Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

UNIVERSITE MOHAMMED V AGDAL ECOLE MOHAMMADIA D’INGENIEURS Réalisé par: M. Hassa

UNIVERSITE MOHAMMED V AGDAL ECOLE MOHAMMADIA D’INGENIEURS Réalisé par: M. Hassan EL OUMRI Dirigé par: M. Samir BENNANI M. Rabii BERADY M. Amine SERRAR Mise en place d’une démarche personnalisée de gestion des risques IT pour DELOITTE- Maroc Année universitaire 2011-2012 Filière: Génie Informatique Options: Systèmes d’informations Mémoire de Projet de Fin d’Etudes N° INF 26/12 UNIVERSITE MOHAMMED V AGDAL ECOLE MOHAMMADIA D’INGENIEURS Filière: Génie Informatique Option: Systèmes d’informations Mémoire de Projet de Fin d’Etudes N° INF 26/12 Mise en place d’une démarche personnalisée de gestion des risques IT pour DELOITTE- Maroc Réalisé par: M. Hassan EL OUMRI Soutenu le 31 Mai 2012 devant le jury : Mme A.RETBI Président e Professeur à l’EMI M M.KHALIDI IDRISSI Rapporteur Professeur à l’EMI M S. BENNANI Encadrant Professeur à l’EMI M R. BERADY Encadrant Manager DELOITTE M A.SERRAR Encadrant Superviseur DELOITTE Année universitaire 2011-2012 Remerciements Au terme de ce travail, je tiens à remercier vivement et profondément tous ceux qui ont contribué de près ou de loin à la réalisation de ce projet de fin d’études. De prime à bord, je remercie personnellement Monsieur Samir BENNANI, qui m’a fait l’honneur de m’encadrer et grâce à qui j’ai pu mener à bien ce travail. Je tiens à lui témoigner ma reconnaissance pour la qualité de son encadrement, son soutien et ses précieux conseils. Mes sincères remerciements sont tout particulièrement adressés à Messieurs Rabii BERADY, Amine SERRAR et Omar KARRAKCHOU, mes parrains de stage à DELOITTE, pour leurs encouragements, leurs soutiens et leurs implications lors de ce projet. Je remercie également tous les membres de jury d’avoir bien voulu évaluer mon modeste travail. Je tiens à exprimer ma gratitude à tout le corps professoral et administratif de l’Ecole Mohammedia d’Ingénieurs pour avoir fait preuve de disponibilité et d’attention à tout au long de la période de formation. 1 Projet de Fin d’Etudes Département Informatique 2011 - 2012 DÉDICACES A mes très chers parents, Pour vos sacrifices, votre soutien inconditionnel, votre patience et votre respect, je ne puis vous exprimer toute ma gratitude. Pour m’avoir laissé choisir mon chemin, trouver ma voie et devenir ce que je suis, je vous suis reconnaissante à jamais. Que Dieu vous procure santé, bonheur et longue vie. A Ahmed Amine, Mariam, Marwa et Samid Que vous trouvez ici l’expression de mon plus grand amour pour vos encouragements, vos conseils et votre soutien. A mes tantes et mes cousins, Que vous trouvez ici l’expression de mon plus grand attachement pour avoir pris soin de moi, pour m’avoir encouragée et pour vos prières si nombreuses. A Samia, Rachida, Salma, Sara, nada, asma, Sakina, mrym, meriem, Anass, omar, Youssef, soufiane, jihad, hassan, ikhlef, amine, soulayman, nadia, asmae, achraf, adnane Pour votre amitié et votre soutien. Que ces années à l’Ecole ne soient qu’un avant-goût de tout ce qui est encore à venir. A tous ceux que j’estime, amis de longue date ou connus à l’Ecole, mais que je ne peux tous citer. Je vous dédie ce travail 2 Projet de Fin d’Etudes Département Informatique 2011 - 2012 Résumé . Le management des risques est un processus permanent qui irrigue toute organisation. Il est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de l’organisation, en particulier au niveau du système d’information. En effet, la mise en place d’un dispositif de management des risques informatiques, qui permet d’obtenir une vision globale de l’exposition du système d’information aux risques. est devenu une nécessité au sein de l’entreprise, vu le gain important qu’apporte le système d’information en productivité. C’est dans ce cadre, et afin d’assurer une meilleur compétitivité et garder sa position de leader dans le marché marocain, Deloitte Maroc a décidé d’accompagner les entreprises dans la gestion et l’évaluation des risques de leurs systèmes d’informations et de pouvoir prendre instantanément toute mesure correctrice appropriée. Ce service débouchera sur la mise en œuvre d’une méthode personnalisée de gestion des risques IT qui répondra aux besoins immédiats des clients. Ainsi, la finalité de ce projet était l’élaboration d’une démarche de gestion des risques informatiques liés aux systèmes d’information, intégrant les concepts du management des risques, et répondant à la problématique de rigidité des méthodes existantes. Plusieurs paramètres ont été considérés pour justifier le bienfondé de cette démarche personnalisée, et la pertinence des éléments qui la constituent. Par ailleurs, la démarche proposée doit respecter les normes et la méthodologie préétablies au sein de DELOITTE ainsi que les réglementations en matière de risque qui régissent les secteurs bancaires et d’assurances. 3 Projet de Fin d’Etudes Département Informatique 2011 - 2012 ملخص اداسج انًخاطش ْٙ ػًهٛح ذرى تطشٚقح يُرظًح ٔ يرٕاصهح داخم انششكح. ْزِ انؼًهٛح ذشًم جًٛغ انًٕظفٍٛ ٔ ذرى ػهٗ جًٛغ .انًسرٕٚاخ فٙ انششكح، ٔ خاصح فٙ َظاو انًؼهٕياخ ،تانفؼم، اٌ اَشاء آنٛح نهذذ يٍ االخطاس انًرؼهقح تُظاو انًؼهٕياخ، ذٕفش َظشج شًٕنٛح ػٍ يسرٕٖ ذؼشض انُظاو نهخطش .أصثخ ضشٔسج يهذح داخم انششكح، َظشا نهًكاسة انكثٛشج انرٙ أصثخ ٕٚفشْا نهشفغ يٍ االَراجٛح ٔفٙ ْزا اإلطاس، ٔ نرذسٍٛ انقذسج انرُافسٛح ٔانذفاظ ػهٗ يكاَر ٓا انشائذج فٙ انسٕق انًغشتٛح، فقذ قشسخ ششكح دٚهٕٚد انًغشب دػى انششكاخ فٙ ذقٛٛى إداسج انًخاطش َٔظى انًؼهٕياخ انخاصح تٓى ٔ رنك نهشفغ يٍ انقذسج ػهٗ ال اذخار .اإلجشاأخ انرصذٛذٛح انًُاسثح فٙ انٕقد انًُاسة . ٔسٕف ذؤد٘ ْزِ انخذيح انخاصح إلداسج انًخاطش نركُٕنٕجٛا انًؼهٕياخ انٗ ذهثٛح االدرٛاجاخ انفٕسٚح نهؼًالء ٔتانرانٙ، كاٌ انغشض يٍ ْزا انًششٔع ٔضغ َٓج إلداسج انًخاطش نركُٕنٕجٛا انًؼهٕياخ انًرؼهقح تُظى انًؼهٕياخ، ٔديج يفاْٛى إداسج انًخاطش، ٔانرصذ٘ نًشكهح جًٕد انطشق انقائًح. ٔ قذ قًُا تاالخذ تؼٍٛ االػرثاس يجًٕػح يٍ ان ًؼهًاخ نرثشٚش .ّصذح ْزا انُٓج انشخصٙ، ٔأًْٛح انؼُاصش انًكَٕح ن ٍَٛٔػالٔج ػهٗ رنك، ٚجة ػهٗ ْزا انُٓج انًقرشح اٌ ٚذرشو انًؼاٚٛش ٔانًُٓجٛح انًرثؼح فٙ ششكح دٚهٕٚد ٔ اٚضا انقٕا .انًرؼهقح تانًجال انثُكٙ ٔ يجال انرأيُٛاخ 4 Projet de Fin d’Etudes Département Informatique 2011 - 2012 ABSTRACT Risk management is an ongoing process that irrigates organization. It is implemented by all employees at all levels of the organization, particularly in the information system. Indeed, the establishment of a mechanism for managing information risk, which provides an overview of the system's exposure to risk information, has become a necessity in the business, given the large gain brings to the information system productivity. It is within this framework, and to ensure a better competitiveness and maintain its leading position in the Moroccan market, Deloitte Morocco has decided to support companies in the risk management assessment of their information systems and instantly be able to take any appropriate remedial action. This service will result in the implementation of a custom method of risk management IT that will meet the immediate needs of customers. Also, the purpose of this project was to develop an approach to IT risk management related to information systems, incorporating the concepts of risk management, and responding to the problem of rigidity of the existing methods. Several parameters were considered to justify the validity of this personalized approach, and relevance of its constituent elements. Moreover, the proposed approach must meet the standards and methodology pre within Deloitte and regulations with regard to risk governing the banking and insurance. 5 Projet de Fin d’Etudes Département Informatique 2011 - 2012 Table de matières INTRODUCTION ................................................................................................. 1 1. Premier Chapitre : Contexte et démarche du projet …….……………………...…....... 3 1.1 Présentation de l’organisme d’accueil................................................................................. 3 1.1.1 Deloitte dans le monde ..................................................................................................... 3 1.1.2 Deloitte Maroc ................................................................................................................. 4 1.2. Présentation du projet ......................................................................................................... 5 1.2.1. Management des risques des systèmes d’informations……….…………………………6 1..2.2. Définition générale de l’audit..........................................................................................7 1.3. Contexte et objectif du projet …........................................................................................ 8 1.3.1. Cadrage............................................................................................................................ 8 1.3.2. Problématique.................................................................................................................. 8 1.3.3. Objectif du projet............................................................................................................. 9 1.3.4. Définition du projet…...................................................................................................... 9 1.4. Conclusion……………………………………………………………….………………12 2. Deuxième chapitre : Etude Benchmark........................................................................... 13 2.1. Présentation des Missions de Contrôles Généraux Informatiques………….……………13 2.1.1 Présentation des missions................................................................................................ 13 2.1.2 Description du déroulement des missions ...................................................................... 13 2.1.3 Apport des missions d’audit à la démarche de gestion des risques IT…….…………... 14 2.2. Analyse des méthodes existantes : étude Benchmark……………………….…...………14 2.2.1 Cadrage de l’étude…….................................................................................................. 15 2.2.2 Documentation…………………………........................................................................ 15 2.2.3 Choix des méthodes……………………………………………………….…………... 15 2.2.4 Analyse approfondie…...………………........................................................................ 16 2.2.5 Synthèse…………..……………………………………………………….…………... 22 2.3. Conclusion ………………………………………………………………………………26 3. Troisième chapitre : Elaboration de la démarche personnalisée de la gestion des risques IT……………………………………………………………………….……………27 3.1. Description générale de la démarche................................................................................ 27 3.1.1. Justification de la proposition ....................................................................................... 27 3.1.2. Description générale de la méthode ............................................................................. 27 3.2. Description détaillée de la démarche................................................................................ 28 3.2.1. La proposition ............................................................................................................... 28 3.2.2. Phase de cadrage de la mission.......................................................................................31 3.2.3. Identification des risques………………………………………………………………34 6 Projet de Fin d’Etudes Département Informatique 2011 - 2012 3.2.4. Evaluation des risques………………………………………………………………….37 3.2.5. Recommandations……………………………………………………………………...40 3.2.6. Traitement des risques………………………………………………………...……….41 3.2.7. Suivi et contrôle des risques……………………………………………………………42 3.2.8. Capitalisation et documentation……………………………………………….…….…43 3.3. Conclusion……………………………………...………………………………………..44 4. Quatrième chapitre : Etude de cas …………………………………...…………………45 4.1. Cadrage de l’étude............................................................................................................ 45 4.2. Phase de cadrage de la mission......................................................................................... 46 4.3. Identification des risques.................................................................................................. 48 4.4. Evaluation des risques ………………………………………………………..………… 49 4.5. Rédaction des recommandations……………………………………………………...….51 4.6. Réunion de validation …… ………………………………………...………………..….52 4.7. Conclusion …………………………………………………………...………………….52 CONCLUSION GENERALE .............................................................................................. 53 Bibliographie ......................................................................................................................... 54 Webographie .......................................................................................................................... 54 Annexes .................................................................................................................................. 55 7 Projet de Fin d’Etudes Département Informatique 2011 - 2012 Liste des figures : Figure 1.1 : Implantations des firmes Deloitte dans le monde uploads/Management/ mise-en-place-d-x27-une-demarche-personnalisee-de-gestion-des-risques-it-pour-deloitte-maroc.pdf