Méthodologies d'audit : CobiT Cours Audit des Systèmes d Information Prof. Jacky Akoka
Mission Rechercher et promouvoir un ensemble d objectifs de contrôle en technologies de l information.
Objectifs Bonnes pratiques applicables au contrôle des SI A partir d un référentiel de contrôle des IT Tourné vers le management
Un langage commun au sein des organisations Le Management : pour l aider à trouver un équilibre entre le risque et l investissement en contrôles. Les Utilisateurs : pour obtenir des garanties concernant la sécurité et les contrôles de leurs services informatiques. Les Auditeurs des Systèmes d Information : pour justifier leur opinion.
Définitions Le Contrôle se définit comme : Les procédures et les pratiques conçues pour fournir une assurance que les objectifs de l entreprise seront atteints. L Objectif de Contrôle en Informatique se définit comme: L exposé des buts à atteindre par la mise en œuvre des procédures de contrôle dans une activité spécifique.
Standards Standards techniques proposés par ISO, EDIFACT, etc. Codes de conduites définies par le Conseil de l Europe, l OCDE, l ISACA, etc. Critères de qualification des systèmes et processus informatiques : ITSEC, TCSEC, ISO 9000, SPICE, Critères Communs, etc. Standards professionnels en matière d audit et de contrôle interne : COSO, CICA, IFAC, IIA, AICPA, GAO, PCIE, ISACA, etc. Pratiques et règles de l industrie informatique (ISO 17799, ESF, I4) et plates-formes soutenues par les gouvernements (IBAG, NIST, DTI), etc. Exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication des TI
Documents Synthèse Cadre de Référence Objectifs de Contrôle Guide d Audit
Un Cadre de Référence Les Grands Principes (1) Impératifs de l entreprise Processus informatiques Ressources informatiques
Un Cadre de Référence Impératifs de l entreprise : critères liés à l information Impératifs de qualité : Qualité Coût Délai Impératifs économiques et fiduciaires : Efficience et efficacité des opérations Fiabilité de l information Conformité aux lois et à la réglementation Impératifs de sécurité : Confidentialité Intégrité Disponibilité
Un Cadre de Référence Données Ressources Informatiques Applications : manuelles et programmées Technologie : architectures, matériels et logiciels Installations : Ressources qui hébergent les systèmes informatiques Personnel : Compétence, efficacité,
Un Cadre de Référence Les Grands Principes (2) Ce que l on obtient Processus de Gestion Ce dont on a besoin Information Ressources Informatiques : -Données -Applications -Technologies -Installations -Personnel? concordance Critères : -Efficacité -Efficience -Confidentialité -Intégrité -Disponibilité -Conformité -Fiabilité
Un Cadre de Référence Processus Informatiques 4 Domaines Planification et Organisation (PO) 34 Processus Définir un plan informatique stratégique (PO1) 318 Activités 1.1 Intégration des IT au plan à long terme et à court terme 1.2 Plan informatique à long terme 1.3 Approche et structure de la planification à long terme 1.8 Evaluation des systèmes existants
Les Domaines 1. Planification et Organisation 2. Acquisition et Mise en Place 3. Distribution et Support 4. Surveillance
Domaine 1. Planification et Organisation (PO) Stratégie et tactique informatique Contribution aux objectifs de l entreprise Planification, communication et gestion Organisation adéquate et infrastructure technologique
Processus Associés Planification et Organisation PO1 définir un plan informatique stratégique PO2 définir l architecture des informations PO3 déterminer l orientation technologique PO4 définir l organisation et les relations de travail PO5 gérer l investissement en informatique PO6 communiquer les objectifs et les orientations du mgt PO7 gérer les ressources humaines PO8 se conformer aux exigences externes PO9 évaluer les risques PO10 gérer les projets PO11 gérer la qualité
Application: PO1 Définir un plan informatique stratégique
Application: PO1 Définir un plan informatique stratégique 1.1 Intégration des TI au plan à long et à court terme de l entreprise Objectif de contrôle Les plans doivent permettre de s assurer que les TI sont bien alignées sur la mission et les stratégies métiers de l entreprise. 1.2 Plan informatique à long terme Objectif de contrôle Le management doit mettre en œuvre un processus de planification à long terme, adopter une approche formalisée et établir la structure d un plan standard.
Application: PO1 Définir un plan informatique stratégique 1.3 Approche et structure de la planification des TI à long terme Objectif de contrôle Le management des TI doit appliquer une approche structurée en ce qui concerne le processus de planification à long terme. 1.4 Modification du plan informatique à long terme Objectif de contrôle Le management des TI doit s assurer qu un processus est en place pour modifier en temps voulu et de manière adéquate le plan informatique à long terme pour l adapter en fonction des modifications qui interviennent dans le plan à long terme de l entreprise, et des changements des TI.
Application: PO1 Définir un plan informatique stratégique 1.5 Planification informatique à court terme Objectif de contrôle Le management des TI doit s assurer que le plan informatique à long terme est régulièrement traduit en plans informatiques à court terme. 1.6 Communication des plans informatiques Objectif de contrôle Le management doit s assurer que les plans informatiques à court et à long terme sont communiqués aux propriétaires de processus de gestion et aux autres personnes concernées dans l entreprise. 1.7 Surveillance et évaluation des plans informatiques Objectif de contrôle Le management doit mettre en place des processus visant à obtenir des informations concernant la qualité et l utilité des plans à long et à court terme. 1.8 Evaluation des systèmes existants Objectif de contrôle La direction des TI doit évaluer les SI existants en terme de niveau d automatisation, de fonctionnalités, de stabilité, de complexité, de coûts, de forces et de faiblesses dans le but de déterminer dans quelle mesure les systèmes existants supportent les exigences liées aux activités de l entreprise.
Domaine 2. Acquisition et Mise en Place (AMP) Mise en œuvre de la stratégie informatique Identification, développement ou acquisition, mise en place des solutions Intégration des solutions aux processus de gestion Modification et maintenance des systèmes
Processus Associés Acquisition et Mise en Place AMP1 trouver des solutions informatiques AMP2 acquérir et maintenir le logiciel d application AMP3 acquérir et maintenir l architecture technique AMP4 développer et maintenir les procédures informatiques AMP5 installer et valider les systèmes AMP6 gérer les modifications
Domaines 3. Distribution et Support (DS) Fourniture des services nécessaires Sécurité de l exploitation Mise en place des processus de support Traitement des données par les applications
Processus Associés Distribution et Support DS1 définir les niveaux de service DS2 gérer les services assurés par des tiers DS3 gérer la performance et la capacité DS4 assurer un service continu DS5 assurer la sécurité des systèmes DS6 identifier et imputer les coûts DS7 sensibiliser et former les utilisateurs DS8 assister et conseiller les clients DS9 gérer la configuration DS10 gérer les problèmes et les incidents DS11 gérer les données DS12 gérer les installations DS13 gérer l exploitation
Domaine 4. Surveillance (S) Évaluation régulière de tous les processus informatiques Conformité aux exigences de contrôle
Processus Associés Surveillance S1 surveiller les processus S2 évaluer l adéquation du contrôle interne S3 acquérir une assurance indépendante S4 disposer d un audit indépendant
Objectifs de Contrôle Le contrôle des Processus informatiques qui répond aux Impératifs de l entreprise est rendu possible par les Listes de contrôle qui tiennent compte des Pratiques de contrôle 318 objectifs de contrôle basés sur les bonnes pratiques
La Démarche
Guide d Audit Objectifs de l audit : Apporter au management une assurance que les objectifs de contrôle sont atteints Pour toutes les faiblesses importantes détectées, évaluer et justifier les risques, et Proposer des actions correctives
Guide d Audit Principe d Audit d un processus : Acquérir une bonne compréhension des impératifs de l entreprise, des risques qui s y attachent et des mesures de contrôle adéquates Évaluer l adéquation des contrôles définis Vérifier à l aide de tests que les contrôles définis sont conformes, adéquats et permanents Justifier le risque de ne pas atteindre les objectifs de contrôle
Application: PO1 Définir un plan informatique stratégique
Application: PO1 Définir un plan informatique stratégique
Ressources informatiques Guide d Audit Un accès multicritères Critères liés à l information Processus 3 facettes Aides à la navigation
Processus informatiques Guide d Audit Critères liés à l information Domaines Processus Activités