Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

EXPOSÉ DE MÉMOIRE DE STAGE Elaboré par : Mr Ammar SASSI Université de Sfax – In

EXPOSÉ DE MÉMOIRE DE STAGE Elaboré par : Mr Ammar SASSI Université de Sfax – Institut des Hautes Études Commerciales de Sfax Audit des systèmes d’information : mise en œuvre de l’approche Cobit4.1 (Élaboration d’un générateur de guides d’audit pour le cas de la STEG) Soutenance de 18/04/2014 Plan Introduction Problématique Contexte et mission de stage Pourquoi Cobit4.1? Le générateur de guides d’audit : raisons d’être Le générateur de guides d’audit : démarche et résultats Tutoriel Conclusion Limites Introduction Une évolution de la notion de l’informatique dans l’économie moderne a transformé l’organisation de la fonction informatique. Approche classique Qui la découpe selon l’organisation structurelle (fonctionnelle) de l’entreprise et la considère comme juste un support technique aux métiers. Approche intégrée Axée sur les métiers, et organisée en processus interconnectés, donnant ainsi lieu à la nouvelle notion de système d’information. Cette mutation a eu des répercutions sur la fonction d’audit informatique, pour ainsi se transformer en audit des systèmes d’information. Désormais plusieurs référentiels et normes traitant les SI des entreprises de plusieurs perspectives se présentent aux auditeurs, tels que : ITIL , CMMi, PMBOK, PRINCE2, TOGAF, COSO, eSCM, Cobit, ISO 20000 , la famille ISO 2700X…. Parmi ces nombreux référentiels et normes internationales Cobit 4.1 se manifeste comme un cadre fédérateur et global de contrôle, de management, de gouvernance et d’audit des SI. Il est considéré pour les SI comme l’équivalent de COSO en matière de contrôle interne. Il est de mode ces dernières années et il gagne de reconnaissance. Mais à vrai dire, c’est pour des raisons concrètes et bien fondées qu’il est jugé utile pour les entreprises. Problématique Quels sont les avantages de cadre fédérateur Cobit4.1 en matière d’audit des SI? Et au moyen de quel outil peut-on les mettre en œuvre? Contexte et mission de stage La Société Tunisienne de l’Électricité et de Gaz (STEG) est un monopole public crée en 1962 et qui œuvre dans la production, la distribution et le transport de l’électricité et du gaz sur l’ensemble de territoire tunisien. Elle occupe la deuxième place dans l’échelle des performances des entreprises tunisiennes en terme de chiffre d'affaires (qui a atteint 2670 MDT en 2012). Pour satisfaire les besoins de ses clients dans les meilleures conditions de coût, qualité et sécurité, et afin de garder sa place de leader, la STEG adopte une stratégie globale qui se fond sur les cinq valeurs suivantes : L’orientation client Le travail en équipe La considération des personnes La gestion par les faits L'amélioration continue C’est au moyen des instance telle que la direction d’audit interne (et ses différentes divisions) que la STEG a pu soutenir cette stratégie d’amélioration continue. Mission de stage Ma mission pendant ce stage était de contribuer au développement des méthodes et outils d’audit des SI de la STEG afin d’assurer des SI efficaces et efficients à un haut niveau de qualité et de sécurité, permettant ainsi de soutenir la stratégie globale de la STEG : celle de l’amélioration continue de ses services et produits. Mes tâches se sont alors étendues du diagnostic de l’état des lieux de la STEG en matière d’audit des SI, jusqu’à la présentation des nouvelles solutions et leurs implémentations. Pourquoi Cobit4.1? Un modèle de 34 processus interconnectés (groupés en 4 domaines) qui considère toutes les ressources de SI et couvre l’intégralité des ses activités. Un ensemble de bonnes pratiques sous formes de 215 objectifs de contrôle qui se déclinent en plusieurs pratiques de contrôle Son alignement sur les besoins des métiers Son alignement sur les différentes approches et bonnes pratiques des autres référentiels et normes internationales Un grand nombre d’éléments, concepts, et démarches couvrant les volets contrôle, management, gouvernance et audit des SI Une documentation abondante Cobit4.1 se distingue par : Modèle processus de Cobit4.1 Dans son modèle processus, Cobit4.1 considère toutes les ressources de SI et couvre l’intégralité des ses activités, tout en s’alignant sur les objectifs métiers et ceux de la gouvernance. Les éléments de Cobit4.1 Cobit4.1 Objectifs métiers Objectifs informatiques Objectifs de contrôle Objectifs activité Objectif processus Les mesures de performance (KPI) Les mesures des résultats (KGI) Les tableaux RACI Les modèles de maturités Les entrées / sorties des processus Les descriptifs des processus Les descriptifs des objectifs de contrôle Les énoncées des valeurs et des risques Les attributs des modèles Les procédures d’évaluation La liste des processus Les critères d’information Procédures de contrôle La documentation Cobit4.1 La documentation Cobit4.1 couvre les volets contrôle, gouvernance, management, et audit des SI. Et s’adresse aux différents intervenants : dirigeants, responsables métiers et informatiques, professionnels d’assurance, auditeurs , opérationnels … La démarche d’audit selon Cobit4.1 Cobit 4.1 offre au moyen de son guide d’audit une démarche d’audit bien élaborée qui se divise en trois phases Le générateur de guides d’audit : raisons d’être Suite à une étude des états des lieux de la STEG en matière de management et d‘audit des SI (couvrant la période de l’année 2007 à l’année 2011), on a remarqué les points suivants :  Un fort développement des activités des SI (qui touchent aussi bien le niveau stratégique, organisationnel, managériale qu’opérationnel)  Alignement des projets informatiques sur les objectifs stratégiques de l’entreprise  Établissement d’un schéma directeur des SI  L’actualisation, la restructuration et la mise en place des structures de contrôle et de pilotage  Développement des projets informatiques  L’acquisition, le déploiement, le test et la mise en œuvre des progiciels et systèmes informatiques  La maintenance et le développement de l’infrastructure informatique  L’externalisation des services et la gestion des contrats avec des tiers  La gestion des centres d’assistances aux utilisateurs (helpdesk) ….  Ce développement des activités des SI a impliqué une croissance dans les missions d’audit (de 12 missions en 2007 à 32 en 2010 et 22 en 2011) afin de couvrir toutes ces activités  Pour exécuter ces missions les auditeurs informatique de la STEG se référent à une variété des référentiels et normes, tels que :  ISO 9001, ISO 14001, ISO 26000, OHSAS 18001 dans le cadre des missions globales d’audit interne traitant l’ensemble des structures de la STEG (y compris les SI)  ISO 13335, ISO 17799, la famille ISO 2700X, ITIL V3, PRINCE2 … qui sont des normes et des cadres de références spécifiques aux SI.  Ces missions, bien qu’ils apportent leurs contributions à l’amélioration des dispositifs de contrôle propres aux SI, cependant on a remarqué l’absence d’une démarche d’audit globale permettant d’organiser et de structurer les différentes missions dans une logique cohérente et complémentaire. La solution était d’élaborer un générateur de guides d’audit hiérarchisés, cohérents et complémentaires sur la base de l’approche de cadre de référence Cobit4.1 en raison de ses nombreux avantages, l’ensemble de ses éléments et concepts adaptés à l’audit et l’abondance de sa documentation en la matière. Ce générateur de guides d’audit sera implémenté en une application Excel et comportera les sous produits suivants : Un guide générique (une plateforme de questionnaires d’audit) Une carte de correspondance « Missions- Objectifs de contrôle » Un ensemble de tables de mappage Générateur de guides d’audit Guide générique (plateforme des questionnaires d’audit) Carte de correspondance « Missions – Objectifs de contrôle » Tables de mappage Conception Implémentation Feuilles Excel Conception de générateur de guides d’audit Le générateur de guides d’audit : démarche et résultats Ce générateur de guides d’audit aura pour objectif de traduire l’approche Cobit4.1 en matière d’audit des SI en permettant aux auditeurs de planifier, cadrer et exécuter : L’élément central sur le quel se base l’approche Cobit4.1 en matière d’audit des SI ce sont les « objectifs de contrôle », c’est ainsi le cas pour ce produit. Autres éléments et publications de Cobit4.1 vont œuvrer dans l’élaboration de ce générateur de guides d’audit et ses différents sous produits. des missions d’audits cohérentes, complémentaires, opérant dans une même logique, couvrant l’intégralité des activités des SI, alignées sur les exigences métiers au niveau le plus général et ouvertes sur les bonnes pratiques d’autres référentiels et normes plus spécifiques. Cobit4.1 Objectifs métiers Objectifs informatiques Objectifs de contrôle Objectifs activité Objectif processus Les mesures de performance (KPI) Les mesures des résultats (KGI) Les tableaux RACI Les modèles de maturités Les entrées / sorties des processus Les descriptifs des processus Les descriptifs des objectifs de contrôle Les énoncées des valeurs et des risques Les attributs des modèles Les procédures d’évaluation La liste des processus Les critères d’information Procédures de contrôle Ce guide présente une plateforme depuis de laquelle vont être générés différents questionnaires en réponse à un éventail de missions. Cette plateforme est établi intégralement à partir de la documentation Cobit4.1 en la matière, elle présente tous les objectifs de contrôles Cobit4.1 et offre un grand nombre d’évaluations associées à chacun de ces objectifs sous forme de questions soutenus par des renseignements et des conseils. Le guide générique (plateforme de questionnaires d’audit) C’est une carte clé qui permettra d’identifier les principaux objectifs de contrôle qui devront être évalués en réponse à une mission bien déterminée. Sur la base de ces objectifs identifiés, un questionnaire spécifique à uploads/Management/ expose-de-memoire-de-stage.pdf