Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Audit des systèmes d

CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Audit des systèmes d’information Séance 4 – Controles internes au sein d’un environnement informatique – Les Contrôles Généraux Informatiques Bruno M. SENOU Chargé de cours Université FHB UFR des Sciences Économiques & de Gestion MSTCF CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE AGENDA  Politique sur le contrôle interne  En quoi les contrôles informatiques importent-ils?  Contrôles informatiques à l’appui du CIIF o Contrôles des applications o Contrôles manuels liés aux TI o Contrôles généraux informatiques CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Pour commencer …. CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Politique sur le contrôle interne En quoi les contrôles informatiques importent-ils?  Les contrôles informatiques protègent l’intégrité des données et représentent une composante importante du contrôle informatique à l’appui du CIIF d’une organisation.  Les contrôles informatiques ont trait à la sécurité (confidentialité, intégrité et disponibilité) des données, de même qu’à la gestion globale des fonctions opérationnelles de l’organisation.  Les systèmes informatiques appuient le flux d’informations à partir du déclenchement jusqu’à l’enregistrement et comptent parmi les éléments les plus importants et généralisés du système d’information financière d’une organisation.  Les systèmes informatiques servent de plus en plus d’outils visant à fournir un traitement et une communication efficients aux fins de la prise de décisions.  Diminution de l’étendue des tests et de la mesure dans laquelle on s’appuie sur les contrôles au niveau des opérations  Augmentation de l’efficacité et de l’efficience et diminution des coûts des contrôles internes en établissant un système informatique sain et en utilisant les systèmes au sein de l’organisation  Accroissement de l’uniformité du fonctionnement du contrôle (c.- à-d. processus automatisés c. manuels) CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE  Amélioration de la sécurité (confidentialité, intégrité et disponibilité) de l’information de la société  Amélioration de la fiabilité des contrôles manuels liés aux TI CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Politique sur le contrôle interne Vue d’ensemble du contrôle informatique Les contrôles informatiques sont classés dans trois principales catégories :  Contrôles manuels liés aux TI  Contrôles des applications  Contrôles généraux informatiques CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Les contrôles généraux informatiques Présentation Définition des IT General Controls : Ensemble des procédures de contrôles contribuant à assurer un bon fonctionnement continu des systèmes d’information. Principe des travaux :  Identification des contrôles en place  Evaluation du design et de l’efficacité de ces contrôles par la réalisation de tests (entretiens, collecte et revue de documentation…) PRINCIPAUX DOMAINES DES ITGC 1. Access to programs and data 1.1. Implementation of security practices 1.2. Logical and physical access to IT computing resources 1.3. Segregation of duties 2. Program changes 2.1. Changes have been authorized, documented and tested 2.2. System and application configuration changes 2.3. Migration of changes into production CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE 3. Program development 3.1. Authorization, development, and testing of new systems and applications 4. Computer operations 4.1. Implementation backup and recovery procedures 4.2. Problem management procedures 4.3. Accuracy, completeness, and timely processing of systems jobs 5. End-user computing 5.1. IT general controls applied to end-user computing environments 5.1.1. Spreadsheets and other user developed programs 5.1.2. Common in financial consolidation, reporting and disclosures 5.1.3. Document and test in relevant Audit Program CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE La gestion de la sécurité informatique Présentation La sécurité logique  informations confidentielles ou sensibles  gestion des droits d'accès  différents mécanismes en place  modalités de gestion des identifiants et mots de passe  procédures d'attribution des droits  (les droits d'accès en place font a priori partie de la revue d'application) La sécurité physique et la continuité d'exploitation  protection des matériels  procédures de sauvegarde  plan de secours  plan de fonctionnement dégradé CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Démarche Identification des contrôles en place par entretien et revue de documentation Thème Contrôles à tester Accès aux programmes et aux données Implementation of security practices Une politique de sécurité de l'information existe, a été approuvée par le management et communiquée aux utilisateurs. Des standards de sécurité ont été mis en place afin d'atteindre les objectifs définis dans la politique de sécurité. Ces standards doivent couvrir les thèmes suivants : - Organigramme de la fonction sécurité - Rôles et responsabilités - Sécurité physique et environnementale - Sécurité des OS - Sécurité des réseaux - Sécurité des applications - Sécurité des bases de données Un plan de sécurité IT existe et est en ligne avec le plan stratégique IT. Le plan de sécurité IT est mis à jour des changements apportés à l'environnement IT ainsi que des besoins identifiés en terme de sécurité pour les systèmes. Segregation of duties Des contrôles existent lors du processus de demande et de création des droits utilisateurs afin de garantir le principe de séparation de fonction. Les applications et les systèmes hébergeant les données sont correctement configurés pour autoriser l'accès aux utilisateurs selon leurs besoins (consultation, création, modification ou suppression des données). Logical and physical access to IT computing resources Des procédures existent et sont suivies afin de : - garantir l'efficacité des mécanismes d'accès et d'authentification - s'assurer que tous les utilisateurs sont authentifiés par le système garantissant ainsi la validité des transactions passées. Un processus de contrôle est en place afin d'effectuer une CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Thème Contrôles à tester Accès aux programmes et aux données revue périodique des droits d'accès et de s'assurer de leur correcte attribution. Des procédures sont mises en place et suivies pour s'assurer que les comptes utilisateurs sont créés, modifiés, suspendus et fermés en temps et en heure. Des contrôles appropriés, incluant les Firewalls, la détection d'intrusion, l'évaluation des vulnérabilités existent et sont utilisés pour se prémunir des accès non-autorisés à partir des connectivités réseaux. Des logs tracent les opérations liées à la sécurité des OS, des applications et des bases de données. La revue de ces logs permet d'identifier les violations de sécurité et de les remonter au management. S'assurer que l'accès aux salles IT est restreint et que les règles de sécurité sont définies et appliquées. Des procédures d'accès sont en place pour les employés, les contractants et les équipes de maintenance. Des moyens de protection physiques permettent de maintenir les systèmes en fonctionnement et d'assurer la disponibilité des données (messages d' alarmes pour l' eau, le feu, les intrusions, extincteurs, air conditionné, groupes électrogènes…). Seules les logiciels autorisés sont utilisés par les utilisateurs. Des tests périodiques sont effectués pour s'assurer que l'infrastructure matérielle et logicielle est configurée de façon appropriée. La direction Informatique a défini des procédures permettant de protéger le système d'information et les équipements informatiques des virus informatiques L’exploitation informatique  Gestion des travaux CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE  Gestion des moyens  Procédures de mise en exploitation Gestion des travaux et des moyens  Gestion des travaux o Planning o Documentation o Gestion des incidents o Contrôle de la production o Distribution des restitutions  Gestion des moyens o Gestion des matériels o Plan de secours o Procédures de sauvegarde o Gestion Procédures de mise en exploitation  Implication de l’exploitation lors du développement de nouvelles applications o Evaluation de l’impact sur le planning de traitements  Procédure d’approbation des transferts de programmes en exploitation  Séparation bien établie des fonctions avec les études  Existence de plusieurs environnements ? o Environnement de développement o Environnement de test o Environnement de production Points d’attention liés à la gestion des travaux  Existence d’une planification automatique CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE  Existence d’une procédure formalisée pour les travaux exceptionnels non planifiés?  Existence de procédures écrites  Conservation de la maîtrise de l’enchaînement des traitements  Standardisation du dossier d’exploitation  Les opérateurs ont-ils accès aux logiciels de production? Aux données de production?  Peuvent-ils modifier les programmes sources ?  Rotation des fonctions entre les opérateurs?  Utilisation de moyens permettant de contrôler la bonne exécution des traitements  Procédure de suivi des incidents?  Définition d’un niveau de gravité des incidents?  Revue périodique des incidents non clos?  Identification des sorties sensibles? Points d’attention liés à la gestion des moyens  Maintenance  suivi des performances  suivi de l’espace disque disponible  suivi des consommations  le plan de secours couvre-t-il tous les sites ? Toutes les applications?  s’appuie-t-il sur une analyse des risques associés à l’indisponibilité des différentes applications?  Tests réguliers du plan de secours?  Conservation à l’extérieur du centre informatique des copies de fichiers de données et des programmes de production?  Contrôle du contenu des sauvegardes avec les fichiers en production?  Restauration périodique des sauvegardes?  Refacturation aux utilisateurs CONTROLES INTERNES AU SEIN D’UN ENVIRONNEMENT INFORMATIQUE Démarche Thème Objectif de contrôle Exploitation Accuracy, completeness, and timely processing of systems jobs Des contrats de service internes et externes (Service Level Agreement) sont définis et gérés afin de répondre aux uploads/Management/ les-controles-generaux-informatiques-v2.pdf