View
36
Download
0
Category
Preview:
DESCRIPTION
audit informatique
Citation preview
LL’é’évolution rvolution réécente des rcente des rééfféérentiels rentiels
Jean-Louis BleicherRégis Delayat
7 Avril 2009
2
Plan
§ COBIT V4.1§ COBIT Quickstart V2§ Guide d’audit informatique COBIT§ Val IT§ Risk IT§ Le Guide pratique CIGREF/ IFACI
3
COBIT V4.1
4
§ Synthèse§ Cadre de Référence§ Objectifs de Contrôle§ Guide de Management§ Outils de Mise en Œuvre§ Guide d'Audit
Evolution de COBIT
§ Synthèse§ Cadre de Référence§ Noyau :
• Objectifs de Contrôle• Guide de Management• Modèle de maturité
§ Annexes
§ Guide de mise en œuvre de la gouvernance des SI 2ème édition
§ Guide d’audit des SI
V3 (2000) V4.1 (2007)
Indépendant des technologies
Intégrateur de 40 référentiels dont COSO, ITIL, CMMI
5
Surveiller Surveiller et Evalueret Evaluer
SE1 Surveiller et évaluer la performance des SISE2 Surveiller le contrôle interneSE3 S’assurer de la conformité réglementaireSE4 Mettre en place une gouvernance des SI
Acquérir et Acquérir et ImplémenterImplémenter
AMP1 Trouver des solutions informatiquesAMP2 Acquérir des applications et en assurer la maintenanceAMP3 Acquérir une infrastructure technique et en assurer la maintenanceAMP4 Faciliter le fonctionnement et l’utilisationAMP5 Acquérir les ressources informatiquesAMP6 Gérer les changementsAMP7 Installer et valider les solutions et les modifications
COBIT : fondements
• applications• informations• infrastructures• personnes
Ressources Informatiques
Information• efficacité• efficience• confidentialité• intégrité• disponibilité• conformité• fiabilité
Objectifs métiers
Planifier etPlanifier etOrganiserOrganiser
PO1 Définir un plan informatique stratégiquePO2 Définir l’architecture de l’informationPO3 Déterminer l’orientation technologiquePO4 Définir les processus, l’organisation et les relations de travailPO5 Gérer les investissements informatiquePO6 Faire connaître les buts et les orientations du managementPO7 Gérer les ressources humainesPO8 Gérer la qualité de l’informatiquePO9 Evaluer et gérer les risquesPO10 Gérer les projets
DS1 Définir et gérer les niveaux de serviceDS2 Gérer les services tiersDS3 Gérer la performance et la capacitéDS4 Assurer un service continuDS5 Assurer la sécurité des systèmesDS6 Identifier et imputer les coûtsDS7 Instruire et former les utilisateursDS8 Gérer le service d’assistance client et les incidentsDS9 Gérer la configurationDS10 Gérer les problèmes et les incidentsDS11 Gérer les donnéesDS12 Gérer l’environnement physiqueDS13 Gérer l’exploitation
Délivrer etDélivrer etSupporterSupporter
6
Les nouveautés de COBIT V4.1
§ Objectifs de contrôle • Orientés bonnes pratiques de management• Prise en compte de ValIT et révision des OC (V3 = 318,
V4=215, V4.1= 210)• Révision des contrôles applicatifs (6 au lieu de 18) tournés
vers l’évaluation de l’efficacité des contrôles
§ Guide de management• Ajout d’entrées/sorties au niveau des processus• Présentation des activités et responsabilités associées
(tableau RACI)• Métriques basées sur une déclinaison cohérente d’objectifs
métiers, informatiques, processus et activités
7
Exemple : DS5 Assurer la sécurité des systèmes
8
Quickstart V2
9
Les nouveautés de Quickstart V2.0
§ Version allégée de COBIT V4.1§ 4 domaines, 32 processus et 59 objectifs de contrôle
(30 processus 62 objectifs de contrôle dans QuickstartV1)
§ Bonnes pratiques de gestion revues et référencée par rapport aux activités COBIT V4.1
§ Intègre les tableaux RACI et une révision complète des objectifs et métriques
10
Guide d’audit
11
Les nouveautés du guide d’audit
• Basé sur COBIT V4.1 et entièrement refondu
• Guide d’audit détaillé des 34 processus COBIT et des applications - sur la base des 6 contrôles retenus par COBIT - (plus de 200 pages)
• Intègre une présentation détaillée des concepts d’audit des SI
12
Guide d’Audit : démarche d’audit COBIT
PLANIFICATION
CADRAGE
EXECUTION
• Définir le périmètre d'audit des SI.• Sélectionner un cadre de référence de contrôle des SI.• Procéder à la planification de l'audit des SI en fonction des risques.• Procéder à des évaluations de haut niveau.• Définir le cadre et les objectifs généraux du projet.
Objectifs métiersObjectifs informatiques
Principaux processus informatiques et ressources informatiquesPrincipaux objectifs de contrôle
Principaux objectifs de contrôle personnalisés
Affiner la compréhension
du domaine d'audit des SI
Affiner le champ d'action des principaux objectifs de
contrôle pour le domaine d'audit
des SI
Evaluer l'efficacité des
contrôles associés aux
principaux objectifs de
contrôle
En remplacement ou en complément,
évaluer le résultat des principaux objectifs de
contrôle
Evaluer l'impact de la faiblesse des contrôles
Formuler et communiquer l’ensemble des conclusions et
recommandations
PLANS D'AUDIT DES SI CHAM
P D'ACTION ET
OBJECTIFS DÉTAILLÉS
CONCLUSIO
N DE L'AUDIT
13
Plan du guide d’audit détaillé des processus
Procédures d’évaluation de l'impact des faiblesses de contrôle
Procédures d’évaluation du résultat des objectifs de contrôle
Procédures d’évaluation des contrôles
Objectifs de contrôle Enoncé des valeurs Enoncé des risques
14
Exemple DS5 Assurer la sécurité des systèmes (extrait)
15
Exemple DS5 Assurer la sécurité des systèmes (extrait)
16
17
3 domaines :
• Gouvernance de la valeur
• Gestion de portefeuille
• Gestion de l’investissement
22 processus
68 bonnes pratiques
VAL IT 2.0
Gestion de l’investissement
(GI)
Gestion de portefeuille
(GP)
Gouvernance de la valeur
(GV)
68 bonnes pratiques
25
22
21
18
Les nouveautés de VAL IT 2.0
§ Référentiel• Présentation alignée sur COBIT• Modèles de maturité au niveau de chaque domaine• Restructuration des processus qui passent de 15 à 22
§ Pratiques clés de gestion clés• Elles sont plus nombreuses et passent de 40 à 68
§ Guide de management• Nouveauté de cette version • Aligné sur celui de COBIT V4.1 avec quelques différences de
présentation des objectifs et métriques modèle
§ Suppression du business case ING
19
Exemple VG3 Définir les caractéristiques du portefeuille
20
21
Risk IT
3 domaines :
• Gouvernance du risque
• Appréciation du risque
• Traitement du risque
9 processus
47 bonnes pratiques
Présentation similaire à VAL IT, le modèle de maturité s’appliquant au domaine
22
Exemple RR2 Gérer les risques informatiques
23
Le contrôle interne du systèmed’information des organisations
24
Contrôle Interne : Du Cadre de RContrôle Interne : Du Cadre de Rééfféérence AMF au rence AMF au Guide OpGuide Opéérationnel rationnel CigrefCigref//IfaciIfaci
Cadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du SI : Guide opérationnel Cigref/Ifaci
2007Janvier
2007Janvier
2007Octobre
2007Octobre
2009Mars
2009Mars
25
5 principes clés du contrôle interne
1. Le management doit instaurer une culture et une dynamique du contrôle
2. Le contrôle interne doit être intégré dans les processus de l’entreprise
3. Les systèmes d’information jouent un rôle clé
4. Un principe de proportionnalité et granularité doit s’appliquer
5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôle
26
Le contrôle interne du systLe contrôle interne du systèème dme d’’information : information : Deux parties distinctes et complDeux parties distinctes et compléémentairesmentaires
27
Les processus de lLes processus de l’’entrepriseentreprise……et le Systet le Systèème me dd’’InformationInformation
28
Typologie des points de contrôleTypologie des points de contrôle
29
DDéémarche des travaux sur le contrôle interne marche des travaux sur le contrôle interne du systdu systèème dme d’’information de linformation de l’’entrepriseentreprise
30
Démarche des travaux sur le contrôle interne de la Direction des Systèmes d’Information
§ Principes• Utilisation des référentiels existantsè point de départ = COBIT
• Identification de 6 processus IT clés• Production d’un livrable concret, utile à la DSI et à
l’audit interne§ Pour chacun des processus étudiés
• Identification des risques et points de contrôle associés
• Proposition de bonnes pratiques issues de l’expérience et la connaissance des sociétés participantes
• Adaptation au contexte laissé à l’initiative de chaque entreprise
Synthèse du guide opérationnel Cigref/Ifaci
Achats
Contrôle Interne du SI
Contrôle Interne de l’Entreprise
Métiers IT (COBIT)
Ventes
Consolidation
Compétences
Projets
Maintenance &Changements
Incidents
Sécurité logique& Accès
Sous-traitance
Livrable
• Démarche
• Cartographie processus
• Processus• Etapes• Acteurs/RACI• Flow-chart• Risques• Exemples de contrôles• Bonnes pratiques
Périmètre
Processus de l’entreprise
Recommended