Mise en place de l’audit et des contrôles internes informatiques - Thibaut de la Bouvrie - iCompetences RSI2012

AUDIT ET CONTRÔLES INTERNES

INFORMATIQUES Approche pragmatique & bonnes

pratiques

TOUS DROITS RESERVES ©ADDED

Thibaut de la Bouvrie, Manager risques et audit des SI

CISA, CISM, ITILv3, PCI-DSS QSA, PRINCE2 et ISO 27001 LA

SOMMAIRE

L’importance des contrôles informatiques

Le cercle vertueux de l’audit informatique

Bonne pratique 1 : La justification de l’audit

Bonne pratique 2 : La préparation de l’audit

Bonne pratique 3 : La Réalisation des missions

Comment gérer dans la pratique

Questions

2 TOUS DROITS RESERVES ©ADDED

LES DIFFERENTS NIVEAUX DE CONTROLE

3

Contrôles au niveau de l’entité Ces contrôles donnent le ton et transmettent la culture de l’entreprise. Les contrôles informatiques font partie de ces contrôles qui comprennent : - Stratégies et plans d’action - Politique et procédures - Evaluation des risques - Formation - Assurance qualité - Audit interne

Contrôles généraux informatiques Contrôles intégrés dans les processus de la fonction informatique qui permettent un environnement de traitement fiable et qui permettent aussi un déroulement adéquat des contrôles d’application. Ces contrôles couvrent notamment : - le développement des applications - l’accès aux données et aux programmes - les modifications des applications - les traitements informatiques

Contrôles applicatifs Contrôles intégrés dans les applications gérant les processus métiers et qui participent aux contrôles financiers. Ces contrôles sont présents dans la plupart des applications, dans les grands progiciels standards du marché comme dans les systèmes développés spécifiquement. Ces contrôles ont pour objectifs : - l’exhaustivité - l’exactitude - l’existence et l’approbation - la présentation et l’intelligibilité

Fonction Informatique (Système d’exploitation, continuité, réseau)

Processus Métier

Finance Processus

Métier Logistique

Processus Métier

Production

Processus Métier etc…

Direction Générale

Source ISACA AFAI pour la

traduction


LE CERCLE VERTUEUX DE L’AUDIT INFORMATIQUE

4

L’audit des systèmes d’information Mettre en place une approche raisonnée et focalisée sur les principaux risques

Cartographie des risques

Elabora3on du plan d'audit

Réalisa3ons des missions

Suivi des recommanda3ons


BONNE PRATIQUE 1 : LA JUSTIFICATION DE L’AUDIT

5

Toutes les organisations n’ont pas les mêmes risques Les audits et contrôles internes à déployer doivent être alignés avec les enjeux des métiers de l’organisation. Tous les référentiels préconisent la même étape avant de démarrer un audit ou un projet :

L’analyse de risque Exemple de « fail » 2012 : -> La carte de paiement sans contact non conforme PCI-DSS


OUTIL 1 : LA CARTOGRAPHIE DES RISQUES INFORMATIQUES

6

§  Implication obligatoire du management et des métiers §  Exercice à refaire régulièrement §  Bénéfices :

§  Concentration sur les risques majeurs §  Prise de conscience du management §  Culture du risques


OUTIL 1 : LA CARTOGRAPHIE DES RISQUES INFORMATIQUES

7

Une cartographie des risques informatiques permet de classer les risques en 4 principales catégories :

A TRAITER : Risques considérés comme importants mais non ou insuffisamment maîtrisés. Ces risques doivent être traités en priorité car représentent une menace potentielle pour l’organisation. A REVOIR : Risques considérés comme importants et plutôt sous-contrôle. Ils doivent faire l’objet d’une analyse ultérieure pour valider la perception du Management quant à leur niveau de maîtrise en interne. Ces risques peuvent être intégrés au plan d’audit informatique. A SURVEILLER : Risques considérés comme moins importants et actuellement non ou insuffisamment maîtrisés. Se concentrer sur ces risques n’est pas une priorité. Cependant, ils doivent être surveillés de près pour s’assurer que leur importance n’augmente pas dans le temps. FOLLOW : Risques considérés comme moins importants et relativement bien maîtrisés. Ils sont à considérer comme une source potentielle d’optimisation des ressources. Un suivi de ces risques par l’audit interne peut s’avérer intéressant pour améliorer les processus associés.

A TRAITER

A SURVEILLER

A REVOIR

A SUIVRE

+

-‐ NIVEAU DE MAITRISE

IMPO

RTAN

CE DU RISQUE

La stratégie à adopter face à chaque risque identifié doit tenir compte de la catégorie dans

laquelle se trouve le risque

-‐ +


OUTIL 2 : LE RÉFÉRENTIEL DE RISQUE

8

Risque Typologie de

Risque Famille de

risque Non prise en compte des exigences des demandeurs dans les développements ou les acquisitions

Inadéquation des systèmes d'information

Risques opérationnels

SI et organisation SI non alignés avec la stratégie de l'entreprise et les besoins utilisateurs



Accès non autorisé à des services, applications ou données sensibles

Perte de confidentialité

Risques stratégiques

Inadéquation de la conception générale et de la conception détaillée par manque d'implication des demandeurs



Processus informatiques non standardisés / pratiques hétérogènes

Indisponibilité des SI


Absence d'environnement de test dédié / non étanchéité des environnements de production

Indisponibilité des SI


……… ….. …..


OUTIL 2 : LE RÉFÉRENTIEL DE RISQUE

9

Nouveaux risques apporté par l’entreprise numérique : -  Les atteintes à la réputation ou à l’e-réputation -  Le vol de donnée par la mobilité -  Le risque systémique -  La contrefaçon et les atteintes aux droits à la propriété intellectuelle -  Les atteintes aux informations personnelles -  La conservation des données numériques -  Les risques liés aux ressources humaines -  Réseaux Sociaux -  Le cloud Computing


OUTIL 3 : LES METHODES D’ANALYSE DE RISQUE

10

Méthodes d’évaluation des risques sur la sécurité : •  EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité 2010 -http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/ebios-expression-des-besoins-et-identification-des-objectifs-de-securite.html •  MEHARI : Méthode harmonisée d'analyse des risques https://www.clusif.asso.fr/fr/production/mehari/ •  OCTAVE •  ISO 27005 Risk assessement


BONNE PRATIQUE 2 : LA PRÉPARATION DE L’AUDIT

11

A partir des risques majeurs identifiés : - Préparer le plan d’audit - Préparer pour chaque audit du plan, le programme de travail de l’audit

Quelques exemples de site pour trouver des programmes de travail : - Auditnet.org (anglais & français) : http://www.auditnet.org - Protiviti Knowledge Leader (Anglais) – http://www.knowledgeleader.com 30 jrs gratuits essai -  Référentiels ISO, COBIT, etc… Adapter votre programme en fonction de vos problématiques métiers


BONNE PRATIQUE 2 : LA PRÉPARATION DE L’AUDIT

12

Faites preuve de bon sens ! Si aucun document n’est formalisé, c’est certainement qu’aucun contrôle, ou aucune sécurité n’est en place…

Audit des contrôles généraux • Contrôles basiques

Audit de sécurité • Audit des vulnérabilités • Audit de sécurité an3-‐fraude

Audit d’applica3on

Audit de pré & post implémenta3on projet Audit d’analyse de donnée


BONNE PRATIQUE 2 : LA PRÉPARATION DEL’AUDIT

13

Vérifier « L’Hygiène de la sécurité » On ne se fait pas opérer dans un hôpital s’il n’y a pas des règles d’hygiène de base ! -‐  Les poli3ques / chartes / procédures -‐  Les mots de passe -‐  Les an3virus/firewall/mise à jour -‐  Etc…


BONNE PRATIQUE 3 : LA RÉALISATION DES MISSIONS

14

L’audit des processus :


Compréhension des processus

et des outils utilisés

Analyse des processus

existants et des risques associés

Identification des contrôles

clés

Tests sur les contrôles en

place

Présentation des constats aux opérationnels

Rapport d’audit

OUTIL 4 : LA RECOMMANDATION JUSTE


Encore plus particulièrement pour les audits de sécurité, prendre en compte : •  les aspects métiers : la sécurité pour la sécurité ne sert à rien •  la difficulté de mise en œuvre et la criticité des différents constats (souvent très nombreux)

Gagner de nouveaux contrats

Partager l’informa3on

Op3miser les

processus Travailler et voyager

Minimiser les coûts de

contrôle Accéder facilement

au SI Délivrer le services

efficacement

Stopper les fuites de données

Maintenir la piste d’audit

Iden3fier les u3lisa3ons

malveillantes du SI

Auditabilité Limiter les

accès Conformité

Recommanda;on

MISSION D’AUDIT : COMMENT GÉRER DANS LA PRATIQUE


Pbl 1: Disponibilité des audités 1)  Programme de travail détaillé envoyé 15jrs avant le démarrage de l’audit 2)  Joindre la le`re de mission signé du management 3)  Fixer une date/un lieu et une durée pour rencontrer l’audité 4)  Si l’audité n’est jamais disponible demander à son manager de lui libérer

un créneau. 5)  Privilégier une salle de réunion plutôt que le bureau pour créer un

endroit neutre et ne pas être dérangé 6)  Avant de commencer l’entre3en, lui demander de couper la sonnerie du

téléphone portable



Pbl 2 : Refus d’accepta;on des recommanda;ons 1)  Exemple 1 : Poli3que de mots de passe

⇒  Démonstra3on de la rapidité pour trouver les mots de passe ⇒  John the ripper, Cain & Abel (www.oxid.it) ⇒  Illustra3on de moyens mémotechniques u3lisés pour trouver des

mots de passe long 2)  Exemple 2 : Accès en lecture pour les développeurs

Classique : Tous les développeurs ont un accès en lecture sur les données des u3lisateurs Risque: Usurpa3on d’iden3té en décryptant le hash des mots de passe u3lisateurs (SAP, Oracle BS)



Exemple de benchmarks intéressants : -‐  78 % des viola3ons de données sont commises par des membres autorisés du

personnel de l'entreprise (source Ponemon Ins3tute – 2010) -‐  70% des entreprises ayant subi une perte de données majeure ne survivent pas

+ 18 mois (source UK : Departement Of Trade Industry) -‐  50% entreprises n’ont pas de fonc3on RSSI clairement iden3fiée -‐  Le coût moyen de la perte de données s'élève en france à 91€ par dossier

perdu. (source Ponemon Ins3tute – 2010). -‐  Le nombre de dossiers perdus par fuite a engendré un coût total moyen de 2

millions d'€ pour les organisa3ons vic3mes de fuite en (source Ponemon Ins3tute – 2010).



Pbl 3 : Implica;on tardive des auditeurs dans les projets 1)  Si vous êtes RSSI : Invitez-‐vous au réunion de projet dès la phase de

démarrage ou de concep3on

2)  Me`ez en place une poli3que de sécurité qui couvre aussi les aspects de ges3on de projet

BONNE PRATIQUE 4 : LE SUIVI DES RECOMMANDATIONS

20

MePre en place une approche intégrée de type GRC…


Add a

for sustainable results

www.added-consulting.com

The informa3on contained in the following pages is intended solely for the addressed recipient. The recipient agrees to treat the informa3on contained in this document as confiden3al and or proprietary informa3on of Added. The recipient also agrees that this document may contain trade secrets of Added which would provide a compe33ve advantage to others. As a result, the informa3on contained in this document shall not be disclosed, used or duplicated, in whole or in part, for any purpose other than to evaluate Added.

21

[email protected]

+33.6.89.72.66.63

Thibaut de la Bouvrie

QUESTIONS ?

CONFIDENTIAL ©ADDED

Documents

Mise en place de l’audit et des contrôles internes informatiques - Thibaut de la Bouvrie - iCompetences RSI2012