Qu est-ce que le ehealthcheck?

Documents pareils
Guide d analyse des risques informatiques

Rapport standard analyse des risques/stratégie d audit. Sommaire

HERMES 5.1. Méthode de gestion pour tous les projets MANUEL DE REFERENCE

Modèle Cobit

La surveillance réseau des Clouds privés

Check-List : Les 10 principales raisons de passer au Cloud

Le management des risques de l entreprise Cadre de Référence. Synthèse

Modernisation et gestion de portefeuilles d applications bancaires

Nouvelles exigences pour les entreprises et les réviseurs

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Aperçu des produits. La solution du prestataire

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Rapport final sur les priorités en matière de surveillance de la médecine

Credit Suisse Invest Le nouveau conseil en placement

données à caractère personnel (ci-après "la LVP"), en particulier l'article 29 ;

Livre Blanc Oracle Mars Le guide ultime de la réussite d un Bureau des Projets (PMO) orienté business

Gestion financière pour le trafic des paiements par cartes

Financement. Crédit PME Marge de manœuvre pour petites et moyennes entreprises

curaprax le logiciel de cabinet médical moderne destiné aux cabinets médicaux individuels ou de groupe

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

Outil 5 : Exemple de guide d évaluation des auditeurs internes

Les bonnes pratiques d un PMO

Panorama général des normes et outils d audit. François VERGEZ AFAI

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne

Comment se servir de cet ouvrage? Chaque chapitre présente une étape de la méthodologie

Etude 2014 sur l évaluation de la performance dans le WCM Résumé

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT

MIKRON CUSTOMER SERVICE. Un service client adapté à vos besoins

IBM Maximo Asset Management for IT

Politique et Standards Santé, Sécurité et Environnement

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre This document is also available in English.

Profil B ou profil E? Aide à la décision

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Table des matières. Avant-propos...

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Présentation à l EIFR. 25 mars 2014

Caroline 9 Case postale Lausanne Tél

D ITIL à D ISO 20000, une démarche complémentaire

Du benchmarking logistique au choix d une nouvelle stratégie d organisation

Une SGDT simple pour entreprises

LA CONDUITE DE L ACTION COMMERCIALE

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. étude marketing, expérience utilisateur, ergonomie étude concurrentielle. principes.

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Programme de formation. «S organiser à plusieurs pour développer et mettre en œuvre son projet artistique»

Audit interne. Audit interne

CFC 450 PROGRAMME DES CADRES DIRIGEANTS SYLLABUS

Zurich Invest SA. Le placement de vos valeurs patrimoniales est une activité exigeante et délicate. Confiez-la à des professionnels.

Présentation de la gestion des infrastructures de centres de données

Le cycle de traitement de la situation 1/2

SOMMAIRE. Octobre Edito p 1 Evènements p 2 Conseil -Schéma Directeur d Intégration p 3 Intégration- LIMS p 4 Formation - Contrôle Commande p 5

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

Logiciel PME performant pour une gestion commerciale efficace.

Aperçu des 37 principes directeurs

IBM Tivoli Compliance Insight Manager

Gestion des risques de fraude

La Certification Oracle

Fonds de placement Le modèle adapté à chaque type d investisseur.

HySIO : l infogérance hybride avec le cloud sécurisé

Gestion de Maintenance Assistée par Ordinateur. L informatique au service de votre maintenance

Symantec Control Compliance Suite 8.6

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Surveillance consolidée des banques et des négociants en valeurs mobilières

Certification Lean Master

Projektron BCS 7.22 Plus qu'un logiciel de gestion de projets

Offre pour une assurance responsabilité civile professionnelle pour avocats

Montrer que la gestion des risques en sécurité de l information est liée au métier

Le pilotage et les outils du développement durable

Security & Automation. Pour des bâtiments sûrs et confortables.

L'infonuagique, les opportunités et les risques v.1

Une fonction ressources humaines performante?*

Evaluation des risques et procédures d audit en découlant

Efficace et ciblée : La surveillance des signaux de télévision numérique (2)

QU EST-CE QUE LE DECISIONNEL?

Economiste d entreprise BACHELOR OF SCIENCE

Montréal. New York. Les fournisseurs et utilisateurs des technologies de l'information et de communication

Catalogue & Programme des formations 2015

Objectifs didactiques HERMES 5 Foundation et Advanced

Conseils pour l évaluation et l attribution de la note

Cluster High Availability. Holger Hennig, HA-Cluster Specialist

Sage 50 Gestion commerciale Logiciel PME performant pour une gestion commerciale efficace.

Efficacité énergétique de la part des pros

Archivage électronique

Cisco Unified Computing Migration and Transition Service (Migration et transition)

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Olivier Terrettaz, Expert diplômé en finance et controlling 1

Partager l expérience de l ASECNA dans la mise en œuvre du SMS et du SMQ :

ITIL V2 Processus : La Gestion des Configurations

CATALOGUE DE FORMATIONS

Offre pour une assurance responsabilité civile professionnelle pour conseillers d entreprises

Assurance perte de gain.

Transcription:

Plus la dépendance d une compagnie envers ses systèmes informatiques est grande, plus le risque qu une erreur dans les processus métiers puisse trouver ses origines dans l informatique est élevé, d où l importance de bien la contrôler. Qu est-ce que le ehealthcheck? Les exigences des législateurs, régulateurs et actionnaires sur la gestion de l entreprise se sont accrues au cours des dernières années, par exemple par l amendement en Suisse du Code des Obligations (CO) en matière de Contrôle Interne des Systèmes (CIS) ainsi que la loi sur la protection des données qui a été récemment modifiée. De plus, les entreprises se trouvent confrontées à une politique de réduction drastique des coûts. Connaissez-vous les risques liés à l informatique de votre entreprise? Est-ce que toutes les recommandations en matière de sécurité ont été implantées? Les exigences légales en matière de protection des données ont-elles été correctement mises en œuvre? Vos processus informatiques internes sont-ils suffisamment robustes pour que les risques éventuels (par ex. panne critiques de l entreprise) demeurent dans le domaine du raisonnable? Est-ce que vos systèmes informatiques supportent de manière appropriée vos objectifs métiers? Et finalement, connaissez-vous les coûts actuels et futurs liés à votre informatique? Si vous avez répondu par «non» ou par «je ne sais pas» à une ou plusieurs des questions précédentes, alors vous avez certainement besoin d un audit indépendant de votre informatique qui prenne en considération les caractéristiques et les besoins spécifiques à votre industrie. Ce contrôle vous donnera des indications précises sur les changements à apporter ou vous confortera dans vos efforts de contrôle des systèmes informatiques. Afin de mettre en avant le potentiel d amélioration ou bien les faiblesses de votre informatique concernant les processus opérationnels et de gestion par rapport aux dispositions légales et les recommandations liées à la branche, nous vous proposons le ehealthcheck. Une description plus appropriée de ce dernier serait «check-up de vos systèmes informatiques». Le ehealthcheck a été conçu en se basant sur des standards internationaux tels que Co b it et ISO 27002, sur les exigences légales actuelles (par exemple la loi sur la protection des données) et sur les nombreuses années d expérience accumulée sur différents mandats dans les domaines de la sécurité et de la gouvernance informatique.

www.bprex.ch Structure d un ehealthcheck L ehealthcheck s adapte avec modularité à chaque entreprise et permet une évaluation structurée de l ensemble des systèmes informatiques. Une attention toute particulière est portée à la sûreté des informations et à la protection des données (SIPD) ainsi qu à la gouvernance IT (gestion de l informatique).tous les aspects de l informatique sont examinés. La protection des données met au premier plan l individu, la personne, le client, le collaborateur, le patient en d autres termes, les stakeholders d une entreprise - alors que la sécurité de l information prend en charge en premier lieu l intégrité de l information, sa sécurité physique et logique et sa disponibilité. Bien que ces disciplines soient étroitement liées, elles revêtent cependant une signification différente et sont plus ou moins pondérées selon la branche. Projets Développement de logiciels Tests d applications Sécurité technique informatique Gestion de projet Organisation de l informatique Gouvernance informatique informatiques Gestion des risques Gestion Complaisance Externalisation Sécurité Sécurité physique Protection des accès Directives d utilisation Formation des utilisateurs Contrôles assistés Figure1 : les domaines spécifiques à l informatique Sécurité de l'information Sécurisation des données Gestion de l'informatique Protection des données Figure2 : les trois questions interdépendantes concernant la sécurité informatique Contrôles directs Applications Facturation Exploitation informatique Documentation relative à l informatique Gestion des problèmes Exploitation Figure 3: le modèle de couches à quatre niveaux Le ehealthcheck passe au banc d essai le modèle à quatre couches, modèle pour lequel chacune des couches représente un type de processus et de ressource: Nous trouvons dans la couche supérieure (bleue) tous les processus d affaires (manuels) essentiels normalement répartis selon les secteurs spécialisés compétents, les sousprocessus et les différentes activités. Nous trouvons dans la seconde couche (rouge) les modules automatisés des processus d affaires, les véritables applications (IT). La majeure partie des cas d affaires est traitée à l aide de telles applications pour pratiquement toutes les entreprises, à l exception peut-être des véritables petites PME. Nous trouvons dans la troisième couche (jaune) les systèmes informatiques de

base. Ce thème englobe une multitude de plates-formes possibles sur lesquelles les véritables applications de la seconde couche fonctionnent. Les exemples ce concernant sont les systèmes de gestion des banques de données (p.ex. SQL, Oracle), les composants de base intégrées (p.ex. base SAP) ou également les systèmes de traitement plutôt techniques (p.ex. Middleware). La couche (verte) inférieure comprend l infrastructure informatique. Cette couche englobe essentiellement le matériel informatique (p.ex. les serveurs) ainsi que les éléments de réseau et les systèmes techniques de surveillance correspondants. Cette procédure standardisée permet de réaliser un examen de «l état de santé» de toute la structure informatique, au même titre qu un check-up médical général chez le médecin de famille, de comparer cet état de santé à un objectif SCI élaboré en commun (cf. figure 4) et d en protocoler les résultats dans un rapport standardisé. Organisation de l informatique Tests d applications Gouvernance informatique Déroulement du ehealthcheck L analyse et l évaluation se font en deux phases sous la forme d entrevues avec les responsables issus de la direction de l entreprise, du service informatique et des services spécialisés, ainsi que sur la base de la documentation d entreprise disponible, éventuellement complétée par des données approfondies collectées par tirage au sort. Phase I: Objectif SCI basé sur un objectif de protection de base à la branche (cf. Figure 4) est déterminé dans le cadre d un entretien d une heure. Phase II: l examen en coupe effectif, la collecte des données de l état réel et le comparatif avec le profil SCI objectivé élaboré en commun, sont réalisés dans une dimension temporelle et en fonction de la taille et de la complexité de l entreprise. Figure 4: profil SCI objectivé basé sur un profil de protection de base et du processus d affaires ainsi que sur les exigences particulières spécifiques à l entreprise Développement de logiciels Gestion des risques informatiques Gestion de projet informatique Complaisance Sécurité technique Externalisation Sécurité physique Exploitation informatique Protection des accès Documentation relative à l informatique Directives d utilisation Gestion des problèmes Formation des utilisateurs Sécurisation des données Contrôles assistés Contrôles directs Facturation Profil de la protection de base Profil du processus d affaires Exigences spécifiques

www.bprex.ch Phase I: simulation du profil SCI objectivé spécifique à l entreprise au sein de l informatique En comparant l état objectivé à l état réel, on se pose rapidement la question de savoir si les écarts constatés résultent de l état objectivé en raison d exigences trop élevées, ou plutôt de l insuffisance de l état réel. Il importe donc d autant plus de réaliser non seulement un état réel avec professionnalisme, mais de fixer avec le même professionnalisme la «barre» de l état objectivé sur la base de critères objectifs. risques informatiques avec ses 91 contrôles informatiques condensés en 20 domaines thématiques généraux. Selon la taille de l entreprise et le degré d assurance souhaité, la charge totale nécessaire est de 5 à 25 jours d effectifs, y compris l établissement du rapport écrit. Examens approfondis L examen en coupe ou la définition du profil SCI objectivé permet de savoir si des examens approfondis sont affichés ou devraient être planifiés. Il en résulta la question absolument déterminante pour la solution de contrôle existante qui est de savoir à quoi devrait ressembler un profil SCI objectivé pour une entreprise déterminée dans une branche déterminée et avec des processus d affaires déterminés. Le modèle de simulation du ehealthcheck permet, dans le cadre d un entretien d ouverture avec la direction du secteur examiné, de définir en un temps record un profil objectivé minimal spécifique à l entreprise et à la branche. Cela a pour conséquence une augmentation conséquente de l acceptation des mesures de contrôle en découlant et des états réels insuffisants éventuels. En outre, nous définissons dans tous les cas à l aide de la simulation SCI les examens approfondis (cf. figure 5) dès le premier entretien avec le donneur d ordre. Phase II: le véritable examen en coupe Un véritable examen en coupe de l informatique est réalisé sur la base de la trame déjà utilisée pour l évaluation des Profondeur de la mesure Secteurs d'audit Figure 5: positionnement du ehealthcheck, secteurs d audit et profondeurs de la mesure Contrôles standards et examens approfondis Le profil SCI objectivé défini constitue une base essentielle pour prendre cette décision: l un ou l autre des examens approfondis s impose, selon le type de rayon de l organigramme en étoile qui nécessite une maturité impérativement élevée. Les thèmes «classiques» tels que la protection des accès, la gestion des changements de logiciels, l exploitation informatique, etc. reviennent fréquemment - mais il peut également être question des thèmes auxquels on aurait à peine pensés sans une simulation de la SCI (informatique) et donc que l on aurait pas examinés plus en détail.

Résultats du ehealthcheck Description de l état réel, des risques et du besoin d action Les résultats du ehealthcheck sont résumés dans un rapport écrit qui présente, outre l état réel déterminé, également les risques détectés ainsi que les recommandations correspondantes. Cela permet une sélection ciblée des principaux thèmes afin de procéder à des mesures d amélioration ciblées et/ou à des examens plus approfondis. Résumé des résultats du ehealthcheck Développement de logiciels Gestion de projet informatique Sécurité technique Sécurité physique Protection des accès Directives d utilisation Formation des utilisateurs Tests d applications Contrôles assistés Organisation de l informatique Contrôles directs Gouvernance informatique Facturation Figure 7: comparaison du profil SCI objectivé et du profil SCI réel dans le diagramme en étoile Gestion des risques informatiques Complaisance Externalisation Exploitation informatique Documentation relative à l informatiq Gestion des problèmes Sécurisation des données Profil réel Profil objectivé La collecte systématique des données à l aide d un questionnaire de plus de 90 questions, leur évaluation dans un modèle de maturité à 4 niveaux avec des exigences individuelles spécifiques pour chaque question ainsi que leur condensation dans les 20 thèmes susmentionnés par nos spécialistes confirmés, procurent un aperçu de qualité sur tous les indicateurs-clés et ainsi sur les risques inhérents aux principaux secteurs de l informatique. Figure 6: extrait d un exemple de rapport Outre l état réel défini et l aperçu global de la maturité, le rapport écrit montre les risques reconnaissables ainsi que les recommandations y afférant. Cela permet une sélection priorisée des principaux thèmes afin de procéder à des mesures d amélioration ciblées et/ou à des examens plus approfondis. En outre, les principaux constats observés en termes de sécurité de l information, de la protection des données et de la gouvernance informatique (gestion de l informatique) sont résumés dans un Management Summary.

www.bprex.ch Organisation et coûts Le planning ainsi que les coûts d un ehealth- Check dépendent de l étendue de l examen définie et de la taille de l entreprise. Estimation des coûts et budget Les dépenses liées aux services d analyse indiqués dépendent des nombreux facteurs à identifier au début d un audit, lesquels peuvent entre autres résulter de la méthode et de la planification détaillée élaborée après l attribution du mandat. La charge totale sans examens approfondis éventuels s étend généralement de 5 à 25 jours et se répartit comme suit: Planification détaillée Collecte et étude de la documentation existante Réalisation des entretiens Détermination du profil SCI objectivé Examen en coupe ; collectes de données sur la maturité des processus Etablissement du rapport final Présentation finale Compléments judicieux Examens approfondis sélectionnés

Valeur ajoutée apportée par un ehealthcheck Le résultat du modèle d audit présenté (ehealthcheck) livre de précieuses informations et constatations pour les divers chargés de fonction de l entreprise. Un ehealthcheck apporte au conseil d administration et à la direction d entreprise la certitude: que l informatique répond bien aux exigences légales et régulatoires en termes de protection, de sécurité et d intégrité des données ; si l informatique représente déjà une base solide pour l assistance actuelle et future de la stratégie d entreprise et indiqueles éventuelles améliorations requises ; que les risques de l environnement informatique sont connus et adressés en conséquence. Le ehealthcheck indique au responsable informatique et au service de gestion des risques: quel est le degré de qualité (réel) des processus informatiques ; si les risques inhérents à l informatique sont connus et gérés ; dans quels domaines les exigences objectivées et l état réel divergent (et dans quelle mesure) ; où il existe un potentiel de standardisation et d externalisation. Pour l organisme d audit interne ou externe, le ehealthcheck est: la méthode idéale pour l évaluation de la SCI au sein de l environnement informatique ; l examen en coupe systématique, standardisé et indépendant du système informatique global ; le moyen adéquat pour déterminer les forces et les faiblesses de l informatique et du potentiel de risque ; une assistance dans la détermination des examens approfondis préalables et consécutifs de l informatique à des fins d amélioration sélective des contrôles informatiques. Les chargés de fonction susmentionnés apprécient la possibilité unique que leur apporte le ehealthcheck de pouvoir déterminer le degré de maturité de la SCI informatique nécessaire en fonction de la branche, de l activité de l entreprise et des exigences supplémentaires. Un comparatif objectivé/réel objectif est ainsi obtenu. Les informations et les constatations résultant du ehealthcheck sont acceptées par toutes les parties concernées et mises à profit en servant de base à d éventuelles mesures d optimisation. b prex group ag Stampfenbachstr. 40 8006 Zürich Tel +41 44 444 11 04 Fax +41 44 444 11 02 contact@bprex.ch www.bprex.ch

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back