THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1
INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise AUDIT = moyen préventif utilisé trop souvent à titre curatif (58% des cas) L Audit informatique s impose Prise de conscience [première approche dans les années 6à aux U.S.A.] 8/28/2012 2
PLAN DU COURS Généralités Périmètre et 5 règles Objectif Démarche générale Conduite de la mission Les OUTILS de l auditeur Normes Méthodes Critère de choix Cas pratique 8/28/2012 3
GENERALITES 5 Règles Généralités Objectifs Démarche Conduite 8/28/2012 4
5 REGLES CLES [RAPPEL] 1. Observer l angle d attaque et comparer les résultats avec un référentiel idéal jugement constructif, recommandations adéquates 2. L audit informatique est toujours faisable, contrairement au management du SI 3. Moyens et actions adaptés au sujet de l audit, de façon exclusive et exhaustive 4. Qualité de l audit gestion logique et rigoureuse 5. Déontologie de l audit 8/28/2012 5
GENERALITES 1/2 BESOIN Faire un diagnostic par un expert indépendant pour établir un état des lieux, définir des points à améliorer et obtenir des recommandations/préconisations pour faire face aux faiblesses détectées dans l entreprise REPONSE L auditeur intervient en tant que mesureur des risques. Identification des faiblesses Identification des impacts Identification des solutions Identification des risques 8/28/2012 6
GENERALITES 2/2 AUDIT ou CONSEIL L audit informatique terme largement utilisé, couvrant des réalités variables Certaines prestations nommées AUDIT INFORMATIQUE sont des missions de CONSEIL CHAMP D ACTION PRINCIPAL L outil informatique est au centre de l action d AUDIT. Inclut la bureautique : applications et matériels Inclut les outils liés aux NTIC Intègre les ressources humaines, utilisateurs du système Prend en compte politique et développement informatique 8/28/2012 7
OBJECTIFS Fiabilité de l environnement informatique, 8/28/2012 8
OBJECTIFS en terme de fiabilité de l environnement informatique L intérêt du contrôle interne Acteurs de l audit informatique Composantes d un audit de l activité informatique Méthodes d audit de l activité informatique 8/28/2012 9
FIABILITÉ DE L ENVIRONNEMENT INFO. L intérêt du contrôle interne 1/2 (selon l OEC) Contrôle interne = ensemble des sécurités contribuant à la maîtrise de l entreprise But du contrôle interne Assurer la protection, la sauvegarde du patrimoine et la qualité de l information Appliquer les instructions de la direction Favoriser l amélioration des performances Manifesté par l organisation, les méthodes et les procédures de chacune des activités de l entreprise pour maintenir sa pérennité. 8/28/2012 Périmètre de l audit 10
FIABILITÉ DE L ENVIRONNEMENT INFO. L intérêt du contrôle interne 2/2 (selon l OEC) Objectifs Bonne organisation d ensemble de l activité informatique Existence de procédures Existence de méthodes Finalité Réduire les risques de malveillance Formaliser des procédures, vérifier leur acquisition Améliorer l efficacité de l activité informatique RETOUR 8/28/2012 Périmètre de l audit 11
FIABILITÉ DE L ENVIRONNEMENT INFO. Les acteurs de l audit informatique Direction de l entreprise Responsable informatique Contrôleur(s) externe(s) : commissaire aux comptes, administration fiscale, banque et l auditeur spécialisé ou généraliste RETOUR 8/28/2012 12
FIABILITÉ DE L ENVIRONNEMENT INFO. Les composantes d un audit de l activité informatique Examen de l organisation générale du service Examen des procédures liées au développement et à la maintenance des applications Examen des procédures liées à l exploitation des chaînes de traitement Examen des fonctions techniques RETOUR 8/28/2012 13
FIABILITÉ DE L ENVIRONNEMENT INFO. Méthodes d audit de l activité informatique Entretiens avec le personnel du service informatique et les utilisateurs du service Contrôle de documents et d états Outils commercialisés de type progiciel Méthodes (CoBiT, Méhari, ) et Référentiels RETOUR 8/28/2012 14
FIABILITÉ DE L ENVIRONNEMENT INFO. en terme de performances et d efficacité RETOUR Mise en place d un plan de secours Etude approfondie de la performance et du dimensionnement des machines Adéquation des logiciels systèmes avec les besoins L audit d efficacité constitue une mission mandatée par la direction générale (coût de son informatique) ou par le responsable du service concerné (pertinence de la configuration). 8/28/2012 15
FIABILITÉ DE L ENVIRONNEMENT INFO. en terme de fiabilité d une application informatique RETOUR OBJECTIF PREMIER : se prononcer sur la qualité d une application donnée TYPES DE CONTROLES : Contrôler la fiabilité d une application et de son utilisation Contrôler l adéquation des logiciels développés avec les spécifications fonctionnelles Rechercher fraude ou erreur Contrôler la qualité des méthodes de développement des logiciels Contrôler la qualité des procédures d exploitation 8/28/2012 16
DEMARCHE Intervenants Plan d action 8/28/2012 17
DEMARCHE GENERALE La compétence technique de l auditeur est un point fondamental pour réussir la mission Certaines qualités humaines, relationnelles et des aptitudes à la gestion et l organisation sont indispensables RETOUR 8/28/2012 18
LES INTERVENANTS Auditeur externe contractuel Auditeur interne Commissaire aux comptes RETOUR 8/28/2012 19
AUDITEUR EXTERNE CONTRACTUEL SSII Freelance Missions : RETOUR Examen de contrôle interne de la fonction informatique Audit de la sécurité physique du centre de traitement Audit de la confidentialité d accès Audit des performances 8/28/2012 20
AUDITEUR EXTERNE CONTRACTUEL Domaines dans lesquels les auditeurs informatiques sont le plus souvent sollicités : Sécurité logique 80% Conduite de projets 68% Revue de l environnement informatique 66% ERP / Revue d application 58% Maitrise d ouvrage CDC 54% Analyse de données 50% Développement et rôle des études 46% Recettes 42% Qualité du code et réalisation 30% 20 % : organisationnel, politique, formation, moyens RETOUR 8/28/2012 21
AUDITEUR INTERNE Missions susceptibles d être confiées à l auditeur interne identiques à l externe Problème délicat : RETOUR l auditeur interne dépend de la direction informatique ou d un service d audit Comment couvrir dans un délai raisonnable l ensemble des risques? Comment garder son objectivité et être critique? 8/28/2012 22
COMMISSAIRE AUX COMPTES Rôle et obligation Vérifier que les comptes présentés sont réguliers et sincères, qu ils donnent une image fidèle de la situation de l entreprise. Présence obligatoire dans la majorité des sociétés commerciales RETOUR 8/28/2012 23
DÉMARCHE GÉNÉRALE Approche en environnement informatique Phase 1 : orientation et planification de la mission Phase 2 : évaluation des risques Phase 3 : Obtention d éléments probants RETOUR 8/28/2012 24
APPROCHE ENVIRONNEMENT INFORMATIQUE Phase 1 Orientation et planification Phase 2 Evaluation des risques Phase 3 Obtention éléments probants 1.1 - Prise de connaissance de l informatique : apprécier son importance et son impact dans l élaboration des comptes 1.2 Description du SI de l entreprise : identification des principales composantes du SI et de son niveau de complexité 1.3 Prise en compte de l informatique dans le plan de mission 2.1 Incidence de la fonction informatique, transverse aux activités de l entreprise, sur le risque inhérent 1.2 Description du SI de l entreprise : identification des principales composantes du SI et de son niveau de complexité 2.3 Synthèse de l évaluation des risques 3.1 Mise en œuvre des procédures d audit : détermination du caractère suffisant et approprié des éléments probants obtenus et lien avec l opinion sur les comptes 3.2 Liens avec les obligations légales du commissaire aux comptes : émission de l opinion sur les comptes, information à la direction TECHNIQUES D AUDIT ASSISTEES PAR ORDINATEUR 8/28/2012 25
DÉMARCHE GÉNÉRALE Plan pluriannuel d audit Un plan annuel est défini sur une période de 3 à 4 ans, pour couvrir l ensemble des composantes du risque informatique, par les auditeurs qui vont fixer des programme annuel de travail détaillés Le programme de travail annuel reprend, en précisant dates et modalités d intervention, les missions prévues au plan pluriannuel. RETOUR 8/28/2012 26
Année DÉMARCHE GÉNÉRALE EXEMPLE DE PLAN PLURIANNUEL Travaux planifiés 1 Examen du contrôle interne de la fonction informatique au siège Audit général de la filiale A Examen limité du contrôle interne informatique et étude approfondie du logiciel de gestion de production de cet établissement 2 Audit informatique général de la filiale B Analyse de l application de gestion du personnel Examen approfondi du contrôle interne informatique de B 3 Etude de l ensemble de la gestion des sécurités informatiques dans le groupe Audit des logiciels de gestion des stocks de l établissement Audit général de l informatique de la filiale C 4 Examen de contrôle interne de la fonction informatique au siège Etude d ensemble de la gestion des sécurités physiques dans le groupe : à réaliser conjointement avec un cabinet extérieur RETOUR Audit du logiciel de gestion des commandes et facturations de 8/28/2012 l établissement Périmètre de l audit 27
CONDUITE DE LA MISSION Démarche Quel auditeur? Quel coût? Les outils 8/28/2012 28
CONDUITE DE LA MISSION DEMARCHE Lettre de MISSION Programme de TRAVAIL Enquête préalable Réunion de synthèse RETOUR Rapport d audit Travaux planifiés Objectifs de la mission, périmètre, période d intervention, contraintes à prévoir pour les services audités, méthode, constitution de l équipe, documents préparatoires Structure de l entreprise concernée Domaines fonctionnels Applications informatiques Matériels et réseaux Délimiter les besoins, analyser le système d information de l entreprise ou le service audité Interroger en collaboration avec l audité, les utilisateurs et les entreprises qui participent au fonctionnement du SI Objectifs : Garantir que les questions de l auditeur ont été comprises Garantir que les réponses apportées ont bien été interprétées Clair, vulgarisé, non porté sur la technique Propose un PLAN D ACTION pour améliorer la performance 8/28/2012 29
CONDUITE DE LA MISSION Comment l auditeur est choisi? Indépendance Professionnel du diagnostic, spécialiste Capacités à remettre des recommandations en adéquation avec l entreprise auditée RETOUR 8/28/2012 30
CONDUITE DE LA MISSION Quel coût pour l entreprise? Coût moyen journalier : 1.000 Le Groupement Professionnel National de l Informatique (www.gpni.com) estime un coût global de procédure entre 500 et 3.000 Economies immédiates lors du constat de dépenses inutiles Réduction des risques réduction des coûts RETOUR 8/28/2012 31
LES OUTILS DE L AUDITEUR Les Normes ISO 27002 et ISO 27001 Créée en 2000 (ISO 17799), renommée en 2005 Objectif sécurisation de l informatique pour apporter confidentialité, intégrité et disponibilité Caractère facultatif : guide de recommandations 4 étapes dans la démarche de sécurisation : 1. Liste des biens sensibles à protéger 2. Nature des menaces 3. Impacts sur le SI 4. Mesures de protection 8/28/2012 32
LES OUTILS DE L AUDITEUR Les Normes ISO 27002 et ISO 27001 Créée en 2005 Objectif politique du management de la sécurité Etablir un Système de Management de la Sécurité de l Information (SMSI) : 1. Choix des mesures de sécurité 2. Protection des actifs Utilisation du Modèle PDCA (ou Roue de Deming) Plan : ce qu on va faire D(o) : production C(heck) : mesure, vérif A(ct) : décision corrective 8/28/2012 33
LES OUTILS DE L AUDITEUR 6 domaines de processus Définir une politique de sécurité Définir le périmètre du SMSI Evaluer les risques Gérer les risques identifiés Choisir et mettre en œuvre les contrôles Définir le SOA (Statement Of Applicability Charte du SMSI) SOA : document justifiant formellement les choix d'implémentation (ou non) dans le SMSI de tout ou partie des clauses ISO 27001 (Chapitres 4 à 8 de l'iso 27001) et/ou des contrôles ISO 27001 (Annexe A5 à A15 de l'iso 27001) dans la mise en oeuvre et la documentation du SMSI. Conditions remplies certification ISO 27001 8/28/2012 34
LES MÉTHODES CoBiT Mehari EBIOS CRAMM OCTAVE ITIL CMMI SIX SIGMA SPICE, AGILE, et son propre référentiel 8/28/2012 35
LE RÉFÉRENTIEL Mise en commun intellectuelle de terminologie, de pratiques ou de règles servant de référence. Le référentiel rassemble ainsi sous un vocabulaire commun (et généralement explicite) toutes les notions que s échangent les différents services et logiciels de l entreprise. La création d'un référentiel est notamment souvent l'une des bases des projets importants. Pour les applications de Business Intelligence, les décisionnels, les ERP, il s'agit d'une base centrale des noms de données manipulées par les différentes applications (généralement avec leur description et leurs règles). Pour la gouvernance informatique, il existe des référentiels de bonnes pratiques, constituant une base méthodologique permettant de d'aboutir à la qualité (COBIT, ITIL, CMMI, Spice, ISO 9000...). [Source : guideinformatique.com] 8/28/2012 36