2265U08 – Audit Systèmes Informatiques
M. Jérôme BRZEZINSKI
Management Global – Gestion et Informatique
Formation à l’audit informatique
- Synopsis
Organisation des cours d’audit informatique
1/ Introduction – 11 janvier 2007
La notion de risque
Les types de risque
Le management des risques
Les risques liés aux systèmes d’information
Impact sur la démarche générale
2/ Revue générale informatique – 18 janvier 2007
La politique informatique
L’organisation et les équipes du service informatique
La configuration matérielle et réseau
La cartographie applicative
Les contrôles généraux informatiques
La gestion de la sécurité informatique
La gestion des changements informatiques
Le développement informatique
L’exploitation informatique
Exemples
3/ Revue d’applications informatique – 25 janvier 2007
Historique et insertion de l’application dans l’architecture globale
Couverture fonctionnelle & dysfonctionnements
Schéma des traitements et matrice de contrôle
Identification des risques
Approfondissement des risques identifiés
Analyse des aspects « qualitatifs »
4/ Test informatiques – 1er février 2007
Avantages des tests informatiques
Situations amenant à procéder à des test informatiques
Typologie des tests informatiques
Démarche dans le cadre d’une mission CAC
Les facteurs de réussite
Présentation de l’outil « IDEA »
5/ Audit de la sécurité informatique – 8 février 2007
Etat des lieux
Continuité de service
Confidentialité des informations et risques de fraude
Risques d’erreur et de dysfonctionnement
Méthode MARION
6/ Contrôle interne / SOX – 22 février 2007
Contexte
Démarche SOX
Dimension Systèmes d’information
Cas des processus externalisés
7/ Audit en environnement ERP – 15 février 2007
Impacts des ERP sur les risques liés au SI
L’approche spécifique d’audit des ERP
Exemple de flux SAP
La fraude et les méthodes de prévention de détection
8/ Examen – 8 mars 2007
Questionnaire à choix multiple de type CISA
Introduction
Notion de risque
Définition
« Danger, inconvénient plus ou moins probable auquel on est exposé. » (Larousse)
Les implications directes
Rq : en fonction de l’activité (ex : industries, banques, etc.) et de la taille (ex : régionale, nationale, internationale) des entreprises, les risques ne sont pas les mêmes.
Importance relative / impact ?
Probabilité d’occurrence ?
Les concepts associés
Risque
Fonction de la menace et de la vulnérabilité
Caractérisé par une probabilité et un impact
Un peu d’histoire
De la perception de l’avenir…
Jusqu’à l’époque de la Renaissance, l’avenir est entre les mains d’une force supérieure, et l’homme agit dans une perspective d’éternité ;
La notion de « Progrès » bouleverse le rapport au temps : le présent est dorénavant occupé à construire l’avenir
…A la perspective du risque
La théorie des probabilités date du milieu du XVIIème siècle (Pascal / Fermat) ;
En cinquante ans, les bases de la probabilité du risque sont posées, entraînant l’émergence des métiers de la finance, de l’assurance, etc. ;
La dernière pierre est posée au XXème siècle, avec la mesure du retour sur investissement, ouvrant la voie au « risk management ».
Les types de risque
Multiplicité des risques
Risque pays
Risque de taux
Risque de crédit
Risque de vol
Risque d’approvisionnement
Risque de change
Risque social
Risque environnemental
Risque fiscal
Rq : fraude fiscale
Le risque fiscal est sous-estimé en France.
Risque d’exploitation
Risque de catastrophe
Rq : inondation du 1910 à Paris
Risque stratégique
Risque d’intrusion
Mode de classification
Par type de menace :
Risques de marché
Risque de taux
Risque de change
Risque de crédit
Risque pays
Risques stratégiques
Risque d’image
Risque d’alliance
Concurrence
investisseurs
Risques opérationnels
Risque d’approvisionnement
Risque social
Risque de malveillance
Risque fiscal
Risques de catastrophe
Catastrophes naturelles
Risque juridique catastrophe boursière
Risque terroriste
Par moyen de protection :
Risque global
Risque acceptable
Risque social
Risque fiscal
Risque couvrable
Risque de taux
Risque de cours
Risque de change
Risque assurable
Risque de vol
Risque de catastrophe
Risque d’exploitation
Risque diversifiable
Risque d’approvisionnement
Risque d’exploitation
La règle du « sur mesure »
Il n’existe pas de classification universelle des risques, pas plus que de système de gestion prêt à l’emploi
Chaque entreprise se doit de réaliser sa propre classification, en fonction notamment de :
Son secteur d’activité
Sa position concurrentielle
Son organisation
Etc.…
Par propriété pour l’entreprise :
Rq : « plan de secours » est le plan d’organisation et de réaction prévu en cas du risque concerné survenu.
Le management des risques
Démarche générale
Stratégie
Définition et qualification des risques
Stratégie d’audit
Evaluation des vulnérabilités
Evaluation de vulnérabilités
Plan d’action
Moyens de protection
Mise en œuvre des moyens de protection
Plan de communication et de formation
Actions de suivi
Mesure de la conformité
Plan d’audit
Stratégie de risque
Définition et qualification des risques :
Identifier l’ensemble des risques
Inhérents à l’activité et au secteur
Propres à l’organisation
Etablir une classification (par impact, …)
Obtenir la validation de la Direction Générale
Elaboration de la stratégie d’audit :
concevoir une charte d’audit
attribuer les responsabilités
allouer les ressources
Evaluation des risques
Evaluation des vulnérabilités :
définir les outils et les moyens d’investigation
évaluer les dispositifs en place
détection et prévention
protection
transfert
établir la cartographie du risque résiduel
Conception du plan d’actions :
objectifs claires et mesurables
Rq : plus il est simple, plus il marcherait mieux.
responsabilités et moyens identifiés
Rq : avant tout (càd les moyens de sécurités), la gestion des risques est une mise en place d’une politique de démarches de contrôle.
Mise en œuvre
Mise en œuvre opérationnelle :
conception et déploiement des solutions
mode projet incluant les opérationnels
mesure d’efficacité
respect des moyens alloués
intégration dans les processus existant
Communication et formation :
diffuser les référentiels
Rq : « comment on mesure et classer les risques ? »
intégrer la gestion du risque dans les objectifs individuels
Système d’assurance
Mesurer la conformité :
suivi de la réalisation du plan d’actions
tableau de bord de la gestion des risques
Etablir le programme d’audit :
revue périodique des vulnérabilités
contrôles spécifiques
Pérenniser la démarche :
industrialiser les outils
maintenir la communication interne
Vers une vision dynamique
Evolution des enjeux et objectifs de l’entreprise :
amélioration de la performance
modification des contraintes réglementaires
apparition de nouveaux concepts :
Rq : « social », « environnemental » et « économique »
recours aux nouvelles technologies
étendue du champ de certification
Trois cycles de gestion des risques :
Rq : les systèmes ont une auto-évaluation et remontent les informations à travers le système de management des risques qui fait la synthèse.
La position des organisations
Le « business model » de l’entreprise
Processus de l’exécutif : stratégie, organisation, pilotage, …
Processus opérationnels : production, achat, vente, …
Processus support :
Gestion comptable et financière
Gestion des ressources humaines
Système d’information
Fonction juridique
Rq : en fonction de leurs niveaux différents, on communique sur de différents termes.
Les structures de gestion des risques
Niveau 1 : responsabilité implicite
va de paire avec la fonction
absence de processus de suivi
Niveau 2 : responsabilité définie
délégation formelle
intégration à l'organigramme
Niveau 3 : responsabilité globale
Comité ou direction des Risques
Risk Manager
tendances :
gestion du risque liée aux contraintes réglementaires (organismes de crédit)
notion de gestion intégrée :
responsabilité transversale
optimisation des polices d'assurance
Rq : il faut intégrer tout cela dans les pratiques quotidiennes.
évolutions des pratiques liées au gouvernement d'entreprise
communication externe sur la gestion des risques
Les risques liés au système d’information
Des risques à la hauteur des enjeux
Définition de la notion de systèmes d’information
Le systèmes d’Information : une fonction transversale
participe à tous les processus de l'entreprise
reflet de la stratégie
... à hauts risques
évolution des technologies
ouverture sur l'extérieur / image
risques inhérents
Coût des pertes supérieur à 2 milliards d'€
Progression forte de la malveillance au cours des dix dernière années
Les types de risques
En utilisant les projets à la mise en conformité des contraintes externes… :
Fraude
Malveillance
Contrôle interne
Légal
Continuité
…on cherche de plus une performance meilleure :
Maîtrise
Coûts
Efficacité
Efficience
Le positionnement de la DSI
La tendance à la nomination de RSSI mais avec des difficultés de positionnement hiérarchique
La possibilité du RSSI qui a la capacité d'évoluer vers un poste de RS
Recours à des expertises externes: schéma directeur, pilotage de projets, sécurité...
Rq : « schéma directeur » : une déclinaison informatique et business des acteurs opérationnels
Evolution des moyens mis en œuvre
Les tendances observées :
utilisation de normes et méthodes reconnues (Afnor, Clusif, …) et des best practices
niveau de formalisation plus élevé
Rq : la quantité des documentations augmente
compréhension et traduction des besoins utilisateurs
niveau de service, performances, satisfaction : évolution vers des relations de type client / fournisseur
Les méthodes d’investigation
Couverture des risques inhérents :
Revue Générale Informatique
la politique informatique
l'organisation et les équipes du service informatique
la configuration matérielle et réseau
la cartographie applicative
la gestion de la sécurité informatique
le développement informatique
l'exploitation informatique
Audit sécurité: sécurité physique et logique, continuité d'exploitation
Couverture des risques liés aux processus externes :
revue d'application
application "traditionnelle"
Audit des flux versus audit des traitements
approche ERP
certification de sites de commerce électronique
tests informatique
tests de valeur
tests de détection d'anomalies
tests de recoupement de bases
tests de simulation
outils d'audit : WinIdea, ACL, …
respect des contraintes réglementaires :
article 103
environnement de contrôle fonction de la réglementation en vigueur
Synthèse
En matière de gestion de risque, la pratique n'évolue pas au même rythme que la théorie
La France reste globalement en retard par rapport aux pays anglo-saxons
Les freins souvent observés :
sensibilisation de la DG
appréciation de l'impact et de la probabilité
vision dynamique
lacunes de compétences ad hoc
|
