2265U08 ? Audit Systèmes Informatiques M. Jérôme BRZEZINSKI ...

2265U08 - Audit Systèmes Informatiques
M. Jérôme BRZEZINSKI Management Global - Gestion et Informatique
Formation à l'audit informatique
- Synopsis Organisation des cours d'audit informatique
1/ Introduction - 11 janvier 2007
. La notion de risque
. Les types de risque
. Le management des risques
. Les risques liés aux systèmes d'information
. Impact sur la démarche générale
2/ Revue générale informatique - 18 janvier 2007
. La politique informatique
. L'organisation et les équipes du service informatique
. La configuration matérielle et réseau
. La cartographie applicative
. Les contrôles généraux informatiques
. La gestion de la sécurité informatique
. La gestion des changements informatiques
. Le développement informatique
. L'exploitation informatique
. Exemples
3/ Revue d'applications informatique - 25 janvier 2007
. Historique et insertion de l'application dans l'architecture globale
. Couverture fonctionnelle & dysfonctionnements
. Schéma des traitements et matrice de contrôle
. Identification des risques
. Approfondissement des risques identifiés
. Analyse des aspects « qualitatifs »
4/ Test informatiques - 1er février 2007
. Avantages des tests informatiques
. Situations amenant à procéder à des test informatiques
. Typologie des tests informatiques
. Démarche dans le cadre d'une mission CAC
. Les facteurs de réussite
. Présentation de l'outil « IDEA »
5/ Audit de la sécurité informatique - 8 février 2007
. Etat des lieux
. Continuité de service
. Confidentialité des informations et risques de fraude
. Risques d'erreur et de dysfonctionnement
. Méthode MARION
6/ Contrôle interne / SOX - 22 février 2007
. Contexte
. Démarche SOX
. Dimension Systèmes d'information
. Cas des processus externalisés
7/ Audit en environnement ERP - 15 février 2007
. Impacts des ERP sur les risques liés au SI
. L'approche spécifique d'audit des ERP
. Exemple de flux SAP
. La fraude et les méthodes de prévention de détection
8/ Examen - 8 mars 2007
. Questionnaire à choix multiple de type CISA
Introduction Notion de risque
Définition
. Risque
« Danger, inconvénient plus ou moins probable auquel on est exposé. »
(Larousse)
. Les implications directes
. Risque pour qui ?
Rq : en fonction de l'activité (ex : industries, banques, etc.) et de
la taille (ex : régionale, nationale, internationale) des entreprises,
les risques ne sont pas les mêmes.
. Importance relative / impact ?
. Probabilité d'occurrence ? Les concepts associés
[pic]
. Risque
. Fonction de la menace et de la vulnérabilité
. Caractérisé par une probabilité et un impact Un peu d'histoire
. De la perception de l'avenir...
. Jusqu'à l'époque de la Renaissance, l'avenir est entre les mains d'une
force supérieure, et l'homme agit dans une perspective d'éternité ;
. La notion de « Progrès » bouleverse le rapport au temps : le présent
est dorénavant occupé à construire l'avenir
. ...A la perspective du risque
. La théorie des probabilités date du milieu du XVIIème siècle (Pascal /
Fermat) ;
. En cinquante ans, les bases de la probabilité du risque sont posées,
entraînant l'émergence des métiers de la finance, de l'assurance,
etc. ;
. La dernière pierre est posée au XXème siècle, avec la mesure du retour
sur investissement, ouvrant la voie au « risk management ». Les types de risque
Multiplicité des risques
. Risque pays
. Risque de taux
. Risque de crédit
. Risque de vol
. Risque d'approvisionnement
. Risque de change
. Risque social
. Risque environnemental
. Risque fiscal
Rq : fraude fiscale
Le risque fiscal est sous-estimé en France.
. Risque d'exploitation
. Risque de catastrophe
Rq : inondation du 1910 à Paris
. Risque stratégique
. Risque d'intrusion Mode de classification
Par type de menace :
. Risques de marché
. Risque de taux
. Risque de change
. Risque de crédit
. Risque pays
. Risques stratégiques
. Risque d'image
. Risque d'alliance
. Concurrence
. investisseurs
. Risques opérationnels
. Risque d'approvisionnement
. Risque social
. Risque de malveillance
. Risque fiscal
. Risques de catastrophe
. Catastrophes naturelles
. Risque juridique catastrophe boursière
. Risque terroriste Par moyen de protection :
Risque global
. Risque acceptable
. Risque social
. Risque fiscal
. Risque couvrable
. Risque de taux
. Risque de cours
. Risque de change
. Risque assurable
. Risque de vol
. Risque de catastrophe
. Risque d'exploitation
. Risque diversifiable
. Risque d'approvisionnement
. Risque d'exploitation La règle du « sur mesure »
. Il n'existe pas de classification universelle des risques, pas plus que
de système de gestion prêt à l'emploi
. Chaque entreprise se doit de réaliser sa propre classification, en
fonction notamment de :
. Son secteur d'activité
. Sa position concurrentielle
. Son organisation
. Etc.... Par propriété pour l'entreprise : [pic]
Rq : « plan de secours » est le plan d'organisation et de réaction prévu en
cas du risque concerné survenu. Le management des risques
Démarche générale
. Stratégie
. Définition et qualification des risques
. Stratégie d'audit
. Evaluation des vulnérabilités
. Evaluation de vulnérabilités
. Plan d'action
. Moyens de protection
. Mise en ?uvre des moyens de protection
. Plan de communication et de formation
. Actions de suivi
. Mesure de la conformité
. Plan d'audit Stratégie de risque
Définition et qualification des risques :
. Identifier l'ensemble des risques
. Inhérents à l'activité et au secteur
. Propres à l'organisation
. Etablir une classification (par impact, ...)
. Obtenir la validation de la Direction Générale
Elaboration de la stratégie d'audit :
. concevoir une charte d'audit
. attribuer les responsabilités
. allouer les ressources Evaluation des risques
Evaluation des vulnérabilités :
. définir les outils et les moyens d'investigation
. évaluer les dispositifs en place
. détection et prévention
. protection
. transfert
. établir la cartographie du risque résiduel
Conception du plan d'actions :
. objectifs claires et mesurables
Rq : plus il est simple, plus il marcherait mieux.
. responsabilités et moyens identifiés
Rq : avant tout (càd les moyens de sécurités), la gestion des risques est
une mise en place d'une politique de démarches de contrôle. Mise en ?uvre
Mise en ?uvre opérationnelle :
. conception et déploiement des solutions
. mode projet incluant les opérationnels
. mesure d'efficacité
. respect des moyens alloués
. intégration dans les processus existant
Communication et formation :
. diffuser les référentiels
Rq : « comment on mesure et classer les risques ? »
. intégrer la gestion du risque dans les objectifs individuels Système d'assurance
Mesurer la conformité :
. suivi de la réalisation du plan d'actions
. tableau de bord de la gestion des risques
Etablir le programme d'audit :
. revue périodique des vulnérabilités
. contrôles spécifiques
Pérenniser la démarche :
. industrialiser les outils
. maintenir la communication interne Vers une vision dynamique
Evolution des enjeux et objectifs de l'entreprise :
. amélioration de la performance
. modification des contraintes réglementaires
. apparition de nouveaux concepts :
. développement durable
Rq : « social », « environnemental » et « économique »
. éthique
. recours aux nouvelles technologies
. étendue du champ de certification Trois cycles de gestion des risques :
[pic]
Rq : les systèmes ont une auto-évaluation et remontent les informations à
travers le système de management des risques qui fait la synthèse. La position des organisations
Le « business model » de l'entreprise
. Processus de l'exécutif : stratégie, organisation, pilotage, ...
. Processus opérationnels : production, achat, vente, ...
. Processus support :
. Gestion comptable et financière
. Gestion des ressources humaines
. Système d'information
. Fonction juridique
[pic]
Rq : en fonction de leurs niveaux différents, on communique sur de
différents termes. Les structures de gestion des risques
. Niveau 1 : responsabilité implicite
. va de paire avec la fonction
. absence de processus de suivi
. Niveau 2 : responsabilité définie
. délégation formelle
. intégration à l'organigramme
. Niveau 3 : responsabilité globale
. Comité ou direction des Risques
. Risk Manager
. tendances :
. gestion du risque liée aux contraintes réglementaires (organismes de
crédit)
. notion de gestion intégrée :
< responsabilité transversale
< optimisation des polices d'assurance
Rq : il faut intégrer tout cela dans les pratiques quotidiennes.
. évolutions des pratiques liées au gouvernement d'entreprise
. communication externe sur la gestion des risques Les risques liés au système d'information
Des risques à la hauteur des enjeux
Définition de la notion de systèmes d'information Le systèmes d'Information : une fonction transversale
. participe à tous les processus de l'entreprise
. reflet de la stratégie
... à hauts risques
. évolution des technologies
. ouverture sur l'extérieur / image
. risques inhérents [pic]
. Coût des pertes supérieur à 2 milliards d'E
. Progression forte de la malveillance au cours des dix dernière années Les types de risques
En utilisant les projets à la mise en conformité des contraintes
externes... :
. Fraude
. Malveillance
. Contrôle interne
. Légal
. Continuité
...on cherche de plus une performance meilleure :
. Maîtrise
. Coûts
. Efficac