le changement, Documentation. Les modifications réalisées directement en production sont exceptionnelles et font l’objet d’une procédure particulière intégrant des contrôles visant à limiter le risque d’instabilité de l’application. Une procédure établissant les règles à suivre lors d’une modification de paramétrage (applicatif/système) directement en production ("à chaud") est formalisée et suivie Procédure de gestion des changements en urgence Liste de suivi des changements en urgence Documentation de test et validation des changements en urgence Consulter les procédures et méthodologies de gestion des changements applicatifs disponibles et notamment le paragraphe traitant de la mise en production des évolutions applicatives. La procédure de gestion des changements en urgence est formalisée. Il existe une liste (un fichier de suivi/une copie d’écran de l’application) de suivi des changements en urgence Tout changement en urgence est documenté et fait l’objet de tests de validation Les changements en urgence restent exceptionnels et suivent des critères définis La procédure de gestion des modifications directement en production est formalisée et la liste des modifications effectuées directement en production est tracée et les modifications sont validées par les Responsables appropriés (conformément à la procédure). Catégorie Domaine Thème Objectif Exemple de bonne pratique Documentation à préparer Eléments à préparer 4 Formalisation Mise en œuvre Contrôle généraux informatiques Conception, développement, test, approbation et implémentation s des développement s /acquisitions Approbation des développement s /acquisitions Une procédure de gestion des développements et acquisitions est définie et appliquée. Les projets de développement /acquisition d’applications, y compris leur infrastructure, sont tracés et approuvés par les personnes ou organes décisionnels habilités. Une procédure de gestion des développements et acquisitions est définie et appliquée. La méthodologie prévoit que la DSI et les services concernés sont associés aux différentes étapes du projet La méthodologie inclut notamment la documentation des développements et une stratégie de test (unitaire, non régression, d’intégration) La méthodologie doit également intégrer la prise en compte des contraintes définies par le contrôle interne en termes par exemple de restriction d’accès aux applications concernées. La documentation de gestion du projet définissant le périmètre, les besoins et le coût, est préparée pour les projets jugés significatifs et est revue par la DSI et les services concernés Méthodologie de gestion de projet (type plan d’assurance qualité) Procédure d’acquisition Liste des demandes de développements (O/S, base de données, applicatifs) et des principales acquisitions informatique de l’exercice (software, hardware, etc) Validation de la DSI (sur papier, compte rendu de réunion ou comité…) Comptes rendus de projet/documentation de suivi Documentation de tests et validation utilisateurs Documentation de spécification pour les achats et d’analyse préalable pour les développements. Les procédures et méthodologies de gestion des développement s et acquisitions existant et sont formalisées Procédure de gestion des développements et acquisitions est formalisée Il existe des spécifications générales pour les projets de tout type Les demandes d’évolution sont validées par la DSI et/ou le responsable de service concerné Catégorie Domaine Thème Objectif Exemple de bonne pratique Documentation à préparer Eléments à préparer 5 Formalisation Mise en œuvre Contrôle généraux informatiques Sauvegardes et restaurations Stratégie de sauvegarde Une stratégie de sauvegard e des applicatio ns clés est définie, incluant les besoins en sauvegard e (fréquenc e), les besoins pour la restaurati on et la période de rétention des données. Une procédure de sauvegarde des données du périmètre d’audit est formalisée, incluant les besoins en sauvegarde, les besoins pour la restauration et la période de rétention des données Stockage Des mesures de restriction d’accès et de protection des supports de sauvegarde stockés sur site ont été mises en place, Un jeu de supports de sauvegarde est conservé à l’extérieur de l’établissement et dans des conditions de stockage appropriées. Fréquence Les sauvegardes sont réalisées au moins 1 fois par jour. Le bon déroulement des sauvegardes est contrôlé quotidiennement (suivi de log, rapport d’anomalies…). Rotation et rétention Le nombre de supports de sauvegardes en rotation doit permettre la réalisation des sauvegardes sur des supports distincts pour chaque jour de la semaine. Des supports doivent être régulièrement prélevés afin de permettre une rétention des données en phase avec les besoins métiers. Contenu Procédure de sauvegarde Log de sauvegarde Documentation justifiant de la revue quotidienne des sauvegardes Document de suivi des bandes Copies d’écran du logiciel de gestion des sauvegardes Les procédures et méthodologies de gestion détaillant la gestion des sauvegardes. La procédure de sauvegarde définit les besoins en sauvegarde, pour la restauration ainsi que les périodes de rétentions des données pour les applications concernées. Les sauvegardes sont effectuées en conformité avec les besoins métiers. Les bandes uploads/s1/ controle-generaux-informatique-dsi-1.pdf