Lic

en

ce L

3 -

SIE

1 –

An

né

e 2

00

4

SIE 2

Séance 1

Audit, étude & analyseAudit, étude & analysedes systèmes d’informationsdes systèmes d’informations

Audit & étude SI - Analyse SI

Organisation et conception SI

SIE

2 -

Séa

nce

1L’entreprise, c’est …L’entreprise, c’est …

Un ensemble de produits et services mis sur le marché pour réaliser, à la base un ensemble de profits pour les actionnaires et investisseurs …

SIE

2 -

Séa

nce

1

L’entreprise, c’est …L’entreprise, c’est …

• Étude de marché

• Marketing

• Achats

• Production

• Logistique

• Ventes

• Suivi client

• Management

• Qualité

• Finances

• RH

Il faut, pour cela,

un ensemble de chaînes de valeur :

SIE

2 -

Séa

nce

1

L’entreprise, c’estL’entreprise, c’est

Mais aussi un ensemble de

systèmes dont principalement

– Système de production

– Système d’information

– Système de communication

– Etc.

SIE

2 -

Séa

nce

1

L’entreprise, c’estL’entreprise, c’est

• Une nécessité permanente d’évoluer et de s’adapter :

– Au marché,

– Aux nouvelles techniques de productique et production par exemple,

– Aux nouvelles méthodes et normes,

– Aux changements de législation et d’environnement,

– Aux évolutions de la société (problématique de l’éthique par exemple) et

des mentalités,

– Aux nouvelles technologies (et pas seulement en informatique),

– A l’évolution des autres entreprises (partenaires comme concurrents,

clients comme fournisseurs),

– A la situation conjoncturelle,

– Etc.

SIE

2 -

Séa

nce

1

Système et entreprises …Système et entreprises …

• Qui dit systèmes et outils, qui dit financier et RH, qui dit évolution, dit aussi :

RISQUESRISQUES– Risques financiers

– Risques techniques

– Risques humains

– Risques et catastrophes naturels

– Risques informatifs … & Risques informatiques …

SIE

2 -

Séa

nce

1

Environnement actuelEnvironnement actuel

L’informatique est un outil qui subit de profondes mutations et génère

une problématique particulière dans l’entreprise :

– Évolution permanente dégradation,

– Usage en back-office front-office stratégique

outil vital de pilotage d’entreprise

– Fragilité générale outil à risque :

En 1996, les pertes (directes ou indirectes) liées à l’informatique

étaient estimées à plus de 3 Md’€ en France;

en 2000, on a estimé qu’elles avaient pratiquement triplé …

La démocratisation de l’informatique puis de l’Internet ont ouvert une

brèche médiatique sur le monde de l’Informatique et de ses risques

SIE

2 -

Séa

nce

1

Les mêmes en 2001 et 2002Les mêmes en 2001 et 2002Seules 40 % des

entreprises déclarent avoir

subi des sinistres …

Les 60 % restants pêchent

souvent par ignorance

(absence de détection des

incidents).

Un « BOUM » catastrophique

+140 % d’impact !

SIE

2 -

Séa

nce

1Risques et contrôle de risquesRisques et contrôle de risques• Le risque informatique Le risque informatique

s'applique à 3 domaines :s'applique à 3 domaines :– risque direct dû à risque direct dû à

l'informatique (pannes, vols, l'informatique (pannes, vols, pertes, erreurs, etc. )pertes, erreurs, etc. )

– risque induit (perte d'image risque induit (perte d'image de marque, perte de qualité, de marque, perte de qualité, perte de clientèle, perte perte de clientèle, perte financière, perte de stock, etc. financière, perte de stock, etc. ))

– risque généré (utilisation de risque généré (utilisation de l'informatique pour détourner, l'informatique pour détourner, voler, escroquer, rançonner, voler, escroquer, rançonner, etc.)etc.)

• Il est nécessaire de le Il est nécessaire de le contrôler au même titre que contrôler au même titre que toutes les autres activitéstoutes les autres activités

SIE

2 -

Séa

nce

1

Usage de connexion externeUsage de connexion externe

Évolution en 2001 et 2002 des comportements des entreprises et des outils en terme de connexion externe.

Les plus fortes hausses depuis 1999 :

• Accès au Web

• Messagerie généralisée

SIE

2 -

Séa

nce

1

Moyens de sécuritéMoyens de sécurité

Encore très peude sécurité de base

sur les réseauxouverts à l’extérieur

SIE

2 -

Séa

nce

1

Plans et procédures de secoursPlans et procédures de secours

Encore très peu

de plan de réaction

et de secours en cas

d’alerte ou d’incident

SIE

2 -

Séa

nce

1

Réalité et perception …Réalité et perception …

Fraudes

Sabotage physique

Divulgations et vols de données

Accidents physiques

Chantage

Attaques logiques ciblées

Intrusion

Evènements naturels

Vols (surtout ordi portables)

Erreurs de conceptions

Infections par virus

Pertes de services essentiels

Pannes internes

Erreurs d'utilisation

Réalité des risques Perception des risques par l'entreprise

87,3 % des sinistres69% des "croyances"87,3 % des sinistres69% des "croyances"

9,7 % des sinistres77% des croyances9,7 % des sinistres77% des croyances

Lic

en

ce L

3 -

SIE

1 –

An

né

e 2

00

4

SIE 2

Séance 1

Face à ces constats …Face à ces constats …

SIE

2 -

Séa

nce

1

Réactions et actionsRéactions et actions• Action sécuritaire :

– Sensibiliser, former, informer

– Mettre en œuvre des outils et procédures

• Action techniques et logistiques

– Assurer une démarche complète d’étude

– Assurer une démarche complète de recettes

– Assurer une démarche complète de suivi

– Assurer une démarche complète maîtrise d’œuvre

• Action d’analyse et de suivi

– Audit initial, audit régulier (interne / externe)

– Indicateurs et tableau de bord

• Organiser

– Schéma directeur – Plan informatique

– CdC – Appel d’offre – Assurance

– Équipe et personnel

SIE

2 -

Séa

nce

1

Nécessité …Nécessité …

Étude du système existantPhases de contrôle, d’audit de recensement1

Étude de solutionsPhases d’audit et de conseil, prescription2

Mise en œuvreRecherche, sélection, maîtrise d’œuvre et d’ouvrage

3

MaintenanceSuivi, maintenance, audit régulier, évolution planifiée.

4

Lic

en

ce L

3 -

SIE

1 –

An

né

e 2

00

4

SIE 2

Séance 1

Étape 1 : Auditer …Étape 1 : Auditer …

SIE

2 -

Séa

nce

1

Rôle premier de l'AuditRôle premier de l'Audit

L'audit a pour fonction principale L'audit a pour fonction principale le contrôle du SYSTEME étudiéle contrôle du SYSTEME étudié

qu'il s'agisse de son fonctionnement ou de qu'il s'agisse de son fonctionnement ou de ses outils de fonctionnementses outils de fonctionnement

Par là, il a pour but de réduirePar là, il a pour but de réduire

les écarts et risques les écarts et risques

ou ou au moinsau moins de les signaler de les signaler

et de proposer des solutions ...et de proposer des solutions ...

SIE

2 -

Séa

nce

1

Notion d'AuditNotion d'Audit• Nom Masculin : UN AUDIT

• MissionMission / ProcédureProcédure consistant à :– s'assurer du caractère COMPLET, SINCERE et REGULIER des

Comptes d'une Entreprise

– s'en porter GARANT auprès des divers partenaires intéressés de l'entreprise

– porter (de manière plus générale) un JUGEMENT sur la qualité de sa gestion

– Synonyme : Procédure de Révision

• Par extension, la personne réalisant cette mission (Synonyme : Auditeur)

• En anglais : AUDIT and AUDITOR

SIE

2 -

Séa

nce

1

Historique de l'AuditHistorique de l'Audit

• Historiquement, l'AUDIT est d'abord financière

– A l'époque romaine, les questeurs en étaient chargés. Puis Charlemagne

en a généralisé l'usage par les missi dominici

– A la fin du XIX° siècle, elle fut rationalisée en France avec la création de

l'OECCA (Ordre des Experts Comptables et Comptables AgréésOrdre des Experts Comptables et Comptables Agréés ) puis de

la CNCC (Compagnie Nationale des Commissaires aux Comptes Compagnie Nationale des Commissaires aux Comptes )

– La fonction a été officiellement créée en 1941 aux USA avec l'IIA (Institute Institute

of Internationals Auditorsof Internationals Auditors ), en prolongement de la Secury Act de 1935,

obligeant à la ratification des comptes par un Expert Comptable

– En France, il faut attendre 1965 pour voir la création de son équivalent

l'IFACI rattachée à l'IIA (Institut Française des Auditeurs et Contrôleurs Institut Française des Auditeurs et Contrôleurs

InternesInternes )

SIE

2 -

Séa

nce

1

Intérêts initiaux de l'AuditIntérêts initiaux de l'Audit• CONTRÔLE et VALIDATION du système de Gestion

– Procédures et méthodes

– Données

• CONTRÔLE et VALIDATION des moyens

– Matériels, réseaux, logiciels

– Personnels

• CONTRÔLE et VALIDATION des financements

– Coûts d'investissements et d'exploitation

– Rentabilité et budgets

• CONTRÔLE et VALIDATION des évolutions

– Plan informatique et Schéma directeur

– Gestion et suivi des projets

SIE

2 -

Séa

nce

1

Intérêt réel des auditsIntérêt réel des audits• L’audit est devenu au fil du temps :

– Audit d’efficacité

– Audit d’efficience

– Audit de management et de stratégie

• Les apports ont évolué et sont devenus :

– Conseil (au lieu d’évaluation)

– Valeur ajoutée

– Assurance (contractualisation)

– Qualité (Q.S.E. avec le Système de Management Environnemental (SME), basé sur les normes ISO 14000)

– Sécurité Informatique (dont norme ISO 17799)

SIE

2 -

Séa

nce

1

L'audit InformatiqueL'audit Informatique• Analyse exhaustive du fonctionnement d'un centre de

traitement et de son environnement

• Débouche sur un diagnostic précisant

– l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise

– l'adéquation des résultats obtenus en regard des moyens engagés

– l'adéquation des moyens en regard de la législation

• Les méthodes d'Audit Informatiques sont définies par l'IFACI comme les autres techniques d'Audit

• En Anglais : COMPUTING CENTER AUDITCOMPUTING CENTER AUDIT

SIE

2 -

Séa

nce

1

Audit de sécuritéAudit de sécurité• L’un des points clefs de l’audit informatique reste l’audit des

réseaux et de la sécurité informatique.

• Pour ce faire, des méthodes, législations et normes, (utilisables dans d’autres domaines que l’audit de sécurité info) ont été créés et mises en place :

Méthodes :• Marion• Mélisa MV3• Méhari• Ebios 1.0.2 • COBIT• CRAMM v4• etc.

Normes :

• BS7799 (GB) et ISO 17799 (sécurité TIC)

• ISO/CEI 13335 (management sécu TIC)

Législation :

• Loi n 78-17 du 6/01/78 sur l'informatique, les fichiers, les libertés

• Loi n 85-660 du 3/07/85 sur la protection des logiciels

• Loi n 88-19 du 5/01/88 relative à la fraude informatique

• Projet de loi pour la confiance dans l’économie numérique (LCEN) ou loi Fontaine

SIE

2 -

Séa

nce

1

Informatique & législation en EuropeInformatique & législation en Europe

Exemple de l’Internet en Europe avec la LEN (loi sur l’économie numérique de Juin 2000) qui est transposée en France … depuis juin 2004

Les « lois de l'Internet » en Europe :

• Espagne : loi sur la société de l'information et les services de commerce électronique

• Finlande : loi sur la fourniture de services de la société de l'information

• Autriche : loi fédérale sur le commerce électronique • Danemark : loi sur les services de la société de l'information • Luxembourg : loi sur le commerce électronique avec modification des

Code civil, Code du commerce, Code de procédure civil et Code pénal• Italie : idem• Allemagne : loi sur l'utilisation des télé-services, loi sur la protection

des données personnelles, loi sur la signature électronique, rassemblées au sein d’une loi fédérale sur les services d'information et de communication

• France : LCEN (loi pour la confiance dans l’économie numérique)

Lic

en

ce L

3 -

SIE

1 –

An

né

e 2

00

4

SIE 2

Séance 1

Système d’informationsSystème d’informations

Rappels systèmes : Système automatisé, Système

informatique, Système d’Information, Notion

d’informatique et d’information

SIE

2 -

Séa

nce

1

Appels d'offreAppels d'offre

Sous-TraitanceSous-Traitance

FournisseursFournisseurs

MaintenanceMaintenance

Assistance Tec.Assistance Tec.

POLITIQUE GENERALEPOLITIQUE GENERALE

Principe d'Activité InformatiquePrincipe d'Activité Informatique

Schéma Directeur d'Entr.Schéma Directeur d'Entr.

POLITIQ. INFORMATIQUEPOLITIQ. INFORMATIQUE Schéma Directeur InfoSchéma Directeur Info

Organisation du Service ou de l ’Activité InformatiqueOrganisation du Service ou de l ’Activité Informatique

SécuritéSécurité

MéthodesMéthodes

PersonnelPersonnel

FormationFormation

BudgetsBudgets

Base donnéesBase données

DéveloppementDéveloppement

ExploitationExploitation

Parc MatérielParc Matériel

Réseau-Comm.Réseau-Comm.

SIE

2 -

Séa

nce

1

Complexité des SIComplexité des SI

Sécurité & Sûreté

RESE

AU

X*

INTE

RN

ES

Logiciels & ERP

Données

Mémorisation

OR

GA

NIS

ATIO

NIN

FOR

MA

TIQ

UE R.H.

Mobilier & Immobilier

ÉnergieMatériel info et péri-info

Formation & Doc Fournisseurs

Contrats & PrestationsFinances - Plans info. - SD - ...

RESE

AU

XEX

TER

NES

RESE

AU

XEX

TER

NES

Système de saisie

Mémorisation directe

Système de sortie

Restitution directe

* Réseaux filaires ou non (WiFi, Bluetooth, VoIP, etc.)

SIE

2 -

Séa

nce

1

Pluralité d’usage des donnéesPluralité d’usage des données

Front OfficeFront Office

Back OfficeBack Office

IntégréIntégré

DataWHDataWH

GestionGestion

ProductionProduction

CommerceCommerce

MarketingMarketing

E-commE-comm

ÉchangesÉchanges

ProductiqueProductique

InfocentreInfocentreInfogéranceInfogérance OutilsOutils SécuritéSécurité

« Chapeaute »« Chapeaute »

Décisionnel,Stratégie

etJuridique

Décisionnel,Stratégie

etJuridique

Un outil de+ en +

utilisé par lesentreprises

Un problèmede + en +

crucial

SIE

2 -

Séa

nce

1

Validité d’un S.I.Validité d’un S.I.• un SI est potentiellement validepotentiellement valide si au minimumau minimum, les

informations qu’il « contient » sont dans un cadre DICP:

– DISPONIBLES, c’est à dire accessibles lorsque l’on en a besoin

– INTEGRES, c’est à dire que la totalité des informations reste présente sans perte, modification, altération, ajout d’informations ou valeurs d’informations non prévues

– CONFIDENTIELLES, c’est à dire si seules les personnes disposant des droits adéquates peuvent consulter, modifier, ajouter, supprimer, diffuser des informations, ET si ces droits sont eux-mêmes placés dans un cadre DICP

– PERENES, c’est à dire si les 3 paramètres précédents sont valables dans le temps

SIE

2 -

Séa

nce

1

Implication pour un S.I.Implication pour un S.I.

• Indicateurs,

• Système d’alertes,

• Suivi des évolutions,

• Maintenance,

• Tests,

• Scénarios,

• Etc.

En bref

UN TABLEAU DE BORD(tableau

de pilotage)dU S.I.

UN TABLEAU DE BORD(tableau

de pilotage)dU S.I.

SIE

2 -

Séa

nce

1

Le Système d'InformationLe Système d'Information

RIGUEUR des indicateurs Définition claire Précision Circulation et délais Méthodologie de saisie, calcul et agrégation

RIGUEUR des indicateurs Définition claire Précision Circulation et délais Méthodologie de saisie, calcul et agrégation

UNICITE des indicateurs Conception unique Mode de saisie et remonté fiable Comparaison possible quelque soit le lieu de gestion et l'utilisateur (métrique de réf.)

UNICITE des indicateurs Conception unique Mode de saisie et remonté fiable Comparaison possible quelque soit le lieu de gestion et l'utilisateur (métrique de réf.)

FIABILITE des indicateurs durant Transmissions et Utilisation (non influence des acteurs ou de l'utilisation) dans le temps indépendant de l'erreur humaine (ou corrigeable / corrigé )

FIABILITE des indicateurs durant Transmissions et Utilisation (non influence des acteurs ou de l'utilisation) dans le temps indépendant de l'erreur humaine (ou corrigeable / corrigé )

COHERENCE des indic... pas de redondance couverture de la totalité du SI Vision globale et « détaillable » (vue d'ensemble -> tableau de bord puis détail d'un poste à la demande)

COHERENCE des indic... pas de redondance couverture de la totalité du SI Vision globale et « détaillable » (vue d'ensemble -> tableau de bord puis détail d'un poste à la demande)

S.IS.I