1 / 32

Audit, étude & analyse des systèmes d’informations

Audit, étude & analyse des systèmes d’informations. Audit & étude SI - Analyse SI Organisation et conception SI. L’entreprise, c’est …. Un ensemble de produits et services mis sur le marché pour réaliser, à la base un ensemble de profits pour les actionnaires et investisseurs ….

dannon
Download Presentation

Audit, étude & analyse des systèmes d’informations

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Audit, étude & analysedes systèmes d’informations Audit & étude SI - Analyse SI Organisation et conception SI

  2. L’entreprise, c’est … Un ensemble de produits et services mis sur le marché pour réaliser, à la base un ensemble de profits pour les actionnaires et investisseurs …

  3. Étude de marché Marketing Achats Production Logistique Ventes Suivi client Management Qualité Finances RH L’entreprise, c’est … Il faut, pour cela, un ensemble de chaînes de valeur :

  4. L’entreprise, c’est Mais aussi un ensemble de systèmes dont principalement • Système de production • Système d’information • Système de communication • Etc.

  5. L’entreprise, c’est • Une nécessité permanente d’évoluer et de s’adapter : • Au marché, • Aux nouvelles techniques de productique et production par exemple, • Aux nouvelles méthodes et normes, • Aux changements de législation et d’environnement, • Aux évolutions de la société (problématique de l’éthique par exemple) et des mentalités, • Aux nouvelles technologies (et pas seulement en informatique), • A l’évolution des autres entreprises (partenaires comme concurrents, clients comme fournisseurs), • A la situation conjoncturelle, • Etc.

  6. Système et entreprises … • Qui dit systèmes et outils, qui dit financier et RH, qui dit évolution, dit aussi : RISQUES • Risques financiers • Risques techniques • Risques humains • Risques et catastrophes naturels • Risques informatifs … & Risques informatiques …

  7. Environnement actuel • L’informatique est un outil qui subit de profondes mutations et génère une problématique particulière dans l’entreprise : • Évolution permanente  dégradation, • Usage en back-office  front-office  stratégiqueoutil vital de pilotage d’entreprise • Fragilité générale  outil à risque : • En 1996, les pertes (directes ou indirectes) liées à l’informatique étaient estimées à plus de 3 Md’€ en France; en 2000, on a estimé qu’elles avaient pratiquement triplé … • La démocratisation de l’informatique puis de l’Internet ont ouvert une brèche médiatique sur le monde de l’Informatique et de ses risques

  8. Un « BOUM » catastrophique+140 % d’impact ! Les mêmes en 2001 et 2002 Seules 40 % des entreprises déclarent avoir subi des sinistres … Les 60 % restants pêchent souvent par ignorance (absence de détection des incidents).

  9. Risques et contrôle de risques • Le risque informatique s'applique à 3 domaines : • risque direct dû à l'informatique (pannes, vols, pertes, erreurs, etc. ) • risque induit (perte d'image de marque, perte de qualité, perte de clientèle, perte financière, perte de stock, etc. ) • risque généré (utilisation de l'informatique pour détourner, voler, escroquer, rançonner, etc.) • Il est nécessaire de le contrôler au même titre que toutes les autres activités

  10. Usage de connexion externe • Évolution en 2001 et 2002 des comportements des entreprises et des outils en terme de connexion externe. • Les plus fortes hausses depuis 1999 : • Accès au Web • Messagerie généralisée

  11. Encore très peu de sécurité de base sur les réseaux ouverts à l’extérieur Moyens de sécurité

  12. Encore très peude plan de réactionet de secours en casd’alerte ou d’incident Plans et procédures de secours

  13. Réalité et perception … 87,3 % des sinistres 69% des "croyances" 9,7 % des sinistres 77% des croyances

  14. Face à ces constats …

  15. Réactions et actions • Action sécuritaire : • Sensibiliser, former, informer • Mettre en œuvre des outils et procédures • Action techniques et logistiques • Assurer une démarche complète d’étude • Assurer une démarche complète de recettes • Assurer une démarche complète de suivi • Assurer une démarche complète maîtrise d’œuvre • Action d’analyse et de suivi • Audit initial, audit régulier (interne / externe) • Indicateurs et tableau de bord • Organiser • Schéma directeur – Plan informatique • CdC – Appel d’offre – Assurance • Équipe et personnel

  16. 1 Étude du système existant Phases de contrôle, d’audit de recensement 2 Étude de solutions Phases d’audit et de conseil, prescription 3 Mise en œuvre Recherche, sélection, maîtrise d’œuvre et d’ouvrage 4 Maintenance Suivi, maintenance, audit régulier, évolution planifiée. Nécessité …

  17. Étape 1 : Auditer …

  18. Rôle premier de l'Audit L'audit a pour fonction principale le contrôle du SYSTEME étudiéqu'il s'agisse de son fonctionnement ou de ses outils de fonctionnement Par là, il a pour but de réduire les écarts et risques ou au moins de les signaler et de proposer des solutions ...

  19. Notion d'Audit • Nom Masculin : UN AUDIT • Mission / Procédureconsistant à : • s'assurer du caractère COMPLET, SINCERE et REGULIER des Comptes d'une Entreprise • s'en porter GARANT auprès des divers partenaires intéressés de l'entreprise • porter (de manière plus générale) un JUGEMENT sur la qualité de sa gestion • Synonyme : Procédure de Révision • Par extension, la personne réalisant cette mission (Synonyme : Auditeur) • En anglais : AUDIT and AUDITOR

  20. Historique de l'Audit • Historiquement, l'AUDIT est d'abord financière • A l'époque romaine, les questeurs en étaient chargés. Puis Charlemagne en a généralisé l'usage par les missi dominici • A la fin du XIX° siècle, elle fut rationalisée en France avec la création de l'OECCA (Ordre des Experts Comptables et Comptables Agréés) puis de la CNCC (Compagnie Nationale des Commissaires aux Comptes ) • La fonction a été officiellement créée en 1941 aux USA avec l'IIA (Institute of Internationals Auditors), en prolongement de la Secury Act de 1935, obligeant à la ratification des comptes par un Expert Comptable • En France, il faut attendre 1965 pour voir la création de son équivalent l'IFACI rattachée à l'IIA (Institut Française des Auditeurs et Contrôleurs Internes)

  21. Intérêts initiaux de l'Audit • CONTRÔLE et VALIDATION du système de Gestion • Procédures et méthodes • Données • CONTRÔLE et VALIDATION des moyens • Matériels, réseaux, logiciels • Personnels • CONTRÔLE et VALIDATION des financements • Coûts d'investissements et d'exploitation • Rentabilité et budgets • CONTRÔLE et VALIDATION des évolutions • Plan informatique et Schéma directeur • Gestion et suivi des projets

  22. Intérêt réel des audits • L’audit est devenu au fil du temps : • Audit d’efficacité • Audit d’efficience • Audit de management et de stratégie • Les apports ont évolué et sont devenus : • Conseil (au lieu d’évaluation) • Valeur ajoutée • Assurance (contractualisation) • Qualité (Q.S.E. avec le Système de Management Environnemental (SME), basé sur les normes ISO 14000) • Sécurité Informatique (dont norme ISO 17799)

  23. L'audit Informatique • Analyse exhaustive du fonctionnement d'un centre de traitement et de son environnement • Débouche sur un diagnostic précisant • l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise • l'adéquation des résultats obtenus en regard des moyens engagés • l'adéquation des moyens en regard de la législation • Les méthodes d'Audit Informatiques sont définies par l'IFACI comme les autres techniques d'Audit • En Anglais : COMPUTING CENTER AUDIT

  24. Normes : • BS7799 (GB) et ISO 17799 (sécurité TIC) • ISO/CEI 13335 (management sécu TIC) • Législation : • Loi n 78-17 du 6/01/78 sur l'informatique, les fichiers, les libertés • Loi n 85-660 du 3/07/85 sur la protection des logiciels • Loi n 88-19 du 5/01/88 relative à la fraude informatique • Projet de loi pour la confiance dans l’économie numérique (LCEN) ou loi Fontaine Audit de sécurité • L’un des points clefs de l’audit informatique reste l’audit des réseaux et de la sécurité informatique. • Pour ce faire, des méthodes, législations et normes, (utilisables dans d’autres domaines que l’audit de sécurité info) ont été créés et mises en place : • Méthodes : • Marion • Mélisa MV3 • Méhari • Ebios 1.0.2 • COBIT • CRAMM v4 • etc.

  25. Informatique & législation en Europe Exemple de l’Internet en Europe avec la LEN (loi sur l’économie numérique de Juin 2000) qui est transposée en France … depuis juin 2004 • Les « lois de l'Internet » en Europe : • Espagne : loi sur la société de l'information et les services de commerce électronique • Finlande : loi sur la fourniture de services de la société de l'information • Autriche : loi fédérale sur le commerce électronique • Danemark : loi sur les services de la société de l'information • Luxembourg : loi sur le commerce électronique avec modification des Code civil, Code du commerce, Code de procédure civil et Code pénal • Italie : idem • Allemagne : loi sur l'utilisation des télé-services, loi sur la protection des données personnelles, loi sur la signature électronique, rassemblées au sein d’une loi fédérale sur les services d'information et de communication • France : LCEN (loi pour la confiance dans l’économie numérique)

  26. Système d’informations Rappels systèmes : Système automatisé, Système informatique, Système d’Information, Notion d’informatique et d’information

  27. Schéma Directeur d'Entr. Schéma Directeur Info POLITIQ. INFORMATIQUE Organisation du Service ou de l ’Activité Informatique Sécurité Base données Appels d'offre Méthodes Développement Sous-Traitance Personnel Exploitation Fournisseurs Formation Parc Matériel Maintenance Budgets Réseau-Comm. Assistance Tec. Principe d'Activité Informatique POLITIQUE GENERALE

  28. ORGANISATION INFORMATIQUE RESEAUX EXTERNES RESEAUX EXTERNES Logiciels & ERP Mémorisation Mémorisation directe Restitution directe Système de saisie Données Système de sortie R.H. Matériel info et péri-info Énergie Formation & Doc Mobilier & Immobilier Fournisseurs Finances - Plans info. - SD - ... Contrats & Prestations Complexité des SI RESEAUX* INTERNES Sécurité & Sûreté * Réseaux filaires ou non (WiFi, Bluetooth, VoIP, etc.)

  29. « Chapeaute » Décisionnel, Stratégie et Juridique Marketing DataWH Commerce E-comm Intégré Gestion Échanges Production Productique Un problèmede + en +crucial Un outil de+ en +utilisé par lesentreprises Infogérance Infocentre Outils Sécurité Pluralité d’usage des données Front Office Back Office

  30. Validité d’un S.I. • un SI est potentiellement valide si au minimum, les informations qu’il « contient » sont dans un cadre DICP: • DISPONIBLES, c’est à dire accessibles lorsque l’on en a besoin • INTEGRES, c’est à dire que la totalité des informations reste présente sans perte, modification, altération, ajout d’informations ou valeurs d’informations non prévues • CONFIDENTIELLES, c’est à dire si seules les personnes disposant des droits adéquates peuvent consulter, modifier, ajouter, supprimer, diffuser des informations, ET si ces droits sont eux-mêmes placés dans un cadre DICP • PERENES, c’est à dire si les 3 paramètres précédents sont valables dans le temps

  31. Implication pour un S.I. UN TABLEAU DE BORD(tableau de pilotage)dU S.I. • Indicateurs, • Système d’alertes, • Suivi des évolutions, • Maintenance, • Tests, • Scénarios, • Etc. En bref

  32. Le Système d'Information • RIGUEUR des indicateurs • Définition claire • Précision • Circulation et délais • Méthodologie de saisie, calcul et agrégation • FIABILITE des indicateurs • durant Transmissions et Utilisation (non influence des acteurs ou de l'utilisation) • dans le temps • indépendant de l'erreur humaine (ou corrigeable / corrigé ) S.I • UNICITE des indicateurs • Conception unique • Mode de saisie et remonté fiable • Comparaison possible quelque soit le lieu de gestion et l'utilisateur (métrique de réf.) • COHERENCE des indic... • pas de redondance • couverture de la totalité du SI • Vision globale et « détaillable » (vue d'ensemble -> tableau de bord puis détail d'un poste à la demande)

More Related