Audit Systemes Informatiques.pdf

(2413 KB) Pobierz
2265U08 – Audit Systèmes Informatiques
M. Jérôme BRZEZINSKI
Management Global – Gestion et Informatique
Formation à l’audit informatique
- Synopsis
Organisation des cours d’audit informatique
1/ Introduction – 11 janvier 2007
La notion de risque
Les types de risque
Le management des risques
Les risques liés aux systèmes d’information
Impact sur la démarche générale
2/ Revue générale informatique – 18 janvier 2007
La politique informatique
L’organisation et les équipes du service informatique
La configuration matérielle et réseau
La cartographie applicative
Les contrôles généraux informatiques
La gestion de la sécurité informatique
La gestion des changements informatiques
Le développement informatique
L’exploitation informatique
Exemples
3/ Revue d’applications informatique – 25 janvier 2007
Historique et insertion de l’application dans l’architecture globale
Couverture fonctionnelle & dysfonctionnements
Schéma des traitements et matrice de contrôle
Identification des risques
Approfondissement des risques identifiés
Analyse des aspects « qualitatifs »
4/ Test informatiques – 1
er
février 2007
Avantages des tests informatiques
Situations amenant à procéder à des test informatiques
Typologie des tests informatiques
Démarche dans le cadre d’une mission CAC
Les facteurs de réussite
Présentation de l’outil « IDEA »
5/ Audit de la sécurité informatique – 8 février 2007
Etat des lieux
Continuité de service
Confidentialité des informations et risques de fraude
Risques d’erreur et de dysfonctionnement
Méthode MARION
1
6/ Contrôle interne / SOX – 22 février 2007
Contexte
Démarche SOX
Dimension Systèmes d’information
Cas des processus externalisés
7/ Audit en environnement ERP – 15 février 2007
Impacts des ERP sur les risques liés au SI
L’approche spécifique d’audit des ERP
Exemple de flux SAP
La fraude et les méthodes de prévention de détection
8/ Examen – 8 mars 2007
Questionnaire à choix multiple de type CISA
Introduction
Notion de risque
Définition
Risque
« Danger, inconvénient plus ou moins probable auquel on est exposé. » (Larousse)
Les implications directes
Risque pour qui ?
Rq : en fonction de l’activité (ex : industries, banques, etc.) et de la taille (ex :
régionale, nationale, internationale) des entreprises, les risques ne sont pas les mêmes.
Importance relative / impact ?
Probabilité d’occurrence ?
Les concepts associés
Risque
Fonction de la menace et de la vulnérabilité
Caractérisé par une probabilité et un impact
Un peu d’histoire
De la perception de l’avenir…
Jusqu’à l’époque de la Renaissance, l’avenir est entre les mains d’une force
supérieure, et l’homme agit dans une perspective d’éternité ;
La notion de « Progrès » bouleverse le rapport au temps : le présent est dorénavant
occupé à construire l’avenir
…A la perspective du risque
La théorie des probabilités date du milieu du XVII
ème
siècle (Pascal / Fermat) ;
2
En cinquante ans, les bases de la probabilité du risque sont posées, entraînant
l’émergence des métiers de la finance, de l’assurance, etc. ;
La dernière pierre est posée au XX
ème
siècle, avec la mesure du retour sur
investissement, ouvrant la voie au « risk management ».
Les types de risque
Multiplicité des risques
Risque pays
Risque de taux
Risque de crédit
Risque de vol
Risque d’approvisionnement
Risque de change
Risque social
Risque environnemental
Risque fiscal
Rq : fraude fiscale
Le risque fiscal est sous-estimé en France.
Risque d’exploitation
Risque de catastrophe
Rq : inondation du 1910 à Paris
Risque stratégique
Risque d’intrusion
Mode de classification
Par type de menace :
Risques de marché
Risque de taux
Risque de change
Risque de crédit
Risque pays
Risques stratégiques
Risque d’image
Risque d’alliance
Concurrence
investisseurs
Risques opérationnels
Risque d’approvisionnement
Risque social
Risque de malveillance
Risque fiscal
Risques de catastrophe
Catastrophes naturelles
Risque juridique catastrophe boursière
Risque terroriste
Par moyen de protection :
3
Risque global
Risque acceptable
Risque social
Risque fiscal
Risque couvrable
Risque de taux
Risque de cours
Risque de change
Risque assurable
Risque de vol
Risque de catastrophe
Risque d’exploitation
Risque diversifiable
Risque d’approvisionnement
Risque d’exploitation
La règle du « sur mesure »
Il n’existe pas de classification universelle des risques, pas plus que de système de gestion
prêt à l’emploi
Chaque entreprise se doit de réaliser sa propre classification, en fonction notamment de :
Son secteur d’activité
Sa position concurrentielle
Son organisation
Etc.…
Par propriété pour l’entreprise :
Impact
Plan de secours
Action immédiate
Suivi périodique
Plan d’actions
Probabilité
Rq : « plan de secours » est le plan d’organisation et de réaction prévu en cas du risque
concerné survenu.
Le management des risques
Démarche générale
Stratégie
Définition et qualification des risques
Stratégie d’audit
Evaluation des vulnérabilités
Evaluation de vulnérabilités
Plan d’action
Moyens de protection
Mise en œuvre des moyens de protection
Plan de communication et de formation
Actions de suivi
4
Mesure de la conformité
Plan d’audit
Stratégie de risque
Définition et qualification des risques :
Identifier l’ensemble des risques
Inhérents à l’activité et au secteur
Propres à l’organisation
Etablir une classification (par impact, …)
Obtenir la validation de la Direction Générale
Elaboration de la stratégie d’audit :
concevoir une charte d’audit
attribuer les responsabilités
allouer les ressources
Evaluation des risques
Evaluation des vulnérabilités :
définir les outils et les moyens d’investigation
évaluer les dispositifs en place
détection et prévention
protection
transfert
établir la cartographie du risque résiduel
Conception du plan d’actions :
objectifs claires et mesurables
Rq : plus il est simple, plus il marcherait mieux.
responsabilités et moyens identifiés
Rq : avant tout (càd les moyens de sécurités), la gestion des risques est une mise en place
d’une politique de démarches de contrôle.
Mise en œuvre
Mise en œuvre opérationnelle :
conception et déploiement des solutions
mode projet incluant les opérationnels
mesure d’efficacité
respect des moyens alloués
intégration dans les processus existant
Communication et formation :
diffuser les référentiels
Rq : « comment on mesure et classer les risques ? »
intégrer la gestion du risque dans les objectifs individuels
Système d’assurance
Mesurer la conformité :
suivi de la réalisation du plan d’actions
tableau de bord de la gestion des risques
Etablir le programme d’audit :
revue périodique des vulnérabilités
5

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin