Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Contrôle et Audit des systèmes informations Contrôle et Audit des systèmes info

Contrôle et Audit des systèmes informations Contrôle et Audit des systèmes informations Master: Management Stratégique et Logistique Module: Système d’information Réalisé par: ESSADIK Kawtar EL YOUNSI Soukaina Sous la direction de: Pr. AJERAM Malika INTRODUCTION PLAN PLAN Le cadre conceptuel AXE 1 La sécurité du système d’information AXE 2 La démarche de l’audit SI AXE 3 Les référentiels de l’audit SI AXE 4 AXE 1 AXE 1 Le cadre conceptuel Qu’est ce qu’un système d’information ? • « Un système d’information est un ensemble organisé de ressources (matériel, logiciel, personnel, données, procédures), permettant d’acq uérir, de traiter, de stocker, de communiquer des informations dans d es organisations » -Reix Contrôle vs Audit: • Le contrôle des systèmes d’information est une procédure ou une politique qui f ournit une assurance raisonnable que le système d’information utilisé par une org anisation fonctionne comme prévu, que les données sont fiables et que l'organisa tion est conforme aux lois et aux réglementations applicables. • L’audit des systèmes d’information consiste à une intervention réalisée par une personne indépendante et extérieure au service audité, qui permet d’analyser tout ou une partie d’une organisation informatique, d’établir un constat des points forts et des points faibles et dégager ainsi les recommandations d’amélioration. Objectifs: • Le plus souvent, les objectifs de l'audit SI visent à prouver que les cont rôles internes existent et fonctionnent comme prévu pour minimiser l es risques métier. • Ces objectifs d'audit comprennent la garantie du respect des exigence s légales et réglementaires, ainsi que la confidentialité, l'intégrité et la disponibilité des systèmes d'information et des données. AXE 02 AXE 02 La sécurité des systèmes d’information Qu’est ce que la sécurité d’un système d’inform ation ? • « la sécurité d’un système d’information est sa non-vulnérabilité à d es accidents ou à des attaques volontaires, c’est-à-dire l’impossibilité que ces agressions produisent des conséquences graves à l’état du sy stème ou son fonctionnement. » -Jean Pierre Magnier Les critères de la sécurité des systèmes d’info rmation Confidentialité Intégrité Disponibilité Traçabilité Règlementation Le processus de la sécurité des systèmes d’in formation • la sécurité informatique est un processus en perpétuelle évolution. • En général, la sécurité informatique s’appuie sur le principe de la roue de Demin g ou la méthode PDCA pour instaurer une méthode de management de risques informatiques au sein d’un organisme. • Il permet de définir la démarche suivie pour l’implémentation d’une politique d e sécurité efficace et l’inscrire dans un contexte d’amélioration continue afin de garantir une évolution sereine et maîtrisée d’un système d’information donné. • Surveiller et vérifier l’efficacité de la sécurité en place • Analyser et améliorer la sécurité • Mise en place des mesures de sécurité • Identifier les risques et élaborer les objectifs à atteindre en terme de sécurité Plan Do Check Act AXE 03 AXE 03 La démarche de l’Audit SI La démarche de l’audit SI • Une mission d'audit informatique se prépare. Il convient de déterminer un domai ne d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'e ffectuer un pré-diagnostic afin de préciser les questions dont l'audit va traiter. Cel a se traduit par l'établissement d'une lettre de mission détaillant les principaux p oints à auditer. Pour mener à bien l'audit informatique il est recommandé de suiv re les six étape suivantes : 1 • Définition de la mission : Établissement de la lettre de mission 2 • La planification de la mission 3 • La collecte des faits, la réalisation de tests,... 4 • Entretiens avec les audités 5 • Rédaction du rapport final 6 • Présentation et discussion de ce rapport 1- Établissement de la lettre de mission: Ce document est rédigé et signé par le demandeur d'audit et permet de mandat er l'auditeur. Il sert à identifier la liste des questions que se posent le demandeu r d'audit. Très souvent l'auditeur participe à sa rédaction. 2- La planification de la mission : Permet de définir la démarche détaillée qui sera suivie. Elle va se traduire par un plan d'audit ou une proposition commerciale. Ce document est rédigé par l'auditeur et il est soumis à la validation du demandeur d'audit. Une fois le consensus obtenu il est possible de passer à la troisième étape. 3- La collecte des faits, la réalisation de tests: Dans la plupart des audits c'est une partie importante du travail effectué par les a uditeurs. Il est important d'arriver à dégager un certain nombre de faits indiscuta bles. 4- les entretiens avec les audités : Permettent de compléter les faits collectés grâce à la prise en compte des informations détenues par les opérationnels. Cette étape peut être délicate et compliquée. Souvent, les informations collectées auprès des opérationnels ressemblent plus à des opinions qu'à un apport sur les faits recherchés. 5- la rédaction du rapport d'audit : C’est un long travail qui permet de mettre en avant des constatations faites par l'a uditeur et les recommandations qu'il propose. 6- Présentation et discussion de ce rapport : La présentation et la discussion du rapport d'audit au demandeur d'audit, au management de l'entreprise ou au management de la fonction informatique. • Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments fon damentaux pour le déroulement de sa mission mais celle-ci est encore plus béné fique pour l'organisation. En effet, les acteurs audités ne sont pas passifs. Ils sont amenés à porter une réfle xion sur leurs méthodes de travail et à s’intéresser au travail des autres acteurs d e l'entité. Cela conduit à une cohésion d'équipe et à un apprentissage organisatio nnel. Il s'agit d'un facteur positif car en cas de changement les acteurs seront moi ns réticents. AXE 04 AXE 04 Les référentiels de l’Audit SI Les référentiels d’Audit SI : Le référentiel COBIT Le référentiel ITIL La norme ISO, 27002 Le référentiel CMMI « Control Objectives for Information and related Technology », ou « objectifs de contrôle de l'information et des technologies associées » Capability Maturity Model Integration. « Information Technology Infrastructure Library » ou « Bibliothèque pour l'infrastructure des technologies de l'information » Un code pratique le référentiel COBIT: • COBIT fournit aux gestionnaires, auditeurs et utilisateurs de Technologies de l’Info rmation (TI), des indicateurs, des processus et des meilleures pratiques pour les ai der à maximiser les avantages issus du recours à des technologies de l'informatio n et à l'élaboration de la gouvernance et du contrôle d'une entreprise. • Il les aide à comprendre leurs systèmes de TI et à déterminer le niveau de sécurit é et de contrôle qui est nécessaire pour protéger leur entreprise, et ceci par le bia is du développement d’un modèle de gouvernance IT tel que CobiT. • Ainsi, CobiT fournit des indicateurs clés de performance et des facteurs clés de su ccès pour chacun de ses processus. • Le modèle CobiT se focalise sur ce que l’entreprise a besoin de faire et non sur la f açon dont elle doit le faire. le référentiel CMMI: • CMMI est un référentiel d’évaluation pour le développement de systèmes, de produits matériels et/ ou logiciels. • Ce référentiel a été développé en 1987 et mis au point par le SEI (Software Engineering Institute) C’est un référentiel de bonnes pratiques orienté vers le développement logiciel et la gestion de pr ojet afférente. Il représente une avancée importante dans le monde de l’ingénierie des systèmes d’information. • CMMI vise à : Améliorer la qualité du produit livré et la productivité du projet Augmenter la satisfaction du client en répondant mieux à ses exigences Réduire les cout et respecter les délais Une meilleur gestion des risques le référentiel ITIL: • ITIL est un référentiel de bonnes pratiques qui permet au sein d’une entreprise à améliorer l’organisation des SI en : Facilitant le dialogue entre les différentes acteur Réutilisant les pratique ayant déjà été testées Gérant les fonctions qui constitue l’ensemble de l’entreprise par la meilleure prati que Répondant aux besoins d’un utilisateur dans la réalisation de ses activités propre à son métier Favorisant l’efficacité dans l’utilisation des SI La norme ISO,27002: • ISO / IEC 27002 est plus un code de pratique, Elle présente une série de contrôles qui sug gèrent de tenir compte des risques de sécurité des informations relatives à la confidential ité, l'intégrité et les aspects de disponibilité. • Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de séc urité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour ori enter l’entreprise. CONCLUSION Bibliographie: • GTAG 2ème édition, Les contrôles et le risques des systèmes d'informations • REIX, Système d’information et management des organisations Ed 6 • RAPHAEL Yende, Support de cours de l’Audit des SI 2018 MERCI POUR VOTRE ATTENTION MERCI POUR VOTRE ATTENTION uploads/Management/ control-et-audit-de-si.pdf