Méthodologies d'audit : CobiT. Cours Audit des Systèmes d Information Prof. Jacky Akoka

Documents pareils
Table des matières. Partie I CobiT et la gouvernance TI

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT une expérience pratique

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

Modèle Cobit

COBIT (v4.1) INTRODUCTION COBIT

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

L'AUDIT DES SYSTEMES D'INFORMATION

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n

Le COBIT : L état de l Art

THEORIE ET CAS PRATIQUES

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Connaître les Menaces d Insécurité du Système d Information

Sommaire. Problématique client et gains attendus Réponse IBM à la problématique du client Démarche de mise en œuvre Les leçons du projet

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ISO/CEI 27001:2005 ISMS -Information Security Management System

Panorama général des normes et outils d audit. François VERGEZ AFAI

curité des TI : Comment accroître votre niveau de curité

SEMINAIRES SPECIFIQUES

Information Technology Services - Learning & Certification.

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

JOURNÉE THÉMATIQUE SUR LES RISQUES

D ITIL à D ISO 20000, une démarche complémentaire

Le management des risques de l entreprise Cadre de Référence. Synthèse

La gouvernance au cœur de la Transformation des systèmes d information Renault

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Vector Security Consulting S.A

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

1. La sécurité applicative

Catalogue de services standard Référence : CAT-SERVICES-2010-A

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. étude marketing, expérience utilisateur, ergonomie audit statistique des performances.

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

ITIL : Premiers Contacts

ABIDJAN YOPOUGON RESIDENTIEL Immeuble EDUFOR

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Catalogue des formations 2013

Gestion de parc et qualité de service

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

ITIL v3. La clé d une gestion réussie des services informatiques

LA PROTECTION DES DONNÉES

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

Groupe de travail ITIL - Synthèse 2011

Historique des normes et des règlements encadrant les contrôles internes

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

ISO la norme de la sécurité de l'information

ITIL Examen Fondation

SYNTHESE D INSPECTIONS

Atelier " Gestion des Configurations et CMDB "

Introduction Fabrice Pesin, Secrétaire général adjoint de l ACP

Circuit du médicament informatisé

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

C H A P I T R E. Contrôles généraux des technologies de l information

Programme de formation " ITIL Foundation "

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. étude marketing, expérience utilisateur, ergonomie étude concurrentielle. principes.

HSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT. 8 modules de management intégrés.

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Les conséquences de Bâle II pour la sécurité informatique

Introduction à ITIL V3. et au cycle de vie des services

Catalogue de Formations

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Auditer son environnement Telecom Un des fondements du projet TEM

Guide de labellisation

RESULTATS DES TRAVAUX DU GROUPE DE PLACE ETABLI SOUS L EGIDE DE L AMF. Le dispositif de Contrôle Interne : Cadre de référence

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Continuité de Service. Maîtrise de l Energie

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Systèmes et réseaux d information et de communication

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

TABLEAU DE BORD DES REFORMES PAR PRIORITE

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

INVETISSEMENTS, PRODUCTION, COMMERCIALISATION, EXPORTATION: FACILITES & CONTRAINTES. CAS DU GROUPE FALY EXPORT

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

Fiche conseil n 16 Audit

ITIL V2. Historique et présentation générale

Politique de Sécurité des Systèmes d Information

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

Prestations d audit et de conseil 2015

L offre de services, reflet de la transformation de la DSI

Nouveauté à découvrir pour la suisse: Dolibarr, le logiciel ERP/CRM compact accessible aux PME

CATALOGUE DE FORMATIONS

Améliorer l efficacité de votre fonction RH

Procédure interne / Usage / Formation ITIL ( BIBLIOTHÈQUE D INFRASTRUCTURE DES TECHNOLOGIES DE L INFORMATION )

CHAPITRE 2 : LES DOSSIERS THEMATIQUES 81

Chapitre 9. CobiT fédérateur

Estimer et mesurer la performance des projets agiles avec les points de fonction

DEMANDE D'AUTORISATION D'EXPLOITATION D'UNE INSTALLATION DE STOCKAGE DE DÉCHETS INERTES. Au titre de l'article L du Code de l'environnement

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Expert en Acoustique et en Vibration

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

ALDEA ET SYSTEMES D INFORMATION

DATE D'APPLICATION Octobre 2008

Offering de sécurité technologique Sécurité des systèmes d'information

Transcription:

Méthodologies d'audit : CobiT Cours Audit des Systèmes d Information Prof. Jacky Akoka

Mission Rechercher et promouvoir un ensemble d objectifs de contrôle en technologies de l information.

Objectifs Bonnes pratiques applicables au contrôle des SI A partir d un référentiel de contrôle des IT Tourné vers le management

Un langage commun au sein des organisations Le Management : pour l aider à trouver un équilibre entre le risque et l investissement en contrôles. Les Utilisateurs : pour obtenir des garanties concernant la sécurité et les contrôles de leurs services informatiques. Les Auditeurs des Systèmes d Information : pour justifier leur opinion.

Définitions Le Contrôle se définit comme : Les procédures et les pratiques conçues pour fournir une assurance que les objectifs de l entreprise seront atteints. L Objectif de Contrôle en Informatique se définit comme: L exposé des buts à atteindre par la mise en œuvre des procédures de contrôle dans une activité spécifique.

Standards Standards techniques proposés par ISO, EDIFACT, etc. Codes de conduites définies par le Conseil de l Europe, l OCDE, l ISACA, etc. Critères de qualification des systèmes et processus informatiques : ITSEC, TCSEC, ISO 9000, SPICE, Critères Communs, etc. Standards professionnels en matière d audit et de contrôle interne : COSO, CICA, IFAC, IIA, AICPA, GAO, PCIE, ISACA, etc. Pratiques et règles de l industrie informatique (ISO 17799, ESF, I4) et plates-formes soutenues par les gouvernements (IBAG, NIST, DTI), etc. Exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication des TI

Documents Synthèse Cadre de Référence Objectifs de Contrôle Guide d Audit

Un Cadre de Référence Les Grands Principes (1) Impératifs de l entreprise Processus informatiques Ressources informatiques

Un Cadre de Référence Impératifs de l entreprise : critères liés à l information Impératifs de qualité : Qualité Coût Délai Impératifs économiques et fiduciaires : Efficience et efficacité des opérations Fiabilité de l information Conformité aux lois et à la réglementation Impératifs de sécurité : Confidentialité Intégrité Disponibilité

Un Cadre de Référence Données Ressources Informatiques Applications : manuelles et programmées Technologie : architectures, matériels et logiciels Installations : Ressources qui hébergent les systèmes informatiques Personnel : Compétence, efficacité,

Un Cadre de Référence Les Grands Principes (2) Ce que l on obtient Processus de Gestion Ce dont on a besoin Information Ressources Informatiques : -Données -Applications -Technologies -Installations -Personnel? concordance Critères : -Efficacité -Efficience -Confidentialité -Intégrité -Disponibilité -Conformité -Fiabilité

Un Cadre de Référence Processus Informatiques 4 Domaines Planification et Organisation (PO) 34 Processus Définir un plan informatique stratégique (PO1) 318 Activités 1.1 Intégration des IT au plan à long terme et à court terme 1.2 Plan informatique à long terme 1.3 Approche et structure de la planification à long terme 1.8 Evaluation des systèmes existants

Les Domaines 1. Planification et Organisation 2. Acquisition et Mise en Place 3. Distribution et Support 4. Surveillance

Domaine 1. Planification et Organisation (PO) Stratégie et tactique informatique Contribution aux objectifs de l entreprise Planification, communication et gestion Organisation adéquate et infrastructure technologique

Processus Associés Planification et Organisation PO1 définir un plan informatique stratégique PO2 définir l architecture des informations PO3 déterminer l orientation technologique PO4 définir l organisation et les relations de travail PO5 gérer l investissement en informatique PO6 communiquer les objectifs et les orientations du mgt PO7 gérer les ressources humaines PO8 se conformer aux exigences externes PO9 évaluer les risques PO10 gérer les projets PO11 gérer la qualité

Application: PO1 Définir un plan informatique stratégique

Application: PO1 Définir un plan informatique stratégique 1.1 Intégration des TI au plan à long et à court terme de l entreprise Objectif de contrôle Les plans doivent permettre de s assurer que les TI sont bien alignées sur la mission et les stratégies métiers de l entreprise. 1.2 Plan informatique à long terme Objectif de contrôle Le management doit mettre en œuvre un processus de planification à long terme, adopter une approche formalisée et établir la structure d un plan standard.

Application: PO1 Définir un plan informatique stratégique 1.3 Approche et structure de la planification des TI à long terme Objectif de contrôle Le management des TI doit appliquer une approche structurée en ce qui concerne le processus de planification à long terme. 1.4 Modification du plan informatique à long terme Objectif de contrôle Le management des TI doit s assurer qu un processus est en place pour modifier en temps voulu et de manière adéquate le plan informatique à long terme pour l adapter en fonction des modifications qui interviennent dans le plan à long terme de l entreprise, et des changements des TI.

Application: PO1 Définir un plan informatique stratégique 1.5 Planification informatique à court terme Objectif de contrôle Le management des TI doit s assurer que le plan informatique à long terme est régulièrement traduit en plans informatiques à court terme. 1.6 Communication des plans informatiques Objectif de contrôle Le management doit s assurer que les plans informatiques à court et à long terme sont communiqués aux propriétaires de processus de gestion et aux autres personnes concernées dans l entreprise. 1.7 Surveillance et évaluation des plans informatiques Objectif de contrôle Le management doit mettre en place des processus visant à obtenir des informations concernant la qualité et l utilité des plans à long et à court terme. 1.8 Evaluation des systèmes existants Objectif de contrôle La direction des TI doit évaluer les SI existants en terme de niveau d automatisation, de fonctionnalités, de stabilité, de complexité, de coûts, de forces et de faiblesses dans le but de déterminer dans quelle mesure les systèmes existants supportent les exigences liées aux activités de l entreprise.

Domaine 2. Acquisition et Mise en Place (AMP) Mise en œuvre de la stratégie informatique Identification, développement ou acquisition, mise en place des solutions Intégration des solutions aux processus de gestion Modification et maintenance des systèmes

Processus Associés Acquisition et Mise en Place AMP1 trouver des solutions informatiques AMP2 acquérir et maintenir le logiciel d application AMP3 acquérir et maintenir l architecture technique AMP4 développer et maintenir les procédures informatiques AMP5 installer et valider les systèmes AMP6 gérer les modifications

Domaines 3. Distribution et Support (DS) Fourniture des services nécessaires Sécurité de l exploitation Mise en place des processus de support Traitement des données par les applications

Processus Associés Distribution et Support DS1 définir les niveaux de service DS2 gérer les services assurés par des tiers DS3 gérer la performance et la capacité DS4 assurer un service continu DS5 assurer la sécurité des systèmes DS6 identifier et imputer les coûts DS7 sensibiliser et former les utilisateurs DS8 assister et conseiller les clients DS9 gérer la configuration DS10 gérer les problèmes et les incidents DS11 gérer les données DS12 gérer les installations DS13 gérer l exploitation

Domaine 4. Surveillance (S) Évaluation régulière de tous les processus informatiques Conformité aux exigences de contrôle

Processus Associés Surveillance S1 surveiller les processus S2 évaluer l adéquation du contrôle interne S3 acquérir une assurance indépendante S4 disposer d un audit indépendant

Objectifs de Contrôle Le contrôle des Processus informatiques qui répond aux Impératifs de l entreprise est rendu possible par les Listes de contrôle qui tiennent compte des Pratiques de contrôle 318 objectifs de contrôle basés sur les bonnes pratiques

La Démarche

Guide d Audit Objectifs de l audit : Apporter au management une assurance que les objectifs de contrôle sont atteints Pour toutes les faiblesses importantes détectées, évaluer et justifier les risques, et Proposer des actions correctives

Guide d Audit Principe d Audit d un processus : Acquérir une bonne compréhension des impératifs de l entreprise, des risques qui s y attachent et des mesures de contrôle adéquates Évaluer l adéquation des contrôles définis Vérifier à l aide de tests que les contrôles définis sont conformes, adéquats et permanents Justifier le risque de ne pas atteindre les objectifs de contrôle

Application: PO1 Définir un plan informatique stratégique

Application: PO1 Définir un plan informatique stratégique

Ressources informatiques Guide d Audit Un accès multicritères Critères liés à l information Processus 3 facettes Aides à la navigation

Processus informatiques Guide d Audit Critères liés à l information Domaines Processus Activités

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back