GTAG Documents de référence. Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d audit TI

Dimension: px
Commencer à balayer dès la page:

Download "GTAG Documents de référence. Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d audit TI"

Transcription

1 GTAG Documents de référence Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d audit TI

2 Présentateurs 2 Gilles Savard CPA, CA, CA-TI, PMP, CISA, ITIL Directeur principal Olivier Legault CPA, CGA, CISA Directeur Francis LeBlanc-Gervais CPA, CA, CISA Directeur

3 GTAG Pourquoi cette présentation? 3 D après notre expérience, ils sont peu connus et peu utilisés dans la pratique. Il y a un questionnement. Quelle est la différence entre les cadres de référence et les GTAG? Comment pouvons-nous utiliser les GTAG? Sont-ils des outils de formation intéressants? Y a-t-il des programmes d audit intégrés dans les GTAG?

4 GTAG 4 Origine GTAG : Global Technology Audit Guides (Guides pratiques d audit des TI) Guides développés à la demande du président de l IIA, David A. Richards en 2005 Guides développés par des gens en provenance de divers milieux (industries, universités, firmes comptables) Orienté principalement vers le personnel de gestion et les auditeurs internes, et non vers le personnel «technique» Le premier guide appelé «Les contrôles des systèmes d information» a été publié en mars 2005 Le dernier guide appelé «Gouvernance TI» a été publié en 2012

5 GTAG Objectif visé 5 Élaborés par l IIA, chaque guide traite d un thème qui a trait à la gestion, au contrôle et à la sécurité des systèmes d information. Cette série de guides constitue un outil pour le gestionnaire et l auditeur interne qui peuvent ainsi s informer sur les différents risques liés à la technologie et sur les pratiques recommandées. Expliquer les contrôles TI et la vérification de ces contrôles pour permettre au gestionnaire et à l auditeur interne de comprendre et de communiquer la nécessité d un environnement de contrôle TI robuste au sein de leur organisation.

6 GTAG 6

7 GTAG 17 guides 7 Contrôles des systèmes de l'information (GTAG1) Anglais seulement Contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute organisation (GTAG2) Audit continu : Répercussions sur l'assurance, le pilotage et l'évaluation des risques (GTAG3) Management de l'audit des systèmes d'information (GTAG4) Management et audit des risques d'atteinte à la vie privée (GTAG5) Gestion et audit des vulnérabilités des technologies de l'information (GTAG6) Infogérance (GTAG7) Audit des contrôles applicatifs (GTAG8)

8 GTAG 17 guides 8 Identité et gestion des accès (GTAG9) Gestion du plan de continuité des affaires (GTAG10) Développement d un plan d audit (GTAG11) Audit des projets TI (GTAG12) Prévention de la fraude et détection (GTAG13) Audit des applications utilisées par les utilisateurs (Excel, Access, etc.) (GTAG14) Anglais seulement Gouvernance de la sécurité TI (GTAG15) Anglais seulement Analyse des données Extraction (GTAG16) Anglais seulement Audit de la gouvernance TI (GTAG17) Anglais seulement

9 9 GTAG1 Risques et contrôles (36 pages)

10 GTAG1 Objectifs Risques et contrôles 10 Aider les auditeurs internes à devenir plus confortables avec les contrôles généraux TI afin qu ils puissent aborder ces questions avec la haute direction. Décrit comment les différents intervenants impliqués par la pratique d audit interne (CA, gestion, personnel, professionnels) doivent aborder et évaluer les risques et les contrôles TI. De plus, il met les bases des GTAG à venir, qui seront consacrés à des sujets plus précis et présenteront les fonctions et responsabilités correspondantes dans l entreprise avec plus de détails. Ce guide est la seconde édition. Le premier était davantage orienté sur les contrôles TI et avait été publié en mars 2005.

11 GTAG1 Introduction Risques et contrôles Plusieurs risques et menaces importants sont en lien avec les TI. Les risques les plus importants viennent de l interne et non de l externe. De bon contrôles TI diminuent la probabilité qu un risque ou une menace se concrétise. Plusieurs cadres de référence existent pour catégoriser les objectifs et contrôles TI. Ce guide recommande que chaque organisation utilise les composantes provenant des différents cadres de références existants (COSO, ITIL, CobiT, etc.) qui sont applicables pour eux. Un gestionnaire d audit interne peut utiliser ce guide comme une fondation pour évaluer les risques et contrôles TI et la conformité.

12 GTAG1 Risques Risques et contrôles Pour un dirigeant d audit interne, il est impératif de bien jauger l appétence et la tolérance aux risques du CA. Un dirigeant d audit interne doit considérer si l environnement TI est en ligne avec l appétence aux risques du CA. Un dirigeant d audit interne doit considérer si le cadre de contrôle interne des TI assure que les performances de l organisation demeurent à l intérieur de la tolérance aux risques établie. Appétence au risque : Degré de risque que la direction d une organisation est prête à accepter dans la poursuite de ses objectifs. Tolérance au risque : Le dirigeant de l audit interne doit définir le niveau acceptable de variation du risque pour l atteinte des objectifs. Il est important d aligner la tolérance au risque avec l appétence au risque.

13 GTAG1 Structure de l audit Risques et contrôles 13 Lorsque les responsables de l audit interne examinent et évaluent les contrôles des TI, ils doivent se poser plusieurs questions : Que signifient pour nous les contrôles des SI? Pourquoi avons-nous besoin des contrôles des SI? Qui est responsable des contrôles des SI? Quand convient-il d appliquer les contrôles des SI? Où précisément faut-il mettre en place les contrôles des SI? Comment procéder à des évaluations des contrôles des SI? «J ai à mon service six honnêtes domestiques.» (Ils m ont appris tout ce que je sais.) Ils s appellent Quoi et Pourquoi, Quand et Comment, et Où et Qui.» Rudyard Kipling, Tiré de «Elephant s Child» dans «Just So Stories»

14 GTAG1 Structure de l audit Risques et contrôles 14 Que signifient pour nous les contrôles des SI? Pourquoi avons-nous besoin des contrôles des SI? Qui est responsable des contrôles des SI? 1) Quand convient-il d appliquer les contrôles des SI? 2) Où précisément faut-il mettre en place les contrôles des SI? Comment procéder à des évaluations des contrôles des SI?

15 GTAG1 Classification des contrôles Risques et contrôles 15

16 Questions 1 minute Risques et contrôles 16

17 17 GTAG11 Élaboration d un plan d audit des TI (40 pages)

18 GTAG11 Objectifs Élaboration d un plan d audit des TI 18 Le présent GTAG peut aider les responsables de l audit interne et les auditeurs internes à : Prendre en compte l activité générale de l entreprise et la part des TI dans le support opérationnel Définir et prendre en compte l environnement des TI Identifier le rôle de l évaluation des risques dans la délimitation de l univers d audit interne Formaliser le plan annuel d audit des TI

19 GTAG11 Introduction Élaboration d un plan d audit des TI 19 Étant donné que le fonctionnement de l'organisation dépend fortement des TI, il est en effet essentiel que le responsable de l audit interne et les auditeurs internes sachent comment élaborer un plan d audit et, pour chaque élément, quelles doivent en être la fréquence, l étendue et la profondeur. Le responsable de l audit interne et les auditeurs internes pourront déterminer les domaines à auditer et la fréquence en se basant sur une cartographie des processus, l'inventaire et la prise en compte de l environnement des TI et l évaluation des risques à l échelle de l organisation. Ce GTAG utilise l exemple d une organisation fictive pour montrer aux responsables de l audit interne et aux auditeurs internes comment mettre en œuvre les étapes nécessaires à la délimitation de l univers d audit.

20 GTAG11 Actualisation du plan d audit Élaboration d un plan d audit des TI 20 36% 60 %

21 GTAG11 Processus d élaboration du plan d audit TI Élaboration d un plan d audit des TI 21

22 GTAG11 Évaluer le risque Impact et probabilité Élaboration d un plan d audit des TI 22

23 GTAG11 Évaluer le risque Élaboration d un plan d audit des TI 23

24 GTAG11 Audits visés Élaboration d un plan d audit des TI 24 Peu de ressources : Sélectionner des activités d audit en fonction du carré pointillé. Beaucoup de ressources : Sélectionner des activités d audit en fonction du carré ligne continu couleur bleu.

25 GTAG11 Cadres de référence Élaboration d un plan d audit des TI 25 CobiT V4 Voir l annexe 1 du cadre de référence afin d avoir certains détails ITIL V3 - Conception des services Pas un cadre d audit COSO Pas vraiment pertinent pour un plan d audit TI ISO Certaines parties peuvent aider : 4 - Appréciation et traitement du risque 15 - Conformité

26 Questions 1 minute Élaboration d un plan d audit des TI 26

27 27 GTAG4 Management de l audit des systèmes d information (SI) (33 pages)

28 GTAG4 Objectifs Management de l audit des systèmes d information (SI) 28 Répondre aux questions stratégiques suivantes : La fonction d audit évalue-t-elle les risques efficacement chaque année? L évaluation des risques prend-elle en considération l architecture et la configuration technologiques spécifiques employées par l organisation? Des audits sont-ils prévus à tous les niveaux de l environnement informatique? La dotation en personnel pour les audits informatiques est-elle satisfaisante?

29 GTAG4 Introduction Management de l audit des systèmes d information (SI) 29 Dépendance des entreprises face aux SI 2 conséquences : Un pourcentage important des contrôles internes clés déterminants pour l organisation est susceptible d être activé par la technologie. Les systèmes dont l intégrité est compromise ou dont les contrôles sont défectueux produiront un impact plus important sur les opérations de l organisation et sa compétitivité, ce qui renforcera la nécessité de disposer de contrôles informatiques efficaces.

30 GTAG4 Étapes d un audit SI Management de l audit des systèmes d information (SI) 30 Définir les SI Tenir compte de chaque couche Management des SI (CGTI) Infrastructure technique Applications Connexions extérieures Évaluer les risques liés aux SI (Prioriser) Définir l univers de l audit des SI (Optimiser) Exécuter les audits des SI Normes et cadres de référence Gérer la fonction d audit des SI (Efficacité) Résoudre les problématiques émergentes (S adapter)

31 GTAG4 Définir les SI Management de l audit des systèmes d information (SI) 31 Illustration des 4 couches :

32 GTAG4 Évaluer les risques Management de l audit des systèmes d information (SI) 32 Complexité des SI Chaque SI est unique. Types de risques des SI Disponibilité : Le système n est pas disponible pour utilisation. Sécurité : Accès non autorisé au système. Intégrité : Données incomplètes ou inexactes. Confidentialité : L information n est pas conservée secrète. Efficacité : Le système ne procure pas une fonction voulue ou attendue. Efficience : Le système entraîne une utilisation sous-optimale des ressources. Natures de risques Spécifiques vs pervasifs Statiques vs dynamiques

33 GTAG4 Clé du succès Management de l audit des systèmes d information (SI) 33 L univers d audit pour l année doit porter sur toutes les couches de l environnement des SI. Les audits des SI doivent être structurés de manière à permettre une communication efficace et logique. Les audits des SI doivent porter sur les bons risques. L utilisation de définitions trop larges pour les audits des SI (par exemple, contrôles généraux des SI) entraîne presque toujours un glissement de périmètre.

34 GTAG4 Cadres de référence Management de l audit des systèmes d information (SI) 34 CobiT V4 Pas vraiment d objectif réellement collé à ce GTAG L ensemble du cadre de référence aborde ce GTAG ITIL V3 ITIL n est pas un référentiel d audit Les cadres de référence Contrôle interne et Management des risques de l entreprise Pas nécessairement axé sur les TI ISO Pas vraiment de point touchant ce volet

35 Questions 1 minute Management de l audit des systèmes d information (SI) 35

36 36 GTAG3 Audit continu : Répercussions sur l assurance, le pilotage et l évaluation des risques (41 pages)

37 GTAG3 Objectifs Audit continu 37 Connaissances opportunes sur des problèmes critiques Automatisation de certains tests Processus de révision plus efficace

38 GTAG3 Introduction Audit continu 38

39 GTAG3 Introduction Audit continu 39

40 GTAG3 Avantages de l audit continu Audit continu 40 Évaluation à intervalles rapprochés Audit permanent de 100 % des transactions Compréhension accrue des points critiques, des règles et des exceptions Notification rapide des écarts et des carences Facilite la planification de l audit Indépendance vis-à-vis des SI et du pilotage

41 GTAG3 Inconvénients de l audit continu Audit continu 41 L information à auditer doit provenir de systèmes fiables Le processus d audit continu doit être fortement automatisé Des rapports d audit continu compréhensibles et précis doivent être élaborés et disponibles rapidement Les auditeurs doivent posséder les compétences requises pour mener ce type de mission Changement des paradigmes d audit traditionnels

42 GTAG3 Phases clés Audit continu 42 Objectifs de l audit continu Accès et utilisation des données Évaluation continue des contrôles et des risques Communiquer et gérer les résultats

43 GTAG3 Exemples d évaluation de contrôles Audit continu 43 Contrôles financiers : Carte de crédit d entreprise Pilotage Échantillonnage manuel trimestriel Audit interne Pilotage faible et risque élevé Examen de la politique et des procédures Tests analytiques sur 100 % transactions Trouve des anomalies

44 GTAG3 Cadres de référence Audit continu 44 CobiT V4 Pas vraiment d objectif réellement collé à ce GTAG La série SE se rapproche le plus de ce GTAG ITIL V3 ITIL n est pas un référentiel d audit Cadre de référence (Enterprise Risk Management (ERM) Framework) Environnement de contrôle Évaluation des risques Information et communication Pilotage des risques ISO Pas vraiment de point touchant ce volet. La section 15 se rapproche le plus de ce GTAG

45 Questions 1 minute Audit continu 45

46 46 GTAG16 Analyse des données (28 pages) Juillet 2011

47 GTAG16 Objectifs Analyse de données 47 Avoir des approches d audit utilisant les outils d analyse des données : L analyse des données est significative pour l organisation Meilleure assurance avec les outils d analyse des données Défis et risques d implantation des outils Comment implanter les outils d analyse Reconnaître les tendances et les avantages d utiliser les outils

48 GTAG16 Introduction Analyse de données 48 Définition L analyse des données permet d identifier, obtenir, valider, analyser et interpréter différents types de données à l intérieur de l organisation afin d améliorer l efficience d un audit. Efficience Les outils d analyse des données sont une partie intégrante d un audit TI et permettent d améliorer l efficacité et l efficience d un audit.

49 GTAG16 Les sources Analyse de données 49 Des données PDF Des tableurs Des fichiers textes Des données provenant des systèmes d opération AS/400 Les bases de données, dont Access, et les données en format XML Des ajouts au logiciel de base permettent d interroger les applications SAP Les serveurs centraux (mainframe) (travail plus complexe) L intégrité des données source est un critère de base essentiel et non négociable.

50 GTAG16 Comment les outils peuvent t aider Analyse de données Calcul Paramètres statistiques (moyennes, déviations, plus hautes et plus basses valeurs) afin d identifier des transactions étranges. 2. Classer Trouver des tendances ou des associations parmi des groupes de données. 3. Stratifier Valeurs numériques afin d identifier des valeurs non usuelles (excessivement hautes ou basses). 4. Loi de Benford s Identifier des occurrences statistiquement improbables. 5. Joindre Différents types de données sources afin d identifier des données non assorties telles que le nom, adresse, etc. 6. Dupliquer Identifier des transactions dupliquées telle que paiements, paies, etc. 7. Écart Tester une série afin de trouver un bris dans une séquence. 8. Somme Additionner des données afin de valider des totaux de contrôles. 9. Valider Des dates afin de trouver des éléments suspicieux.

51 GTAG16 Exemples d utilisation Analyse de données 51 Section Contrôle Analyse de données Paiement Achat de marchandises Achat de marchandises Réception de biens L application ne permet pas un doublon de paiement. Les PO vieux de trois mois et plus ne seront pas traités. La personne qui crée le PO n est pas celle qui l approuve. Tous les biens reçus sont validés auprès du PO. Obtenir les paiements. Valider qu il n y a pas de paiement en double (même vendeur, même montant et même numéro de fournisseur). Obtenir la liste des PO produits. Déterminer si des PO de 3 mois et plus ont été traités. Obtenir la liste des PO créés. Obtenir la liste des PO approuvés. Comparer les deux concernant la séparation des tâches. Obtenir la liste des biens reçus et des PO. Valider que les quantités sont les mêmes.

52 GTAG16 Cadres de référence Analyse de données 52 CobiT V4 Non pertinent ITIL V3 - Conception des services Non pertinent COSO Non pertinent ISO Non pertinent

53 Questions 1 minute Analyse de données 53

54 54 GTAG9 Gestion des identités et des accès (32 pages)

55 GTAG9 Objectifs Gestion des identités et des accès 55 Comprendre le rôle de la gestion des identités et des accès pour l organisation et suggérer les points à approfondir lors d un audit interne. Même si de nombreux dirigeants estiment que la gestion des identités et des accès relève de la direction des systèmes d informations (DSI), elle concerne en fait toutes les directions métiers de l entreprise

56 GTAG9 Introduction Gestion des identités et des accès 56 Les obligations réglementaires et les pratiques de gestion prudentes ont conduit les organisations à accroître au maximum le degré de granularité des droits d accès. Le management doit déterminer avec précision les droits nécessaires aux utilisateurs au lieu de leur accorder des ressources dont ils n ont pas vraiment besoin.

57 GTAG9 Introduction (suite) Gestion des identités et des accès 57 D après un rapport prévisionnel récent du groupe de presse International Data Group (IDG), les dépenses consacrées à la gestion des identités et des accès et aux systèmes connexes devraient augmenter rapidement. La gestion des identités et des accès devrait donc bientôt figurer au premier rang des projets informatiques de nombreuses organisations. Dans de nombreuses organisations, la suppression des droits d accès utilisateurs ou des droits d accès associés à une identité numérique peut prendre jusqu à trois ou quatre mois, ce qui peut représenter un risque inacceptable, surtout si l utilisateur peut encore accéder aux systèmes et ressources de l entreprise alors qu il a été révoqué.

58 GTAG9 Requête de changements des droits d accès Gestion des identités et des accès 58 Employé ou système Soumet une requête Gestionnaire ou administrateur de la sécurité Approuve la requête Propriétaire de l application Approuve la requête Application visée L application est responsable de mettre en force les contrôles d accès. Vérification de la séparation des tâches Transfert vers le premier approbateur Transfert vers les approbateurs additionnels Accès automatiquement accordé Approbations Approbations Règles -séparation des tâches Répertoire des droits d accès Règles de configuration

59 GTAG9 Cadres de référence Gestion des identités et des accès 59 CobiT V4 PO4.9 Propriété des données et du système PO6.1 Politique informatique et environnement de contrôle DS5.3 Gestion des identités DS5.4 Gestion des comptes utilisateurs ITIL V3 - Exploitation des services Gestion des accès COSO s Internal Control over Financial Reporting - Guidance for Smaller Public Companies Activité de contrôles Principe 14 ISO Sécurité liée aux ressources humaines 11 Contrôle d accès

60 Questions 1 minute Gestion des identités et des accès 60

61 61 GTAG12 Audit des projets informatiques (46 pages)

62 GTAG12 Objectif Audit des projets informatiques 62 Ce GTAG a pour objectif d offrir aux auditeurs internes et à leur responsable une vue d ensemble des techniques permettant de collaborer efficacement avec les équipes de projet et les instances de pilotage de projet sur l évaluation des risques liés aux projets TI. Le champ de la gestion de projet étant extrêmement vaste, l objectif de ce guide est de définir un cadre d évaluation des risques liés aux projets, de donner des exemples de risques courants liés à la gestion de projet et d étudier comment l audit interne peut participer activement à l examen des projets sans perdre son indépendance.

63 GTAG12 Objectif Audit des projets informatiques 63 Cinq thèmes centraux de l audit

64 GTAG12 Introduction Audit des projets informatiques 64 Au sens courant, un projet est un ensemble d'activités, avec un début et une fin définis, qui est entrepris pour atteindre un objectif donné dans des contraintes précises de calendrier, de contenu et de ressources. Aujourd hui, pour déterminer si un projet est un succès, il ne suffit plus de mesurer si les délais et le budget ont été respectés. Les projets qui échouent ou qui sont menacés peuvent avoir un impact considérable sur l'organisation, selon les besoins métiers qui les sous-tendent. C est à la direction générale qu il incombe de veiller à ce que le projet aboutisse et que les résultats attendus soient atteints.

65 GTAG12 Introduction Audit des projets informatiques 65 Étude CHAOS

66 GTAG12 10 facteurs de réussite Audit des projets informatiques Participation des utilisateurs Les utilisateurs des directions métiers et des TI participent aux principaux processus de réalisation d un consensus, de prise de décision et de collecte d informations. 2. Soutien de la direction générale Les dirigeants assurent la cohérence avec la stratégie de l organisation, ainsi qu un soutien financier et psychologique et une assistance dans la résolution des conflits. 3. Clarté des objectifs de l organisation Les partenaires comprennent l intérêt intrinsèque du projet et sa cohérence par rapport à la stratégie de l organisation. 4. Souplesse de l optimisation Le projet emploie des processus itératifs de développement et d optimisation pour éviter les éléments inutiles et s assurer que les éléments essentiels sont bien intégrés. 5. Maturité psychologique Le chef de projet gère les émotions et les actions des partenaires du projet et évite certaines attitudes (ambition, arrogance, ignorance, abstention et déloyauté). 6. Connaissance de la gestion de projet L organisation fait appel à des chefs de projet qui ont les compétences et connaissent les pratiques de base, par exemple des chefs de projets titulaires de la certification PMP (Project Management Professional) du Project Management Institute.

67 GTAG12 10 facteurs de réussite Audit des projets informatiques Gestion financière Le chef de projet est capable de gérer les ressources financières, de justifier le budget ou les dépenses et d expliquer l intérêt du projet. 8. Compétences des ressources Des personnes compétentes sont recrutées, dirigées, retenues et contrôlées afin de pouvoir continuer à avancer en cas de problèmes de personnel, notamment de rotation du personnel. 9. Formalisation de la méthodologie Il existe un ensemble prédéfini de techniques basées sur les processus qui constituent une feuille de route où sont indiqués les événements qui doivent se produire, quand, comment et dans quel ordre. 10. Outils et infrastructure L infrastructure du projet est élaborée et gérée à l aide d outils permettant la gestion des tâches, des ressources, des exigences, des changements, des risques, des fournisseurs, de l adhésion des utilisateurs et de la qualité.

68 GTAG12 Structure d un projet Audit des projets informatiques 68

69 GTAG12 Cadres de référence Audit des projets informatiques 69 CobiT V4 PO10 - Gérer les projets ITIL V3 - Conception des services Plus orienté gestion des changements que gestion de projets COSO Pas vraiment pertinent pour la gestion de projets ISO Plus orienté opération et sécurité que gestion de projets 12 - Acquisition, développement et maintenance des systèmes d information

70 Questions 1 minute Audit des projets informatiques 70

71 Pause 71 Retour dans 15 minutes

72 72 GTAG2 (2 e édition) Contrôles de la gestion du changement et des patchs : Un facteur clé de réussite pour toute organisation (34 pages)

73 GTAG2 Objectifs Contrôles de la gestion du changement et des patchs 73 Acquérir une connaissance opérationnelle des processus de gestion des changements informatiques. Distinguer rapidement les bons processus de gestion des changements de ceux qui sont inefficaces. Reconnaître rapidement les indicateurs et signaux d alerte pointant une défaillance des contrôles liés à la gestion des changements. Prendre conscience que l efficacité de la gestion des changements repose sur la mise en place de contrôles préventifs, détectifs et correctifs qui assurent la séparation des fonctions et la supervision appropriée du management. Recommander les meilleures pratiques connues pour remédier aux défaillances afin de vérifier que les risques sont maîtrisés (et que les contrôles sont bien effectués) et d accroître l efficacité et l efficience. Faire passer plus efficacement vos recommandations auprès de votre directeur des systèmes d information, de votre directeur général ou de votre directeur financier.

74 GTAG2 Introduction Contrôles de la gestion du changement et des patchs 74 La gestion des changements est l une des disciplines les plus difficiles à mettre en œuvre. Elle nécessite une collaboration entre une équipe pluridisciplinaire composée de développeurs d application, de personnel de l exploitation informatique et d utilisateurs. Posséder une culture de gestion des changements qui empêche et dissuade de procéder à des changements non autorisés est une condition essentielle à une gestion efficace des changements.

75 GTAG2 Introduction Contrôles de la gestion du changement et des patchs 75 Bénéfices d une saine gestion des changements Consacrer moins de temps et d énergie dans les SI pour des interventions non planifiées. Consacrer davantage d argent et d énergie dans les SI pour exécuter de nouvelles tâches et atteindre les objectifs de l entreprise. Connaître moins de périodes d indisponibilité. Être plus focalisé sur les améliorations que sur les réparations en urgence. Concerter les efforts sur les priorités du métier de l entreprise. Motiver le personnel SI (participer à l amélioration des opérations plutôt que d éteindre des feux) Satisfaire les besoins des utilisateurs finaux.

76 GTAG2 Indicateurs d une mauvaise gestion des changements Contrôles de la gestion du changement et des patchs 76 Changements non autorisés Interruptions de service non prévues Faible taux de réussite du changement Nombre élevé de changements en urgence Retard dans les déploiements de projets

77 GTAG2 Tâches non planifiées Contrôles de la gestion du changement et des patchs 77 La limitation des tâches non planifiées est un indicateur d un processus efficace de gestion des changements. On ne peut évaluer ce que l on ne mesure pas

78 GTAG2 Variables clés influençant les processus de gestion des changements Contrôles de la gestion du changement et des patchs 78 Par le taux de changements, le taux de réussite du changement, la durée moyenne de reprise (MMTR)

79 GTAG2 Cadres de référence Contrôles de la gestion du changement et des patchs 79 CobiT V4 AI 6 Gérer les changements AI7 Acquérir et implémenter ITIL V3 Transition des services / Gestion des changements Internal Control over Financial Reporting Guidance for Smaller Public Companies Gestion des changements ISO Acquisition, développement et maintenance des systèmes d information Procédures de contrôle des modifications

80 Questions 1 minute Contrôles de la gestion du changement et des patchs 80

81 81 GTAG14 Auditer les applications développées par les utilisateurs (ADU) (32 pages)

82 GTAG14 Objectifs Auditer les applications développées par les utilisateurs (ADU) 82 Identifier la disponibilité d un cadre de contrôle qui comprend une politique, les procédures, l inventaire et l évaluation des risques à l égard des applications internes. Utiliser le cadre de contrôle défini au point 1 afin de définir la population des applications internes à être incluses dans l audit TI.

83 GTAG14 Objectifs Auditer les applications développées par les utilisateurs (ADU) 83 Aider la direction à développer un cadre de contrôle des applications internes efficient : Utiliser des techniques éprouvées afin d identifier la population des applications internes. Évaluer les risques associés à chaque application interne, basés sur le potentiel d impact et la probabilité qu une occurrence se produise.

84 GTAG14 Introduction Auditer les applications développées par les utilisateurs (ADU) 84 Définition Règle générale, ce sont des applications internes comme des tableurs Excel ou des petites applications comme Access créées et utilisées par les utilisateurs finaux. Bénéfice La plupart des organisations utilisent ce type d applications parce qu elles sont faciles et moins coûteuses à développer et à maintenir, en plus de permettre de contourner les contrôles généraux des TI pour en faciliter et en accélérer l implantation. Risque Le contournement des contrôles généraux des TI pose un risque de confidentialité, d intégrité et de disponibilité des données extraites, calculées, triées et compilées par ce type d application.

85 GTAG14 Les risques Auditer les applications développées par les utilisateurs (ADU) 85 Manque de structure à l égard du développement, de la gestion des changements ou de la gestion des versions Entreposage et gestion de l importation des données Manque d expérience de la personne qui développe l application Manque de documentation Insuffisance des contrôles touchant l entrée et la sortie de données Tests insuffisants Est-ce que la personne qui a développé l application interne a les connaissances et l expérience pour gérer les risques liés aux applications internes?

86 GTAG14 Les bonnes pratiques Auditer les applications développées par les utilisateurs (ADU) 86 Contrôles d accès Contrôles des données sources Contrôles des données sortantes (résultats) Contrôles à l égard de la gestion des changements Gestion des archives, sauvegardes et versions Documentation (politiques, procédures, guides) Les contrôles à l égard des applications internes sont très similaires aux contrôles généraux TI.

GTAG Documents de référence. Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d audit TI

GTAG Documents de référence. Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d audit TI GTAG Documents de référence Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d audit TI Présentateurs «un pour tous, tous pour un» Athos Aramis Porthos Francis

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type : Raison d être Plan des examens Audit interne et contrôles internes [MU1] 2011-2012 Les examens Audit interne et contrôles internes [MU1] ont été élaborés à l aide d un plan d examen. Le plan d examen,

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

Modèle Cobit www.ofppt.info

Modèle Cobit www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration Bureau du surintendant des institutions financières Audit interne des Services intégrés : Services de la sécurité et de l administration Avril 2014 Table des matières 1. Contexte... 3 2. Objectif, délimitation

Plus en détail

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011 L Audit Interne vs. La Gestion des Risques Roland De Meulder, IEMSR-2011 L audit interne: la définition L audit interne est une activité indépendante et objective qui donne à une organisation une assurance

Plus en détail

La gestion des Technologies de l information. Tirez le maximum de vos systèmes d informations

La gestion des Technologies de l information. Tirez le maximum de vos systèmes d informations La gestion des Technologies de l information Tirez le maximum de vos systèmes d informations Objectifs de la formation Se familiariser avec: La gouvernance des TI Les cadres de référence en gestion des

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

Politique de gestion des risques

Politique de gestion des risques Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement,

Plus en détail

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE 22.05.08 RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE Le Conseil d administration de la Société Générale a pris connaissance du rapport ci-joint du Comité spécial qu il a constitué le 30

Plus en détail

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008 Système d Information & Référentiels de Bonnes Pratiques Taïeb DEBBAGH, PhD PhD,, CISA Février 2008 1 Sommaire 1. Introduction 2. Bonnes Pratiques et Référentiels 3. ISO9001 et Processus 4. Modèle CIPIC

Plus en détail

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information

Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Rapport sur l audit interne de la gouvernance de la gestion de l information et des technologies de l information Bureau du surintendant des institutions financières Novembre 2012 Table des matières 1.

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI)

COMMUNIQUÉ. Lignes directrices relatives à la gouvernance des technologies de l information (TI) COMMUNIQUÉ 14-COM-002 14 juillet 2014 Lignes directrices relatives à la gouvernance des technologies de l information (TI) L Association des superviseurs prudentiels des caisses (ASPC) a créé un groupe

Plus en détail

ITIL V3. Transition des services : Principes et politiques

ITIL V3. Transition des services : Principes et politiques ITIL V3 Transition des services : Principes et politiques Création : janvier 2008 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé

Plus en détail

Grands Magasins et Magasins Multi-Commerces

Grands Magasins et Magasins Multi-Commerces Famille professionnelle de l, Secrétaire / Assistant Assistant, assistant administratif Le secrétaire aide à la planification et à l organisation des activités afin de faciliter la gestion de l information.

Plus en détail

Impartition réussie du soutien d entrepôts de données

Impartition réussie du soutien d entrepôts de données La force de l engagement MD POINT DE VUE Impartition réussie du soutien d entrepôts de données Adopter une approche globale pour la gestion des TI, accroître la valeur commerciale et réduire le coût des

Plus en détail

1. La sécurité applicative

1. La sécurité applicative ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité

Plus en détail

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services.

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Solutions de Service Management Guide d achat Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Aujourd hui, toutes

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Modernisation et gestion de portefeuilles d applications bancaires

Modernisation et gestion de portefeuilles d applications bancaires Modernisation et gestion de portefeuilles d applications bancaires Principaux défis et facteurs de réussite Dans le cadre de leurs plans stratégiques à long terme, les banques cherchent à tirer profit

Plus en détail

Société ontarienne d assurance-dépôts

Société ontarienne d assurance-dépôts Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER,

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE Paragraphe

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

ITIL Examen Fondation

ITIL Examen Fondation ITIL Examen Fondation Échantillon d examen A, version 5.1 Choix multiples Instructions 1. Essayez de répondre aux 40 questions. 2. Vos réponses doivent être inscrites sur la grille de réponses fournie.

Plus en détail

ITIL Examen Fondation

ITIL Examen Fondation ITIL Examen Fondation Échantillon d examen B, version 5.1 Choix multiples Instructions 1. Essayez de répondre aux 40 questions. 2. Vos réponses doivent être inscrites sur la grille de réponses fournie.

Plus en détail

Politique et Standards Santé, Sécurité et Environnement

Politique et Standards Santé, Sécurité et Environnement Politique et Standards Santé, Sécurité et Environnement Depuis la création de Syngenta en 2000, nous avons accordé la plus haute importance à la santé, à la sécurité et à l environnement (SSE) ainsi qu

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL Avertissement : LE PRÉSENT DOCUMENT CONSTITUE UN CONDENSÉ DU RAPPORT ANNUEL DU VÉRIFICATEUR GÉNÉRAL. VOUS ÊTES INVITÉ À CONSULTER LA VERSION INTÉGRALE

Plus en détail

IBM Tivoli Service Desk

IBM Tivoli Service Desk Déployer des services de qualité tout en maîtrisant les coûts IBM Tivoli Service Desk Points forts Rationalise la gestion des problèmes et des incidents afin de permettre la restauration rapide et économique

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Utilisation de ClarityTM pour la gestion du portefeuille d applications

Utilisation de ClarityTM pour la gestion du portefeuille d applications LIVRE BLANC : Gestion du portefeuille d applications Février 2012 Utilisation de CA PPM ClarityTM pour la gestion du portefeuille d applications David Werner CA Service & Portfolio Management agility made

Plus en détail

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS Avril 2010 Table des matières Préambule...3 Introduction...4 Champ d application...5 Entrée en vigueur et processus de mise à jour...6 1.

Plus en détail

Analyse de données électroniques et intelligence d affaires

Analyse de données électroniques et intelligence d affaires Analyse de données électroniques et intelligence d affaires Valoriser les données internes et externes 3 avril 2014 Ordre du jour UNE INTRODUCTION À L ANALYSE DE DONNÉES Analyse de données et l intelligence

Plus en détail

Administration canadienne de la sûreté du transport aérien

Administration canadienne de la sûreté du transport aérien Administration canadienne de la sûreté du transport aérien Norme relative au système de gestion des fournisseurs de services de contrôle de l ACSTA Octobre 2009 La présente norme est assujettie aux demandes

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009)

Plus en détail

Guide d analyse des risques informatiques

Guide d analyse des risques informatiques Guide d analyse des risques informatiques Support de travail pour les auditeurs de PME 8.9.2011 Processus métiers Applications IT Systèmes IT de base Infrastructure IT ITACS Training «Guide d analyse

Plus en détail

Table des matières. Partie I CobiT et la gouvernance TI

Table des matières. Partie I CobiT et la gouvernance TI Partie I CobiT et la gouvernance TI Chapitre 1 Présentation générale de CobiT....................... 3 Historique de CobiT....................................... 3 CobiT et la gouvernance TI.................................

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >>

Vue d ensemble. Initiatives des données. Gestion de la trésorerie. Gestion du risque. Gestion des fournisseurs 2 >> Access MD Online Vue d ensemble Access MD Online fournit aux organisations un accès en temps réel à leurs programmes de carte commerciale au sein d un environnement sécurisé, n importe où et n importe

Plus en détail

Charte d audit du groupe Dexia

Charte d audit du groupe Dexia Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans

Plus en détail

RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Présentation de solution

RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Présentation de solution RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Présentation de solution D UN COUP D ŒIL Tirez le meilleur parti d une solution intégrée 3 en 1 : analyse des risques et de l impact, planification

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC 6 FÉVRIER 2013 http://www.isaca quebec.ca VOLET GOUVERNANCE Ordre du jour Introduction/Objectifs;

Plus en détail

Gestion de la sécurité de l information par la haute direction

Gestion de la sécurité de l information par la haute direction Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut

Plus en détail

Guide de travail pour l auto-évaluation:

Guide de travail pour l auto-évaluation: Guide de travail pour l auto-évaluation: Gouvernance d entreprise comité d audit Mars 2015 This document is also available in English. Conditions d application Le Guide de travail pour l auto-évaluation

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail

EBA/GL/2012/06 22 novembre 2012. Orientations. sur l évaluation de l aptitude des membres de l organe de direction et des titulaires de postes clés

EBA/GL/2012/06 22 novembre 2012. Orientations. sur l évaluation de l aptitude des membres de l organe de direction et des titulaires de postes clés EBA/GL/2012/06 22 novembre 2012 Orientations sur l évaluation de l aptitude des membres de l organe de direction et des titulaires de postes clés Orientations de l ABE sur l évaluation de l aptitude des

Plus en détail

Lignes directrices à l intention des praticiens

Lignes directrices à l intention des praticiens Janvier 2005 Lignes directrices à l intention des praticiens Visiter notre site Web : www.cga-pdnet.org/fr-ca Le praticien exerçant seul ou au sein d un petit cabinet et l indépendance Le Code des principes

Plus en détail

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars 2014. Guintech Informatique. Passer à la première page

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars 2014. Guintech Informatique. Passer à la première page Introduction à ITIL Un guide d'initiation à ITIL Tana Guindeba, ing. jr Mars 2014 1 ITIL Définition: ITIL (Information Technology Infrastructure Library) qui se traduit en français par «Bibliothèque pour

Plus en détail

Conseil de recherches en sciences humaines du Canada

Conseil de recherches en sciences humaines du Canada Conseil de recherches en sciences humaines du Canada Annexe à la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers (non vérifiée) Exercice 2011-2012

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Formulaire d évaluation du stage d expérience pratique - cheminement CPA, CGA

Formulaire d évaluation du stage d expérience pratique - cheminement CPA, CGA 5, Place Ville Marie, bureau 800 Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Formulaire d évaluation du stage d expérience pratique - cheminement CPA,

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

MISSION DES AUDITS. Fiche d organisation fonctionnelle n 7 : Utilisation des outils et technologies

MISSION DES AUDITS. Fiche d organisation fonctionnelle n 7 : Utilisation des outils et technologies - - - 1 - MISSION DES AUDITS Fiche d organisation fonctionnelle n 7 : Utilisation des outils et technologies Novembre 2011 1 - - - 2 - Sommaire Objectifs de la fiche d organisation fonctionnelle 4 Domaine

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

Audits de TI : informatique en nuage et services SaaS

Audits de TI : informatique en nuage et services SaaS Audits de TI : informatique en nuage et services SaaS Tommie W. Singleton, Ph. D., CISA, CITP, CMA, CPA La loi de Moore, qui s applique depuis des décennies et ne semble pas encore avoir atteint ses limites,

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens

Plus en détail

Système Qualité Pharmaceutique (ICH Q10)

Système Qualité Pharmaceutique (ICH Q10) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Système Qualité Pharmaceutique (ICH Q10) Le document ICH Q10 sur le

Plus en détail

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le management des risques de l entreprise Cadre de Référence. Synthèse Le management des risques de l entreprise Cadre de Référence Synthèse SYNTHESE L incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l un des principaux défis pour la direction

Plus en détail

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures

Plus en détail

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006 Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité Olivier de Chantérac 08 novembre 2006 PCA, MCO et ROI Une Responsabilité de Direction Générale ou Métier - Disposer d une

Plus en détail

Mesurer le succès Service Desk Guide d évaluation pour les moyennes entreprises :

Mesurer le succès Service Desk Guide d évaluation pour les moyennes entreprises : LIVRE BLANC SUR LES MEILLEURES PRATIQUES Mesurer le succès Service Desk Guide d évaluation pour les moyennes entreprises : Choisir la meilleure solution de support technique et améliorer le retour sur

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

Vector Security Consulting S.A

Vector Security Consulting S.A Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante

Plus en détail

Norme ISA 330, Réponses de l auditeur à l évaluation des risques

Norme ISA 330, Réponses de l auditeur à l évaluation des risques IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 330, Réponses de l auditeur à l évaluation des risques Le présent document a été élaboré et approuvé par le Conseil

Plus en détail

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service Solutions de gestion des actifs et services Au service de vos objectifs d entreprise Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Plus en détail

Qu est-ce que le ehealthcheck?

Qu est-ce que le ehealthcheck? Plus la dépendance d une compagnie envers ses systèmes informatiques est grande, plus le risque qu une erreur dans les processus métiers puisse trouver ses origines dans l informatique est élevé, d où

Plus en détail

La classification des actifs informationnels au Mouvement Desjardins

La classification des actifs informationnels au Mouvement Desjardins La classification des actifs informationnels au Mouvement Desjardins Cas vécu en grande entreprise Jean-François Allard Directeur principal Risques Informationnels Mouvement Desjardins Anick Charland Conseillère

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Standard de contrôle de sécurité WLA

Standard de contrôle de sécurité WLA Association mondiale des loteries Standard de contrôle de sécurité WLA Standard d intégrité et de sécurité des opérations liées aux loteries et aux jeux WLA-SCS:2012 Édition Septembre 2012 Tous droits

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES SOMMAIRE Paragraphes Introduction... 1-3 Réponses globales... 4-6 Procédures d'audit

Plus en détail

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines? DOSSIER SOLUTION Package CA Clarity PPM On Demand Essentials for 50 Users Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines? agility made possible CA Technologies

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Standard de contrôle de sécurité WLA

Standard de contrôle de sécurité WLA Standard de contrôle de sécurité WLA Standard de sécurité et d intégrité des activités de loterie et de jeu WLA-SCS:2012 Association mondiale des loteries (World Lottery Association) Édition Novembre 2014

Plus en détail

PROJET DE CONCEPTION (6GIN333)

PROJET DE CONCEPTION (6GIN333) PROJET DE CONCEPTION (6GIN333) Cours #7 Hiver 2012 Ordre du jour Gestion des risques Introduction Concepts & définitions Processus d analyse Outils & méthodes Résultats Pause de 15 minutes Suivit des coûts

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Réussir le Service Management avec ISO 20000-1 Novembre 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Introduction (1/2) Il existe une norme internationale sur le Service Management en plus d ITIL

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

A. Le contrôle continu

A. Le contrôle continu L audit d achat est une action volontaire décidée par l entreprise avec pour objet d apprécier la qualité de l organisation de sa fonction achats et le niveau de performance de ses acheteurs. L audit achat

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

FILIÈRE METHODOLOGIE & PROJET

FILIÈRE METHODOLOGIE & PROJET FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer

Plus en détail

Microsoft IT Operation Consulting

Microsoft IT Operation Consulting Microsoft IT Operation Consulting Des offres de services qui vous permettent : D améliorer l agilité et l alignement de votre IT aux besoins métier de votre entreprise. De maîtriser votre informatique

Plus en détail

Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise

Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise Plan de cours Programme de leadership en entreprise pour les conseillers juridiques d entreprise Un juriste typique qui assume un rôle de juriste d entreprise est armé d une solide formation et expérience

Plus en détail

LA CONDUITE D UNE MISSION D AUDIT INTERNE

LA CONDUITE D UNE MISSION D AUDIT INTERNE 1 LA CONDUITE D UNE MISSION D AUDIT INTERNE Toute mission d Audit est réalisée en trois étapes essentielles: 1 ère étape : La préparation de la mission 2 ème étape : La réalisation de la mission 3 ème

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles

Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Cadre de référence pour soutenir la gestion et la revue diligente des projets en ressources informationnelles Document d orientation aux organismes publics Annexe A Rôles et responsabilités détaillés des

Plus en détail

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA 1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement

Plus en détail

ITIL V3. Objectifs et principes-clés de la conception des services

ITIL V3. Objectifs et principes-clés de la conception des services ITIL V3 Objectifs et principes-clés de la conception des services Création : janvier 2008 Mise à jour : juillet 2011 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a

Plus en détail