Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 1-Audit : Definition et origines Un audit est un processus permanent ou ponct

1 1-Audit : Definition et origines Un audit est un processus permanent ou ponctuel, par lequel une fonction de l’entreprise est évaluée par une ou plusieurs personnes qui n’exercent pas cette fonction dans l’entreprise Audit : Définition et origines Une entreprise souhaite un audit d’une de ses fonctions parce que ses responsables y perçoivent un dysfonctionnement ou des possibilités d’amélioration, ou bien veulent comprendre la « vraie » réalité de cette fonction, c'est-à-dire au-delà de ce qui en est dit ou de ce qu'elle paraît être. 2 Audit et Sécurité des Systèmes d’Informations Cadre général de l’audit Un audit : Un passage en revu critique Un entretien qui doit aboutir à une évaluation, une appréciation. La démarche est la même : approche par les risques. Audit et Sécurité des Systèmes d’Informations 4 objectifs permanents : Efficacité : capacité à attendre les objectifs. Politique de DG respectée ou non ? Efficience : Ressources nécessaires de mise en œuvre des politiques consommées sans gaspillage ?? Economie : les ressources pour mise en œuvre des politiques de la DG : obtenues au moindre coût ? Sécurité : les ressources pour mise en œuvre des politiques de la DG sont elles préservées. 3 Audit et Sécurité des Systèmes d’Informations Les demandeurs d'un audit de l'activité informatique La Direction de l'entreprise Pour vérifier le respect des orientations qu‘elle a définis Le responsable informatique l'opinion motivée de spécialistes sur sa propre organisation Les contrôleurs externes S’intéressent à la qualité de l'environnement informatique Audit et Sécurité des Systèmes d’Informations Les principales questions posées par les décideurs : Les questions posées aux auditeurs informatiques sont très variées Elles peuvent porter : – Le rôle de l’informatique – La politique informatique – Les structures informatiques – Les applications – Les moyens mis en œuvre – Les hommes – ... 4 Audit et Sécurité des Systèmes d’Informations Selon quelle démarche et avec quels outils ? Pour auditer, il faut : Un besoin clairement exprimé Un périmètre bien défini Une méthode formelle Des outils Des moyens et des compétences ... Audit et Sécurité des Systèmes d’Informations Les méthodes : Les méthodes globales Cobit Mehari EBIOS Marion Melisa ... Les méthodes « propriétaires" Sans méthode formelle 5 Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la méthode est aujourd'hui davantage assimilée à une méthode de gouvernance des SI. ISACA Control objectives for information and technology Cobit Caractéristiques Origine Signification Nom Les principales méthodes d'audit de sécurité Notamment déployée au sein de l'administration française, cette méthode comprend une base de connaissances et un recueil de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel. DCSSI Expression des Besoins et Identification des Objectifs de Sécurité Ebios Caractéristiques Origine Signification Nom Les principales méthodes d'audit de sécurité 6 Pas une méthode à proprement parler mais un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d'engagement de sa responsabilité dans l'application d'une politique de sécurité. SCSSI Fiche d'Expression Rationnelle des Objectifs de Sécurité Feros Caractéristiques Origine Signification Nom Les principales méthodes d'audit de sécurité Fonctionne par questionnaires débouchant sur 27 indicateurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en oeuvre de plans d'actions personnalisés. CLUSIF Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux Marion Caractéristiques Origine Signification Nom Les principales méthodes d'audit de sécurité 7 Succède à la méthode Marion. S'articule autour de 3 plans. Permet désormais d'apprécier les risques au regard des objectifs "business" de l'entreprise. CLUSIF Méthode Harmonisée d'Analyse de Risques Mehari Caractéristiques Origine Signification Nom Les principales méthodes d'audit de sécurité Audit et Sécurité des Systèmes d’Informations Les méthodes : Globales /Propriétaires Les méthodes globales: – Pourquoi une méthode ? Être efficace Être crédible Se comparer ... – Oui, mais … C'est trop lourd ! C'est pas adapté ! C'est théorique … Les méthodes propriétaires – Objectif : personnaliser et simplifier ... 8 Introduction • Introduction à l'audit des systèmes d'information: – L'audit d'un environnement informatique peut concerner l'évaluation des risques informatiques de la sécurité physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc. Ou bien un ensemble de processus informatiques - ce qui est généralement le cas - pour répondre à une demande précise du client. – Par exemple, apprécier la disponibilité des informations et des systèmes. Le CobiT permet justement de rechercher quels processus informatiques répondent le plus efficacement à une telle demande. Dans le cas de la disponibilité : par exemple la sécurité physique et le plan de continuité. Introduction Approche générale : – Un audit informatique (audit des systèmes d'information), se fait selon un schéma en 4 phases : • - Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse forces - faiblesses - Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de l'efficacité des contrôles - Tests des contrôles - Tests de matérialité. 9 Introduction – Un audit informatique (audit des systèmes d'information) ne concerne pas nécessairement la sécurité. En effet, il peut aussi évaluer des aspects stratégiques ou de qualité des systèmes d'information. – Par exemple, répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent efficacement aux besoins des services métiers ? – Alignement métiers : quel concept déjà ? – La démarche est très similaire, en choisissant et évaluant les processus informatiques proposés par le CobiT qui répondent le mieux à la demande du client. Introduction • Un Audit se concrétise toujours par un rapport : exemples – Audit de l'environnement informatique : • Mission : Evaluer les risques des systèmes d'information nécessaires au fonctionnement des applications. (Par exemple : Sécurité physique, sécurité logique, sécurité des réseaux, plan de secours...) • Livrables : Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées. 10 Introduction • Un Audit se concrétise toujours par un rapport : exemples – Audit d’une application informatique • Mission : Evaluer les risques d'une application informatique. La mission débute par la définition des processus métiers concernés, puis évalue leurs risques. • Livrables : Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées. Introduction • Un Audit se concrétise toujours par un rapport : exemples – Audit d'une application en cours de développement : • Mission : Assister l'équipe de projet à évaluer les risques lors des différentes étapes de réalisation d'une application informatique et proposer des mesures de réduction et de contrôle des risques importants. • Livrables : Mesures proposées de réduction et de contrôle des risques importants de la nouvelle application informatique. 11 L‘audit : dans quels buts ? Il existe deux types d'audit informatique répondant chacun à un but différent : 1-l'audit du besoin ; 2-l'audit de découverte des connaissances. L‘audit : dans quels buts ? 1-L‘Audit du Besoin : L'audit du besoin comporte deux parties : • 1.1- l'analyse de l'existant ; • 1.2- la détermination de la cible. 12 L‘audit : dans quels buts ? 1-L‘Audit du Besoin : 1.1-L'analyse de l'existant consiste en un travail de terrain au terme duquel on formalise la circulation des documents "types" d'un acteur à l'autre et le traitement que chaque acteur applique à ces documents, à l'aide de logigrammes (traitements sur les documents) et de représentation de graphes relationnels (circulation des documents). L‘audit : dans quels buts ? L‘Audit du Besoin : – 1.2-La détermination de la cible consiste à repérer : • les passages "papier - numérique" et "numérique - papier" ; • les redondances dans le graphe ("formulaires en plusieurs exemplaires") ; • les goulots d'étranglement (dispersion des infrastructures, points de contrôle et validation nécessaires ?) ; • le découpage en zones, en sous-graphes : les domaines "métier". Ainsi chaque zone peut être dotée d'un outil spécifique, plutôt qu'un seul système global "usine à gaz". • Ainsi le résultat de l'audit, généralement élaboré et approuvé collectivement, peut donner lieu non pas à un projet, mais plusieurs projets ordonnancés dans une feuille de route. 13 L‘audit : dans quels buts ? – 2-Audit de Découverte des Connaissances (peu utilisé puisque réservé à certaines applications (hypercube,..)) • L'audit de découverte des connaissances consiste à valoriser les données et connaissances existantes dans l'entreprise. La modélisation mathématique des bases de données oblige toujours à "perdre" une partie de l'information, il s'agit de la redécouvrir en "brassant" les données. • uploads/Management/audit-si.pdf