1 / 25

SIE 2

SIE 2. 1 – RAO 2 – Rapports et mémentos. Revue informatique. R evue A ssistée par l’ O rdinateur R evue à Travers l’ O rdinateur Contraintes Outils. RAO. Elle revêt 2 formes

Download Presentation

SIE 2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. SIE 2 1 – RAO 2 – Rapports et mémentos

  2. Revue informatique • Revue Assistée par l’Ordinateur • Revue à Travers l’Ordinateur • Contraintes • Outils

  3. RAO • Elle revêt 2 formes • Celle de l’usage de logiciels prédéfinis (tels que des outils de cartographie réseau, des outils de Reverse Ingénierie, etc.) • Celle de l’accès direct par l’auditeur pour des analyses ponctuelles soit sur le système, soit sur des logiciels : • Requêtes sur base de données • Contrôle des procédures informatisées • Analyse de fichier • Analyse de configuration • Etc. • Son objectif est de fournir des informations techniques et quantitatives.

  4. Problématique documentaire • Les RAO posent les problèmes de la récupération des données et de leur contrôle. • Toute analyse de données doit poser les questions suivantes : • Quelle destination (échange) et quel usage (support, durée de vie, finalité) ? • Quelle modalité de récupération (modalité d’accès, formalisme, droits d’usage, etc.) ? • Quelle modalité d’exploitation (support matériel, support logiciel, accessibilité) ? • Quels contrôles (intégrité, croisement, circuit, validité, sécurité, format, etc.) ?

  5. Problématique technique • La RAO doit obligatoirement être traitée sur 2 niveaux : • L’informatique est un outil : • La RAO par sa rapidité va permettre de trouver plus facilement et de valider des points clefs de l’audit • La RAO par son formalisme va permettre une mise en forme plus aisée des résultats contrôlés et leur analyse plus poussée (statistiques, croisement, etc.) • L’informatique est un objet de l’audit : • La RAO doit s’accompagner de mesures de contrôle (fiabilité, certification, etc.) d’une part de l’outil utilisé mais aussi des méthodes et logiciels  RISQUES liés aux erreurs de conception et de manipulation • La RAO doit obligatoirement être traitée en mode REDONDANT (certitude de …)

  6. Outils : exemple cartographie • Analyse et surveillance d’évènements • Cartographie ordinateurs, périphériques, connections, etc. • Statistiques et analyses de données sur évènements quantifiés, • etc.

  7. Outils : Exemple de reverse engineering • Analyse et modélisation de classe, de package, de composants, … • Analyse de code source, • Analyse de base de données, • Etc.

  8. Exemple de Reverse Engineering IBM http://www.research.ibm.com/journal/sj/372/aiken.html

  9. Exemple reverse engineering de source java ou c++ ou c# avec Altova http://www.altova.com/features_reverse_engineer.html

  10. Exemple avec Oracle http://www.oracle.com/technology/products/jdev/info/techwp20/wp.html

  11. Exemple multibase avec DBVisualiszer http://www.emediawire.com/releases/2005/1/prweb196421.htm

  12. Exemple d’outils d’audit (Scoqi) http://www.scoqi.com/logiciel-qualite-ISO-9001/gestion-audits-qualite/reseau.php

  13. Audit réseau Synexsys http://www.synexsys.ch/network/index.htm

  14. Exemples de logiciels simples pour audit par RAO • Ces logiciels sont facilement téléchargeables pour exemple sur le Web • Audit Management System • EZ Audit • Network Inventory, Permissions Audit • WinReporter • Nmap et Nessus • Syslog, Eventlog, Monitoring, Connector de HDC • Etc.

  15. SIE 2 Rapport de mission Rapport final, intermédiaire et mémento

  16. Rapports et mémentos • Phase finale de la mission • Revêt plusieurs formes complémentaires • Document écrit qui a triple utilité • Formaliser le travail réalisé • Aider l’entreprise à corriger ses faiblesses • Evaluer la réussite de la mission • Privé ou public suivant les cas

  17. Rapport d’Audit • Destinataires • Demandeurs • Personnels audités (pour tout ou partie) • Personnels concernés par l’audit (pour tout ou partie) • Auditeurs et/ou conseils concernés par l’audit (pour tout ou partie) • Formalisme • Rapport écrit reproductible ou déjà reproduit • Présentation • Présenté avec cycle de correction • Nécessite l’implication des acteurs • Nécessite l’implication des décideurs

  18. Mission Détail mission et demandeurs Objectifs Contrainte Moyens mis en œuvre Outils Outils & méthodes utilisés Règles de présentation Lexique Symbolique et normes Existant Contexte et entreprise Système informatique BBK (SI BESOIN UNIQUEMENT) Règles et critères Acteurs et thèmes Priorités, validations, etc. Liste des BBK par Services / acteurs Thèmes Priorités FRAP (principales ou complètes) Par causalité Par dépendance Par niveau d’impact Recommandations globales Suite et suivi à engager … Principe de contenu d’un rapport 1Présentation 2Résultats

  19. Domaine Terme : « Problème » Faits (constats) Causes et preuves Conséquences et impacts Préconisations Références Date Établie par Validée par Thème (Chapitre) N° de sous-chapitre Faits (constats) Causes et preuves Conséquences et impacts Recommandations Préconisations Acteurs devant appliquer Acteurs devant gérer au Rapport Des FRAP

  20. Acteurs internes Audités Impliqués Mis en cause Recommandés Acteurs externes Audités Impliqués Mis en cause Recommandés Décideurs Groupe projet Groupe pilote Direction / demandeurs Conséquences Écarts audités / non audités Hiérarchie et responsabilité Problèmes sociaux et humains Critères Conséquences Accords et relations Contrats et liens dépendances Preuves et retours Preuves et références Conséquences Validation et action Validation et décision Validation et quitus Problématique humaine

  21. RECHERCHE ET DEFINITION D'UN NIVEAU DE CONFIANCE POINTS FORTS POINTS FAIBLES • Confirmés ou prouvés • Permanents (durée de validé) • Portée et impact analysés sur l'ensemble du système • Recommandations de : • Corrections et améliorations immédiates • Corrections et améliorations différées • Mises en places d'indicateurs et outils : • permanents de vérification et validation • ponctuels de vérification et confirmation Mise en œuvre des rapports DEFINITION DE NIVEAUX DE PRIORITE ET D'URGENCE

  22. MEMORANDUM Rapport intermédiaire Concerne uniquement un domaine, site, service, … un objectif une phase d'étude une activité Dossier privé pour Les demandeurs Les personnes concernées Doit faire l'objet de validation complémentaire par l'auditeur reconnaissance par les personnes concernées RAPPORT FINAL Rapport complet intégrant tout ou partie des mémorandums Concerne la totalité de la Mission (LM + objectifs connexes) Présente des Propositions globales et une synthèse Dossier public généralement (sauf spécification contraire dans la LM) Validé par les auditeurs et reconnu par les demandeurs Mémo intermédiaires et Rapports

  23. Rappel des objectifs Cadre de travail Objectifs de la mission Origine de la mission Impacts attendus Etude de l’existant Organisation Information Circuits et Formes d’Info Traitements Contrôles (type, forme, fréquence) Pérennité & confidentialité Volumes Projets actuels et futurs Outils de contrôles Principalement les absents Points d’alerte Type et forme Validité et absence BBK constatés Classement des BBK TFf Famille / Thème Interdépendance Urgence / Objectif Impacts des BBK Préconisation Synthèse Plan de mémento interne

  24. Interviews, etc. Etude et Phases d’Audit transmis Projet de Rapport Remarques et corrections Rapport corrigé et vérifié Echange Rapport final Diffusion si rapport public Cycle des rapports : principe Services audités Demandeur de la Mission

  25. Cycle des rapports : phases • 5 grandes phases : • Audit • Rapport préalable et mémos • Rapport initial • Rapport validé • Rapport diffusé

More Related