L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1

lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION AUDIT DES FONCTIONS INFORMATIQUES Audit s Système d'information - P2 2

Généralités sur l'audit Généralités sur l'audit Audit s Système d'information - P2 3

Qu est-ce que l audit s systèmes d information? Deux domaines principaux La fonction informatique Le système d information Audit d une fonction - la Direction Informatique (ex : étus, exploitation, système, management...) - autour l informatique (ex : coordination informatique, assurances, micro-informatique) Audit du support technique du système d information (ex : architecture matérielle, logiciel, réseau) Analyse globale Audit d une application, d un projet ou d un système Audit s Système d'information - P2 4

Typologie s travaux d audit s systèmes d information Les missions d audit s systèmes d information sont principalement caractérisées par : Leur nature. Les objectifs. Le gré d approfondissement s travaux Leur caractère ponctuel ou permanent. Audit s Système d'information - P2 5

Qu est-ce que l audit s systèmes d information? Deux orientations principales Support missions audit/inspection classiques Réalisation missions spécifiques d audit s systèmes d information Audit s aspects informatiques du domaine étudié Utilisation techniques automatisées d audit Sur la fonction informatique Sur le système d information Dépendance vis-à-vis du programme d intervention l audit/inspection Programme d intervention spécifique à l audit informatique Audit s Système d'information - P2 6

Qu est-ce que l audit s systèmes d information? Deux catégories d objectifs La sécurité L efficience Des systèmes : Disponibilité Intégrité Confintialité Des opérations : Exhaustivité Validité Comptabilisation Séparation s exercices Evaluation Présentation Efficacité Evolutivité Maîtrise s coûts De l audit sécurité / contrôle interne à l audit OPERATIONNEL Audit s Système d'information - P2 7

Les caractéristiques la démarche Progressive Différents objectifs successifs Modulaire Application en tout ou partie Universelle Tous les domaines potentiellement concernés par l audit Opérationnelle Orientée vers la proposition solutions concrètes Audit s Système d'information - P2 8

En résumé Adéquation aux besoins Conformité aux contraintes externes Sécurité s systèmes d information Qualité s projets Fonctionnels Contrôle Interne / Sécurité Organisationnels Efficience / maîtrise s coûts IAS Contrôles s comptabilités informatisées Environnement français Audit et analyse risques Politique sécurité Aspects contractuels Sensibilisation / formation Outils et pilotage / tableaux bord Mise en oeuvre solutions (plan continuité, sécurité logique) Contrôle interne / sécurité dans les projets Assistance maîtrise d ouvrage (contrôle interne, sécurité) Assistance au processus recette SYSTEME D INFORMATION ARCHITECTURE TECHNIQUE ORGANISATION DE LA FONCTION INFORMATIQUE AUDIT INTERNE Audit s Système d'information - P2 9

L audit d application Audit fonctionnel (ou d'application) Audit s Système d'information - P2 10

Sommaire Audit d'application Les systèmes d information La démarche d audit d une application Audit s Système d'information - P2 11

L audit d application LES SYSTEMES D INFORMATION Audit s Système d'information - P2 12

Le système d information dans l entreprise Flux physiques Flux d information usine Système d information Flux physiques Flux d information Industrialiser la production Industrialiser le traitement l information Audit s Système d'information - P2 13

Le système d information dans l entreprise Référencement fournisseurs/produits Gestion production - Nomenclatures - Programme production - Ordonnanement lancement Gestion la force vente / réseau distribution F I C H I E R F O U R N I S S E U R S Gestion s achats Comptabilité auxiliaire fournisseurs Gestion s immobilisations Paie Reporting comptable fiscal Gestion et valorisation s stocks FICHIER PRODUITS / TARIFS Comptabilité - Générale - Analytique - Budgétaire Consolidation Reporting comptable maison mère Gestion commerciale Facturation Comptabilité auxiliaire clients / Recouvrements Trésorerie F I C H I E R C L I E N T S STATISTIQUES / TABLEAUX DE BORD BANQUES Audit s Système d'information - P2 14

Les enseignements du système d information (1/4) Évaluation l architecture du système d information Degré d informatisation s processus Degré d intégration s traitements Structuration s données (ex : unicité la base clients) Cohérence s informations comptables, réglementaires et gestion Part s traitements micro-informatiques Part s traitements externes Audit s Système d'information - P2 15

Les enseignements du système d information (2/4) Évaluation la cohérence avec les objectifs l organisation Politique générale Schéma directeur Directives du Groupe Évolution s activités Évolutions du contexte institutionnel, légal, réglementaire Évolution technologique Audit s Système d'information - P2 16

Les enseignements du système d information (3/4) La délimitation s domaines applicatifs : champ l audit Applications collecte s opérations (saisie, supports magnétiques, vidéotex...) Applications traitement s opérations (gestion administrative, comptabilité) Applications restitution/diffusion s résultats (routage...) Gestion s données permanentes (base clients, produits) Applications techniques (interpréteur, interface transmission fichiers, gestion la confintialité...) Audit s Système d'information - P2 17

Les enseignements du système d information (4/4) La délimitation s domaines auditables Par activité ou processus ( l initiation d une catégorie d opérations à la comptabilisation) Par direction / service Par entité géographique Par environnement technique Définition s enjeux et s priorités Organisation s travaux d audit Audit s Système d'information - P2 18

L audit d application LA DEMARCHE D AUDIT D UNE APPLICATION Audit s Système d'information - P2 19

Présentation la démarche Qu est-ce que c est? Qui peut m air? Est-ce légal? A quoi ça sert? APPLICATION 1 Est-ce que c est sûr? Est-ce que c est facile à utiliser? APPLICATION 2 Est-ce que ça marche? Combien ça coûte? Comment est-ce arrivé là? Audit s Système d'information - P2 20

Présentation la démarche Etapes la démarche Prise connaissance Evaluation s enjeux Evaluation fonctionnelle Evaluation technique Evaluation financière Evaluation la conduite projet Evaluation la sécurité et s contrôles internes s traitements Evaluation du support aux utilisateurs Audit s Système d'information - P2 21

Présentation la démarche : prise connaissance Interlocuteurs Direction utilisatrice / Responsable service utilisateur Chef projet étus informatiques Points clés à examiner Structures (connaissance l activité, équipe, historique, plateforme technologique...) Mos opératoires (procédures manuelles et automatisées, règles gestion...) Sécurité Audit s Système d'information - P2 22

Présentation la démarche : évaluation s enjeux Interlocuteurs Direction Générale Direction utilisatrice Direction informatique Points clés à examiner Importance du domaine applicatif pour l organisation Impact potentiel la concrétisation d un risque grave Audit s Système d'information - P2 23

Présentation la démarche : évaluation fonctionnelle Interlocuteurs Direction utilisatrice / Responsable du service utilisateur Autres utilisateurs : tiers (réclamations), direction comptable, contrôle gestion, audit interne Chef projet étus informatiques Points clés à examiner Adéquation fonctionnelle / État l art Adéquation fonctionnelle / Besoins utilisateurs Évolutivité fonctionnelle Audit s Système d'information - P2 24

Présentation la démarche : évaluation technique Interlocuteurs Chef projet étus informatiques Responsable exploitation informatique Direction utilisatrice / Responsable du service utilisateur Points clés à examiner Évolutivité technique Qualité s résultats fournis / Normes service Performance l outil Niveaux et taux service Audit s Système d'information - P2 25

Présentation la démarche : évaluation financière Interlocuteurs Responsable du suivi s coûts informatiques Responsable du service utilisateur Contrôle gestion Points clés à examiner Rentabilité l application Adéquation s modalités refacturation s coûts aux utilisateurs (le cas échéant) Audit s Système d'information - P2 26

Présentation la démarche : évaluation la conduite projet Interlocuteurs Chef projet étus informatiques Responsable du service utilisateur Direction Générale, utilisatrice et informatique Autres membres l équipe projet Points clés à examiner Pertinence s normes, procédures et outils conduite projet mis en oeuvre Participation toutes les personnes clés à la conduite du projet Audit s Système d'information - P2 27

Présentation la démarche : évaluation la sécurité et du contrôle interne s traitements Interlocuteurs Chef projet étus informatiques Responsable du service utilisateur Responsable la sécurité informatique Points clés à examiner Correcte mise en oeuvre s contrôles généraux informatiques dans le domaine applicatif concerné Mise en oeuvre l approche par les risques sur les principaux processus et traitements Audit s Système d'information - P2 28

Présentation la démarche : évaluation du support aux utilisateurs Interlocuteurs Responsables du support utilisateur au sein la Direction Informatique Responsable du service utilisateur Points clés à examiner Qualité l ai documentaire disponible (manuels, en ligne) Support fonctionnel Support technique Qualité l assistance fournie en cas d incints Audit s Système d'information - P2 29

L audit fonctions informatiques Audit s Fonctions Informatiques Audit s Système d'information - P2 30

Sommaire Audit s Fonctions Informatiques Sécurité s systèmes d information Procédures d exploitation Audit s Système d'information - P2 31

L audit fonctions informatiques SECURITE DES SYSTEMES D INFORMATION Audit s Système d'information - P2 32

L audit fonctions informatiques 2000 2001 2002 45% 31% 57% 26% 62% 24% 24% 17% 14% Accints Erreurs Malveillance urce : CLUSIF Audit s Système d'information - P2 33

L audit fonctions informatiques M E N A C E S L O G I Q U E S H U M A I N E S N O N H U M A I N E S Volontaire : malveillance vol sabotage vol d information copie illicite Involontaire : erreur d exploitation erreur d utilisation Panne : dysfonctionnement logiciel Accint : incendie entraînant l altération s ressources DISPONIBILITE DISSUASION DETECTION Biens immatériels logiciels données procédures Biens matériels équipements réseaux locaux Ressources humaines CONFIDENTIALITE INTEGRITE PREVENTION PROTECTION Volontaire : malveillance vol sabotage détournements ressources Involontaire : struction du matériel par erreur Panne : dysfonctionnement matériel Accints : incendie inondation orage, foudre avalanche pollution, vibrations perturbations électriques ou électromagnétiques E N V I R O N N E M E N T E N V I R O N N E M E N T I N T E R N E E X T E R N E M E N A C E S P H Y S I Q U E S Audit s Système d'information - P2 34

Audit l organisation la sécurité Objectifs : s assurer que la sécurité du système d information est une préoccupation permanente la direction l entreprise et que dans ce cadre, il existe une politique, formellement définie au niveau l entreprise, connue tous les acteurs et appliquée vérifier que l organisation mise en place permet d appliquer façon efficace les orientations fixées par la direction Approche d audit : appréciation la politique l entreprise appréciation l organisation générale contrôle l organisation opérationnelle contrôle l existence s procédures Audit s Système d'information - P2 35

Schéma directeur sécurité SCHEMA DIRECTEUR SECURITE Document décision et et d'orientation pour pour la la Direction Générale et et les les principales directions concernées Analyse et et hiérarchisation s s enjeux enjeux Analyse et et hiérarchisation s s vulnérabilités Proposition cohérente et et adéquate moyens sécurité Prévision résultats Audit s Système d'information - P2 36

Exemple contenu d'un schéma directeur sécurité (1/2) Notions générales et domaine d'application Contrôle s accès Personnel Matériel Service technique Logiciel base Développement du système Audit s Système d'information - P2 37

Exemple contenu d'un schéma directeur sécurité (2/2) Logiciels d'application Sécurité s données Traitement automatique s données Protection contre les risques naturels Stockage externe Solution secours Assurances Audit s Système d'information - P2 38

ontenu-type d'un tableau bord sécurité informatique SECURITE SECURITE GENERALE GENERALE Suivi Suivi du du schéma schéma directeur directeur sécurité, sécurité, s s actions actions sécurité sécurité Suivi Suivi l'évolution l'évolution s s risques risques liés liés à à la la structure structure du du personnel personnel SECURITE SECURITE PHYSIQUE PHYSIQUE Nombre Nombre d'accès d'accès (création (création badges), badges), vols vols et et fraus, fraus,...... Disponibilité Disponibilité s s matériels, matériels, interruptions, interruptions, durée durée maintien maintien TABLEAU TABLEAU DE DE BORD BORD SECURITE SECURITE SECURITE SECURITE LOGIQUE LOGIQUE Gestion Gestion du du logiciel logiciel contrôle contrôle (création (création / / suppression suppression s s intifiants, intifiants,...)...) FIABILITE DU S.I. FIABILITE DU S.I. Nombre d'anomalies par activité, respect du planning, Nombre d'anomalies par activité, respect du planning, Maintenance (nombre et durée s dépannages,...) Maintenance (nombre et durée s dépannages,...) CONTROLE CONTROLE Nombre Nombre réclamations réclamations Nombre Nombre mots mots passe passe refusés, refusés, nombre nombre déconnexions, déconnexions,...... Audit s Système d'information - P2 39

Points à examiner (1/2) Existence d'une fonction dédiée à l'administration la sécurité informatique Position la fonction d'administration la sécurité informatique dans l'organisation (rattachement au responsable la sécurité générale?) Indépendance la fonction sécurité par rapport aux opérationnels et par rapport à la DSI (rattachement la fonction sécurité informatique au responsable la sécurité générale?) Qualification du responsable la sécurité informatique Audit s Système d'information - P2 40

Points à examiner (2/2) Existence d'une stratégie claire en matière sécurité informatique (déclinaison du schéma directeur informatique en schéma directeur sécurité) Cohérence la sécurité informatique par rapport au plan sécurité générale Existence d'outils mesure du niveau sécurité (tableaux bord, audits périodiques) Existence d'un reporting sécurité à la Direction Générale, effectivement pris en compte Audit s Système d'information - P2 41

La sécurité physique Analyse critique la sécurité s sites informatiques Analyse critique s procédures sauvegar Audit s Système d'information - P2 42

Analyse critique la sécurité s sites informatiques Intification Intification s s sites sites à à protéger protéger Intification Intification s s menaces menaces Recensements Recensements s s mesures mesures protection protection Evaluation Evaluation forces forces / / faiblesses faiblesses Salle machine Locaux techniques climatisation secours électrique autocommutateur têtes lignes réseau Locaux informatiques salle console système bureaux exploitation bureaux d étu Locaux d archive bandothèque documentation étus / exploitation Locaux informatiques répartis (informatique production / départementale) Liées à l environnement général (proximité sites potentiellement dangereux) Liées à l agencement s locaux (canalisations souterraines, passages lignes électriques) Liées au facteur humain (grève, émeute, sabotage) Accintelles (incendie, dégâts s eaux) Catastrophes naturelles Sécurité s accès physiques Incendie Dégâts s eaux Alimentation électrique Environnement adéquat Adéquation mesures protection / menaces Fréquence et qualité s tests et mesures protection Nature et ampleur s menaces non couvertes Audit s Système d'information - P2 43

Analyse critique la sécurité s sites informatiques (1/3) Accès physiques Pour les locaux informatiques emplacement du site et s locaux protection physique s accès (blindage, etc...) contrôle s accès du personnel (badge, co d accès,...) système surveillance Pour les accès physiques aux terminaux répartis installations systèmes clés physiques, fixation,... Audit s Système d'information - P2 44

Analyse critique la gestion la sécurité logique (2/3) Stratégie sécurité logique : l intification s ressources et s données à protéger la classification celles-ci l appréhension s risques l intification et le suivi s utilisateurs la mise en place du système protection s accès le suivi l utilisation s outils Audit s Système d'information - P2 45

Analyse critique la sécurité s sites informatiques (3/3) Régulation l alimentation électrique onduleur groupe électrogène Maintien d un environnement adéquat température hygrométrie filtrage l air climatisation secours Audit s Système d'information - P2 46

Analyse critique s procédures sauvegar Points clés à examiner Ressources sauvegardées incomplètes Périodicité s sauvegars trop espacées Lieu stockage non protégé Procédures sauvegars / restauration non formalisées et non testées Sauvegars non fiables Audit s Système d'information - P2 47

L audit fonctions informatiques PROCEDURES D EXPLOITATION Audit s Système d'information - P2 48

Attribution s responsabilités (3/3) Le propriétaire l application doit : s assurer que l ensemble s éléments nécessaires au transfert est effectivement rempli s assurer que les différentes revues relatives à la sécurité, à la protection s données ont été réalisées, que leurs résultats ont été formalisés et qu elles ont été transmises au responsable du projet valir et établir le contrat service final entre les utilisateurs, les étus et la production Audit s Système d'information - P2 49

Domaine système : enjeux Démarche Démarche Examen Examen s s procédures procédures du du service service système système Examen Examen du du dispositif dispositif protection protection s s logiciels logiciels base base Procédures formalisées Séparation s fonctions Documentation Supervision s travaux Protection s données Gestion s logiciels base (système et réseau) Gestion s incints Réalisation développements spécifiques Protection s programmes Journalisation Maintenance s systèmes : changement système nouvelles versions changement matériels Initialisation du système : arrêt machine maintenance matériel maintenance logiciels base Maintenance s logiciels base : ajout nouvelles fonctions modification paramètres correction d'anomalies spécifiques Audit s Système d'information - P2 50