Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

SOMMAIRE SOMMAIRE..............................................................

SOMMAIRE SOMMAIRE................................................................................................................................0 OBJECTIFS.................................................................................................................................1 INTRODUCTION.......................................................................................................................1 I-DEFINITION DES TERMES...................................................................................................1 II-METHODOLOGIE.................................................................................................................2 III-CAS PRATIQUE..................................................................................................................10 CONCLUSION..........................................................................................................................11 REFERENCES..........................................................................................................................11 1 3 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION OBJECTIFS A la fin de ce chapitre l’étudiant doit être capable de : Maitriser les définitions d’audit, de référentiel et de système d’information ; Présenter les différents référentiels de l’audit des systèmes d’informations ; Présenter le référentiel d’audit utilisé par une entreprise à partir d’un exemple. INTRODUCTION L’évolution exponentielle de l’environnement interne et externe de l’entreprise requiert de celle-ci une réactivité rapide sur son système d’information confronté à de nombreuses difficultés notamment sa sécurité. Pour pallier à cela il est nécessaire de mettre en place un audit du système d’information. Ainsi la mise en place de cette méthode passe par des référentiels standards applicables pour cette démarche. Cependant quels sont les référentiels en audit informatique ? La mise en lumière de cette notion évoquée constituera la toile de fond de notre devoir. I-Définition des termes L’audit est l'évaluation du niveau de contrôle des risques associés à une activité. Un référentiel est un ensemble structuré de recommandations ou de bonnes pratiques utilisées pour le management du système d'information. Un système d’information est l’ensemble des moyens et des ressources informatiques dont dispose une entreprise pour recueillir, traiter, stocker et diffuser les données nécessaires à son activité. 1 3 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION II-METHODOLOGIE II.1 Un référentiel d’audit, qu’est-ce que c’est ? et pour quoi faire ? L’informatique est un monde d’ingénierie dont les différents aspects sont régis par des règles bien spécifiques. Il est toujours possible de ne pas respecter certaines des règles. Par exemple : il est possible de mener à bien un projet informatique sans tenir de planning. Il est aussi possible de développer une application informatique qui fonctionne sans respecter aucune norme de codage. Avec un peu de chance, il se peut que les travaux se déroulent correctement. Cependant moins on se repose sur des règles et procédures plus les risques de problèmes et d’échecs sont importants. Evidemment, plus on souhaite que les travaux se déroulent correctement, plus il est nécessaire de se conformer aux règles de l’art. Si l’expérience et le bon sens sont bien évidemment des éléments importants dans les missions d’audit, ils sont loin d’être suffisants et c’est ici qu’intervient la notion de référentiel d’audit. Un référentiel de l’audit comme mentionné plus haut correspond à un recueil de règles, procédures et/ou bonnes pratiques reconnues au plan international et sur lequel l’auditeur pourra s’appuyer pour formuler ses recommandations. II.2- Présentation de quelques référentiels de l’audit des SI Avant de mener des travaux d’investigation lors de la phase d’exécution les auditeurs doivent d’abord fixer un ou plusieurs cadres de référentiels soit ceux propres à l’entreprise ou choisis parmi les standards et les normes internationales existants. Ces référentiels peuvent être utilisés par les auditeurs au cours d’une mission d’audit afin d’évaluer les dispositifs de contrôler question et de mesurer le niveau de leurs applications par rapport aux exigences et les bonnes pratiques de ces standards. Plusieurs référentiels d’audit se présentent sur le marché et permettant chacun de traiter un élément ou une dimension des SI tels que : CobiT: (Control Objectives for Information and related Technology). C'est le principal référentiel des auditeurs informatiques ; Val IT : permet d'évaluer la création de valeur par projet ou par portefeuille de projets ; Risk IT : a pour but d'améliorer la maîtrise des risques liés à l'informatique ; 1 3 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION ISO 27002 : c’est un code des bonnes pratiques en matière de management de la sécurité des systèmes d'information ; CMMi : (Capability Maturity Model integration) : qui est une démarche d'évaluation de la qualité de la gestion de projet informatique ; ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services informatiques. Ces différents référentiels présentent une bibliothèque complète de savoir et de bonnes pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers afin de piloter, contrôler et de maintenir des SI en haute performance. Il en existe notamment trois qui sont particulièrement répandus, à savoir COBIT, CMMI et ITIL. II.2.1. Le référentiel COBIT COBIT est un référentiel développé par l’ISACA (Information Audit and Control Association) en 1994, et repris maintenant par l’IT Governance depuis 1998. C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. Il s’agit d’un modèle de contrôle permettant de satisfaire les besoins de gouvernance en matière des technologies de l’information et d’assurer l’intégrité de ces derniers et des informations qu’ils contiennent. Ces informations doivent répondre à un certain nombre de critères préconisés par COBIT, et qui se présentent comme suit : L'efficacité : qualité et pertinence de l'information, distribution cohérente ; L'efficience qui qualifie la mise à disposition de l’information grâce à l’utilisation optimale (la plus productive et la plus économique) des ressources ; La confidentialité : protection de l’information sensible contre toute divulgation non autorisée ; L'intégrité : l’information correspond à la réalité de la situation ; La disponibilité : l’information est disponible pour les destinataires en temps voulu ; La conformité : se conformer aux lois, aux réglementations et aux clauses contractuelles auxquelles le processus métier est soumis, c'est-à-dire aux critères professionnels imposés par l’extérieur comme par les politiques internes. La fiabilité concerne la fourniture d’informations appropriées qui permettent au management de piloter l’entreprise et d’exercer ses responsabilités fiduciaires et de gouvernance. 1 3 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION L'information est produite par des systèmes qui mobilisent les ressources suivantes. Application : les systèmes automatisés et les procédures pour traiter l’information. Information : les données, comme entrées ou sorties des systèmes d’information, quelle que soit leur forme. Infrastructure : les technologies et les installations qui permettent le traitement des applications. Personnes : les ressources humaines nécessaires pour organiser, planifier, acquérir, délivrer, supporter, surveiller et évaluer les systèmes d’information et les services. Le référentiel (modèle) COBIT se focalise sur ce que l'entreprise a besoin de faire et non sur la façon dont elle doit le faire. Il existe plusieurs versions du référentiel COBIT, mais nous n’en citerons que 3 grandes versions notamment : Le référentiel CobiT 4.1 Le référentiel COBIT 4.1 est une approche orientée processus qui définit 34 processus regroupés en quatre domaines :  Planification et l'organisation : ce domaine couvre les activités liées aux aspects de stratégie, de planification, de communication et d'organisation.  Acquisition et la mise en place : la réalisation de la stratégie consiste à identifier les solutions, puis à les faire développer en interne ou à les acquérir auprès des fournisseurs et à les intégrer dans les processus d'affaire. La maintenance de systèmes existants fait également partie de ce domaine.  Distribution et le support : les systèmes et les applications doivent être exploités et sécurisés, les utilisateurs doivent être formés.  Surveillance (Monitoring) : consiste à évaluer de façon périodique et régulière tous les processus TI et à vérifier leur conformité par rapports aux exigences de l'entreprise. Ce domaine regroupe donc la surveillance assurée par le contrôle interne, les audits internes ou les audits externes. Processus du modèle cobit 4.1 : 1 3 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION Comme le montre le schéma suivant, les ressources informatiques sont gérées par des processus informatiques pour atteindre des objectifs informatiques qui répondent aux exigences métiers. Figure 1 : Le cube cobit Le référentiel CobiT version 5 Planification et organisation PO1 Définir un plan stratégique PO2 Définir l’architecture de l’information PO3 Déterminer une ligne stratégique PO4 Définir l’organisation informatique et ses liaisons PO5 Gerer les investissements informatiques PO6 Communiquer les buts de la direction PO7 Gerer les ressources humaines PO8 Assurer le respect des exigences externes PO9 Evaluer les risques PO10 Gerer les projets PO11 Gerer la qualité Acquisition et implémentation AI Identifier les solutions AI2 Acquérir et maintenir les logiciels applicatifs AI3 Acquérir et maintenir l’architecture technologique AI4 Développer et maintenir les processus informatiques AI5 Installer et accréditer les systèmes AI6 Gerer les changements Distribution et Support DS1 Définition des niveaux de service DS2 Gestion des services aux tiers DS3 Gestion des performances et des capacités DS4 Garantie de la poursuite des traitements DS5 Garantie de la sécurité des systèmes DS6 Identification et attribution des coûts DS7 Formation des utilisateurs DS8 Assistance des utilisateurs DS9 Gestion de la configuration DS10 Gestion des incidents DS11 Gestion des données et des applications DS12 Sécurité physique du système DS13 Gestion de l'exploitation Surveillance M1 Surveillance des processus M2 Appréciation du contrôle interne M3 Certification par un organisme indépendant M4 Audit par un organisme indépendant 1 3 LES REFERENTIELS D’AUDIT DES SYSTEMES D’INFORMATION La version 5 de COBIT est disponible depuis avril 201214. Le référentiel COBIT 5 est, à ce jour, le seul référentiel qui est orienté business pour la Gouvernance et la Gestion des Systèmes d'Information de l'entreprise. Il représente une évolution majeure du référentiel. Il adapté pour tous les types de modèles business, d'environnements technologiques, toutes uploads/Management/ groupe-2b-audit.pdf