Mise en Place d’Une Démarche Personnalisée de Gestion Des Risques IT Pour DELOITTE- Maroc

UNIVERSITE MOHAMMED V AGDAL

ECOLE MOHAMMADIA DINGENIEURS

Ralis par:

M. Hassan EL OUMRI

Dirig par:

M. Samir BENNANI

M. Rabii BERADY

M. Amine SERRAR

Mise en place dune dmarche personnalise de gestion des risques IT pour

DELOITTE- Maroc

Anne universitaire 2011-2012

Filire: Gnie Informatique

Options: Systmes dinformations

Mmoire de Projet de Fin dEtudes

N INF 26/12

UNIVERSITE MOHAMMED V AGDAL

ECOLE MOHAMMADIA DINGENIEURS

Filire: Gnie Informatique

Option: Systmes dinformations

Mmoire de Projet de Fin dEtudes

N INF 26/12

Mise en place dune dmarche personnalise de gestion des risques IT pour

DELOITTE- Maroc

Ralis par:

M. Hassan EL OUMRI

Soutenu le 31 Mai 2012 devant le jury :

Mme A.RETBI Prsident e Professeur lEMI

M M.KHALIDI IDRISSI Rapporteur Professeur lEMI

M S. BENNANI Encadrant Professeur lEMI

M R. BERADY Encadrant Manager DELOITTE

M A.SERRAR Encadrant Superviseur DELOITTE

Anne universitaire 2011-2012

Remerciements

Au terme de ce travail, je tiens remercier vivement et profondment tous ceux qui

ont contribu de prs ou de loin la ralisation de ce projet de fin dtudes.

De prime bord, je remercie personnellement Monsieur Samir BENNANI, qui ma

fait lhonneur de mencadrer et grce qui jai pu mener bien ce travail. Je tiens lui

tmoigner ma reconnaissance pour la qualit de son encadrement, son soutien et ses prcieux

conseils.

Mes sincres remerciements sont tout particulirement adresss Messieurs Rabii

BERADY, Amine SERRAR et Omar KARRAKCHOU, mes parrains de stage DELOITTE,

pour leurs encouragements, leurs soutiens et leurs implications lors de ce projet.

Je remercie galement tous les membres de jury davoir bien voulu valuer mon

modeste travail.

Je tiens exprimer ma gratitude tout le corps professoral et administratif de lEcole

Mohammedia dIngnieurs pour avoir fait preuve de disponibilit et dattention tout au long

de la priode de formation.

1

Projet de Fin dEtudes Dpartement Informatique 2011 - 2012

DDICACES

A mes trs chers parents,

Pour vos sacrifices, votre soutien inconditionnel, votre patience et votre

respect, je ne puis vous exprimer toute ma gratitude.

Pour mavoir laiss choisir mon chemin, trouver ma voie et devenir ce que je

suis, je vous suis reconnaissante jamais. Que Dieu vous procure sant,

bonheur et longue vie.

A Ahmed Amine, Mariam, Marwa et Samid

Que vous trouvez ici lexpression de mon plus grand amour pour vos

encouragements, vos conseils et votre soutien.

A mes tantes et mes cousins,

Que vous trouvez ici lexpression de mon plus grand attachement pour avoir

pris soin de moi, pour mavoir encourage et pour vos prires si nombreuses.

A Samia, Rachida, Salma, Sara, nada, asma, Sakina, mrym, meriem, Anass,

omar, Youssef, soufiane, jihad, hassan, ikhlef, amine, soulayman, nadia,

asmae, achraf, adnane

Pour votre amiti et votre soutien. Que ces annes lEcole ne soient quun

avant-got de tout ce qui est encore venir.

A tous ceux que jestime, amis de longue date ou connus lEcole, mais que je

ne peux tous citer.

Je vous ddie ce travail

2


Rsum . Le management des risques est un processus permanent qui irrigue toute organisation.

Il est mis en uvre par lensemble des collaborateurs, tous les niveaux de lorganisation, en

particulier au niveau du systme dinformation. En effet, la mise en place dun dispositif de

management des risques informatiques, qui permet dobtenir une vision globale de

lexposition du systme dinformation aux risques. est devenu une ncessit au sein de

lentreprise, vu le gain important quapporte le systme dinformation en productivit.

Cest dans ce cadre, et afin dassurer une meilleur comptitivit et garder sa position

de leader dans le march marocain, Deloitte Maroc a dcid daccompagner les entreprises

dans la gestion et lvaluation des risques de leurs systmes dinformations et de pouvoir

prendre instantanment toute mesure correctrice approprie. Ce service dbouchera sur la

mise en uvre dune mthode personnalise de gestion des risques IT qui rpondra aux

besoins immdiats des clients.

Ainsi, la finalit de ce projet tait llaboration dune dmarche de gestion des risques

informatiques lis aux systmes dinformation, intgrant les concepts du management des

risques, et rpondant la problmatique de rigidit des mthodes existantes. Plusieurs

paramtres ont t considrs pour justifier le bienfond de cette dmarche personnalise, et

la pertinence des lments qui la constituent.

Par ailleurs, la dmarche propose doit respecter les normes et la mthodologie

prtablies au sein de DELOITTE ainsi que les rglementations en matire de risque qui

rgissent les secteurs bancaires et dassurances.

3

2102 - 1102 euqitamrofnI tnemetrapD sedutEd niF ed tejorP

.

.

.

.

.

.

.

.

4


ABSTRACT

Risk management is an ongoing process that irrigates organization. It is implemented

by all employees at all levels of the organization, particularly in the information system.

Indeed, the establishment of a mechanism for managing information risk, which provides an

overview of the system's exposure to risk information, has become a necessity in the business,

given the large gain brings to the information system productivity.

It is within this framework, and to ensure a better competitiveness and maintain

its leading position in the Moroccan market, Deloitte Morocco has decided to support

companies in the risk management assessment of their information systems and instantly be

able to take any appropriate remedial action. This service will result in the implementation of

a custom method of risk management IT that will meet the immediate needs of customers.

Also, the purpose of this project was to develop an approach to IT risk management related to

information systems, incorporating the concepts of risk management, and responding to the

problem of rigidity of the existing methods. Several parameters were considered to

justify the validity of this personalized approach, and relevance of its constituent elements.

Moreover, the proposed approach must meet the standards and methodology pre within

Deloitte and regulations with regard to risk governing the banking and insurance.

5


Table de matires

INTRODUCTION ................................................................................................. 1

1. Premier Chapitre : Contexte et dmarche du projet ........... 3 1.1 Prsentation de lorganisme daccueil................................................................................. 3 1.1.1 Deloitte dans le monde ..................................................................................................... 3

1.1.2 Deloitte Maroc ................................................................................................................. 4

1.2. Prsentation du projet ......................................................................................................... 5

1.2.1. Management des risques des systmes dinformations.6 1..2.2. Dfinition gnrale de laudit..........................................................................................7

1.3. Contexte et objectif du projet ........................................................................................ 8 1.3.1. Cadrage............................................................................................................................ 8

1.3.2. Problmatique.................................................................................................................. 8

1.3.3. Objectif du projet............................................................................................................. 9

1.3.4. Dfinition du projet...................................................................................................... 9

1.4. Conclusion.12

2. Deuxime chapitre : Etude Benchmark........................................................................... 13

2.1. Prsentation des Missions de Contrles Gnraux Informatiques.13 2.1.1 Prsentation des missions................................................................................................ 13

2.1.2 Description du droulement des missions ...................................................................... 13

2.1.3 Apport des missions daudit la dmarche de gestion des risques IT.... 14

2.2. Analyse des mthodes existantes : tude Benchmark....14 2.2.1 Cadrage de ltude.................................................................................................. 15 2.2.2 Documentation........................................................................ 15 2.2.3 Choix des mthodes.... 15 2.2.4 Analyse approfondie........................................................................... 16 2.2.5 Synthse...... 22

2.3. Conclusion 26

3. Troisime chapitre : Elaboration de la dmarche personnalise de la gestion des

risques IT.27 3.1. Description gnrale de la dmarche................................................................................ 27

3.1.1. Justification de la proposition ....................................................................................... 27

3.1.2. Description gnrale de la mthode ............................................................................. 27

3.2. Description dtaille de la dmarche................................................................................ 28

3.2.1. La proposition ............................................................................................................... 28

3.2.2. Phase de cadrage de la mission.......................................................................................31

3.2.3. Identification des risques34

6


3.2.4. Evaluation des risques.37 3.2.5. Recommandations...40 3.2.6. Traitement des risques....41 3.2.7. Suivi et contrle des risques42 3.2.8. Capitalisation et documentation..43

3.3. Conclusion.....44

4. Quatrime chapitre : Etude de cas ...45 4.1. Cadrage de ltude............................................................................................................ 45 4.2. Phase de cadrage de la mission......................................................................................... 46

4.3. Identification des risques.................................................................................................. 48

4.4. Evaluation des risques .. 49 4.5. Rdaction des recommandations....51 4.6. Runion de validation ......52 4.7. Conclusion ....52

CONCLUSION GENERALE .............................................................................................. 53

Bibliographie ......................................................................................................................... 54

Webographie .......................................................................................................................... 54

Annexes .................................................................................................................................. 55

7


Liste des figures :

Figure 1.1 : Implantations des firmes Deloitte dans le monde ..4 Figure 1.2 : Organigramme Deloitte MAROC......5 Figure 1.3 : Phases du projet....11 Figure 1.4 : Phases du projet....11 Figure 2.1 : Dmarche de ltude Benchmark.....15 Figure 2.2 : Architecture gnrale de la mthode CRAMM...16 Figure 2.3 : Dmarche gnrale de la mthode EBIOS......17 Figure 2.4 : Dmarche gnrale de la mthode MEHARI......18 Figure 2.5 : Cube COSO.....20 Figure 2.6 : Processus gnraux de la norme ISO 27005 ..21 Figure 2.7 : Domaines du rfrentiel Risk IT......22 Figure 3.1 : Processus gnraux de la dmarche personnalise...28 Figure 3.2 : Points cls de la proposition.....30 Figure 3.3 : Phases de lidentification des risques...34 Figure 3.4 : Matrice de criticit....39 Figure 4.1 : Planning prvisionnel de la mission.....46 Figure 4.2 : Diagramme dobjet de laxe Organisation du SI cible.....47

Liste des tableaux :

Tableau 1.1 : Description des tapes du projet..12 Tableau 2.1 : Synthse des principales caractristiques de mthodes de gestion des risque.23

Tableau 2.2 : Comparatif des mthodes de gestion des risques.....23 Tableau 2.3 : Description des principales caractristiques des rfrentiels tudis...24 Tableau 3.1 : Synoptique de la phase de la proposition......31 Tableau 3.2 : Synoptique de la phase de cadrage.. 34 Tableau 3.3 : Synoptique de la phase didentification des risques.37 Tableau 3.4: Synoptique des phases valuation des risques et recommandations.41 Tableau 4.1 : Liste des risques et des scnarios des risques identifis par rapport au processus

de la gestion de lassurance non vie 49 Tableau 4.2 : Evaluation des risques et des scnarios des risques identifis par rapport au

processus de la gestion de lassurance non vie.51 Tableau 4.3 : Liste des principales recommandations.52

8


Introduction :

Aujourdhui, et dans un contexte de rcession mondiale, les entreprises voluent dans un

environnement trs incertain, domin par une forte concurrence nationale et internationale.

Pour garantir leur ractivit, rester comptitive, et assurer la continuit de leur service, elles

sont dans lobligation de mettre en place un systme de management des risques lis leurs

activits. Dans cette perspective, le but de la gestion des risques est dagir et prendre des

dcisions en avenir incertain, prvenir les risques et palier aux menaces qui peuvent affectes

lactivit des entreprises. En effet, sil y a incertitude, il y aura toujours des risques encourus

qu'il conviendrait alors de grer.

En particulier, les entreprises sont dans la ncessit de protger leur systme

dinformation contre toutes menaces pouvant affectes sa disponibilit ou altrer les donnes

stockes dans le SI. En effet, le systme dinformation est devenu une ressource trs prcieuse

pour lentreprise, il lui permet de comprendre son environnement, de grer ses activits au

quotidien, de gagner en production et de prendre des dcisions stratgiques. De plus, avec

louverture des marchs et lmergence des nouvelles technologies de linformation et de la

communication, le Systme dInformation, qui permet de grer la masse dinformation de

toute entreprise, ne constitue plus seulement un lment essentiel dans la gestion, il devient

lui-mme stratgique pour les organisations soucieuses de se doter davantages concurrentiels

durables.

Dans ce cadre, Deloitte Maroc se propose daccompagner les entreprises dans la gestion et

lvaluation des risques de leurs systmes dinformations, afin de pouvoir prendre

instantanment toute mesure correctrice approprie. Ce service dbouchera sur la mise en

uvre dune mthode personnalise de gestion des risques IT qui rpondra aux besoins

immdiats des clients.

Le prsent rapport sarticule autour de quatre parties : La premire partie prsentera

lorganisme daccueil, le contexte gnral du projet et les concepts relatifs au domaine de

laudit et du management des risques des systmes dinformations. La deuxime partie

concernera ltude benchmark des principales approches danalyse des risques existantes et

prsentera les missions de contrles gnraux informatiques effectues lors du stage ;

lobjectif de cette partie est de mettre en exergue les bases sur lesquelles a t labore la

9


mthode de gestion des risques IT, dont la description dtaille sera expose dans le troisime

chapitre. Et enfin, le dernier chapitre sera consacr la mise en uvre de la dmarche

propose dans le cadre dune tude de cas pratique.

10


1. Premier Chapitre : Contexte et dmarche du

projet

Ce premier chapitre prsente lenvironnement dans lequel sest effectu le stage ainsi que

le contexte du projet de fin dtudes. Dans un premier temps, nous prsentons lorganisme

daccueil Deloitte & Touche dans lequel sest droul le stage. Puis, nous exposons les

concepts relatifs laudit informatique et au management des risques des Systmes

dInformations qui constituent le cadre gnral de ce projet, pour ensuite dtailler la

problmatique, les objectifs attendus, la mthodologie de conduite de projet suivie et le

planning selon lequel il sera ralis.

1.1. Prsentation de lorganisme daccueil :

1.1.1. Deloitte dans le monde

Deloitte est lun des quatre grands cabinets daudit et de conseil dans le monde (Big Four)

avec PricewaterhouseCoopers, Ernst & Young et KPMG, n des fusions successives des

acteurs anglo-saxons historiques de ce secteur.

1989 marque un tournant dans lhistoire de (DHS) et (TRI) avec lannonce du

rapprochement lchelle mondiale de ces deux grands cabinets daudit et de conseil, qui,

aprs stre alli Tohmatsu, donnent ainsi naissance Deloitte Touche Tohmatsu (DTT).

Deloitte a t fond Londres en 1845 par William

Deloitte qui sassocie en 1925 Charles Haskins et E. Sells

New York pour former Deloitte Haskins & Sells (DHS).

Sir George Touche, lui aussi novateur dans ses ides, a cr

son cabinet londonien en 1899 et sest associ en 1958 avec

PS Ross, devenant ainsi Touche Ross International (TRI).

Enfin, au Japon, lamiral Nobuzo Tohmatsu, a fond en

1968 le cabinet Tohmatsu & Co, devenu rapidement numro

un dans son pays.

William Welch

Deloitte Nabuzo

Tohmatsu

11


Fort dun hritage de plus de 150 ans dexcellence, Deloitte Touche Tohmatsu est

aujourdhui leader mondial au sein des Big Four , avec un chiffre daffaires atteignant

26,6 milliards de dollars en 2010. Il sagit galement du plus grand cabinet daudit au monde

avec une masse salariale de 169 000 employs, prsents dans 150 pays et servant plus de la

moiti des plus grandes entreprises mondiales. La figure suivante (figure 1.1) prsente

limplantation des firmes Deloitte dans le monde :

1.1.2. Deloitte Maroc

Cre en 1994, l'initiative de Deloitte & Touche France, le cabinet d'audit Deloitte

Maroc mobilise des comptences diversifies pour rpondre l'ventail des services attendus

par ses clients, de toutes tailles et de tous secteurs des grandes entreprises multinationales

aux micro-entreprises locales, en passant par les entreprises moyennes.

Les 120 collaborateurs de Deloitte MAROC incarnent le dynamisme et la russite de

la firme par leur engagement et leur souci permanent de garantir l'excellence des prestations

qu'ils assurent. Celles-ci couvrent une palette d'offres trs large :

Audit

Consulting & Risk services

Juridique et fiscal

Expertise comptable

Corporate finance

Figure 1.1 : Implantations des firmes Deloitte dans le monde

12


La figure 1.2 dcrit les diffrentes entits de Deloitte Maroc :

Le stage de fin dtudes qui fait lobjet de ce rapport a t effectu au sein de lentit

Entreprise Risk Services . Cette activit concerne principalement laudit et le conseil des

SI, des processus et organisations travers les services suivants :

Audit des systmes d'informations.

Qualit et scurit des processus.

Scurit des systmes, des rseaux et de l'information.

Externalisation de la fonction daudit interne.

Audit de la mthodologie de gestion des projets.

Audit de la fonction informatique

Gestion des risques de taux et change, valuation d'instruments financiers,

passage aux nouvelles normes comptables.

Management des risques oprationnels & conseil en respect des

rglementations.

1.2. Prsentation du projet

Ce projet de fin dtude sinscrit dans le cadre de laudit des systmes dinformations et

du management des risques informatiques. En effet, nous proposons en premier lieu de

dfinir quelques concepts cls intrinsques ces domaines que nous synthtisons dans ce qui

suit.

Figure 1.2 : Organigramme Deloitte MAROC

13


1.2.1. Management des risques des systmes dinformations

1.2.1.1. Risque (rf : www.wikepedia.org)

Le risque est la prise en compte d'une exposition un danger, un prjudice ou autre

vnement dommageable, inhrent une situation ou une activit. Le risque est dfini par la

probabilit de survenue de cet vnement et par l'ampleur de ses consquences (ala et enjeu).

Il peut tre appliqu une personne, une population, des biens, l'environnement ou le milieu

naturel. Ainsi la criticit du risque est calcule comme suit :

Criticit du risque = probabilit doccurrence du risque * impact du risque

1.2.1.2. Systme dinformation (rf : www.wikipedia.org)

Un systme d'information est lensemble des moyens techniques et humains mis en

uvre par une organisation pour collecter, mmoriser, traiter ou transmettre linformation..

De par linformation vhicule, le systme dinformation assure la coordination des

diffrents services, leur permettant daccomplir les missions qui leur sont dvolues, dans le

but de rpondre lobjectif que sest fix lentreprise.

1.2.1.3. Management des risques informatiques (rf : Pascal KIEBEL

management des risques)

Le management du risque s'attache identifier les risques qui psent sur les actifs de

l'entreprise (c'est--dire ce qu'elle possde pour sa prennit, ses moyens, ses biens), ses

valeurs au sens large et son personnel. En particulier, le risque des systmes dinformations

sintgre dans le cadre des risques oprationnels. En effet, les systmes dinformations

peuvent tre affects par diverses menaces (Sinistres, erreurs humaines, virus,..). De ce fait, le

management des risques informatiques a pour objectif de matriser ces menaces par la mise en

place de contrles proportionns aux risques pouvant peser sur la confidentialit de

linformation, son intgrit ou sa disponibilit.

Ainsi, les principaux critres dvaluation des risques sont :

Disponibilit : garantie que linformation est accessible au moment voulu par

les personnes autorises.

Intgrit : garantie que les lments considrs sont exacts et complets.

Confidentialit: garantie que seules les personnes autorises ont accs aux

lments considrs.

14


1.2.2. Dfinition gnrale de laudit :

1.2.2.1. Audit (rf : Manuel technique de laudit)

L'Audit est un examen objectif auquel procde un professionnel comptent et indpendant

qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui

apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute.

1.2.2.2. Audit Informatique (rf : Manuel technique de laudit)

LAudit Informatique est un examen systmatique et organis des activits de la

fonction informatique. Il a pour but de fournir une valuation complte quant la faon dont

les processus et activits lies aux systmes dinformations sont ralises, avec des

observations et des recommandations visant mettre en place une gestion efficace, scuritaire

et une bonne gouvernance des ressources et processus informatiques. On peut diffrencier

deux types daudit des Systmes dinformations :

Audit organisationnel : Cest un audit fonctionnel qui a pour but d'tablir une

valuation gnrale de l'ensemble du systme d'information sur les plans

organisationnels, procduraux et technologiques.

Audit technique : Cest une analyse technique des composantes du systme

dinformation en matire de tests, robustesse du code et rsistance du SI face aux

attaques. Cette analyse est accompagne dune analyse et dune valuation des

dangers qui pourraient rsulter de lexploitation des failles dcouvertes suite

lopration daudit.

1.2.2.3. Audit Informatique : une approche oriente risque

Au cours de ces dernires annes, plusieurs cabinets daudit ont adopt des approches

daudit qui sappuient plus quavant sur des concepts danalyse orients mtier et dvaluation

des risques. Ainsi, aprs lmergence de la crise financire, les cabinets daudit ont adopt

une nouvelle approche pour amliorer la qualit de service propose et pour satisfaire au plus

le besoin des clients, en ajoutant une tude des risques dans la dmarche daudit pour donner

une assurance raisonnable que les risques associs aux activits des entreprise sont bien grs

et raliss.

15


1.3. Contexte et objectif du projet :

Aprs la prsentation du cadre gnral du projet, on se propose de dtailler le contexte

spcifique du projet.

1.3.1. Cadrage

Le dpartement Entreprise Risk Services du bureau de Deloitte de Casablanca, dans sa

composante Conseil Audit Service (CAS), est organis autour de deux activits phares :

Audit informatique en support aux missions du commissariat aux comptes :

appel aussi revue des Contrles Gnraux Informatiques (CGI), qui permet

dacqurir une conviction raisonnable quant au fait que les objectifs globaux des

contrles mis en place par lentreprise au niveau du Systme dInformation sont

atteints.

Conseil et Audit en systmes dinformations : Ces missions, appeles missions

spciales , consistent en une optimisation de chaque tape du pilotage du systme

d'information, depuis laudit des systmes existants et llaboration dune stratgie

jusqu la mise en uvre russie des projets.

Ainsi, dans le cadre des missions Conseil et Audit des Systmes dInformation ,

Deloitte MAROC, souhaite largir ses services daudit et de conseil SI en mettant en place

une dmarche personnalise -adapte au march marocain- de gestion des risques IT.

1.3.2. Problmatique

Les missions d'audit ou de conseil de gestion des risques IT couvrent plusieurs domaines

en relation directe avec le systme d'information et mettant en jeu des facteurs humains,

organisationnels, techniques, physiques et environnementaux. Ceci a men au dveloppement

de dmarches et de rfrentiels clairs et exhaustifs pour couvrir tous les processus du

management des risques IT : Risk IT, MEHARI, EBIOS, CRAMM, ...

Cependant, malgr lexistence dune panoplie de mthodes, elles savrent parfois trop

compliques mettre en pratique, mal adaptes la ralit et aux contextes des entreprises

marocaines ou ne couvrant pas la totalit des volets SI.

Dune autre part, les mthodes existantes de gestion des risques ne rpondent aux besoins

spcifiques des entreprises en termes de rglementations qui lui sont imposes. Par exemple :

16


Ble II pour les banques ou Solvency II pour les assurances (la dfinition de ses deux normes

est prsente en ANNEXE).

En vue de remdier ces difficults, nous avons dcid de mettre en uvre une dmarche

dvaluation des risques IT propres DELOITTE, qui pourra tre adapte par rapport la

nature de lactivit de lentreprise, modulable en fonction du besoin du client et trs pratique

dans sa mise en uvre.

1.3.3. Objectifs du projet

Les objectifs de ce projet de fin dtude est de mettre en uvre une offre de service

complte risque IT pour le management des risques informatiques. Cette dmarche

personnalise, propre au bureau de Casablanca, aura comme objectifs :

Llaboration dune offre de services adapts par domaines dactivits (Banque,

Assurance et Industrie).

La dmarche pourra tre dcompose en modules indpendant, rpondant au mieux

aux besoins pointus des clients et la taille de la structure.

Laudit et lvaluation des risques informatiques lis aux SI.

La mise en place dune base de connaissance des risques informatiques qui pourra tre

largie aprs chaque mission

Rpondre aux spcificits des domaines bancaires et dassurance rgis par les

rglementations Ble II et Solvency II

Assurer la continuit des activits

La mise en place dun systme de prvention des risques IT et dune cartographie

gnrale des risques informatiques

Cette dmarche devrait apprhender tant les enjeux mtiers que les spcificits du

management des risques informatiques. Une approche mthodologique, base sur des

rfrentiels de bonnes pratiques doit tre adopte pour faire face ces enjeux.

1.3.4. Dfinition du projet :

1.3.4.1. Primtre du projet

La dmarche vise couvrir lensemble des risques informatiques qui peuvent mettre le

systme dinformation en danger. La mthode devra couvrir les domaines informatiques

suivants :

17


La scurit informatique

Lexploitation informatique

La planification et la stratgie informatique

Les ressources humaines

La relation avec les prestataires et les tiers externes

Lacquisition des applications

Le dveloppement et la maintenance des applications

La gestion du matriel

La continuit des services informatiques

Linfrastructure rseaux

La gestion des locaux informatiques

1.3.4.2. Conduite du projet

Pour assurer le bon droulement du stage, le projet a t dcoup en trois phases

classiques, suivant la charte Deloitte de gestion des projets, au terme desquelles des points de

contrles sont dfinis. Chaque tape fait l'objet d'un livrable et d'une validation avec le

manager. Cela permet de matriser la conformit des livrables aux besoins spcifis et de

s'assurer de la ralisation des objectifs fixs. Ainsi, le projet a t dcoup suivant trois

phases :

Phase du cadrage : Cette phase permet de prendre conscience du projet, cadrer et

dfinir les diffrentes tapes du projet.

Phase de la ralisation : Il s'agit du dveloppement et de la ralisation de la

dmarche.

Phase de la validation : il s'agit de lindustrialisation et la mise en production de la

mthode, c'est- dire s'assurer quelle est conforme aux attentes des utilisateurs.

18


1.3.4.2.1. Etapes du projet :

La figure suivante (figure 1.3) dcrit les tapes de conduite du projet de fin dtude :

1.3.4.2.2. Planning du projet :

La figure suivante (figure 1.4) reprsente le diagramme de Gantt, ralis laide de loutil

Microsoft Project 2007, correspondant au planning de ce projet :

Figure 1.4 : Planning du projet

Figure 1.3 : Phases du projet

19


Les dtails sont prsents dans le tableau ci-dessous (tableau 1.1) qui dcrit chaque

tche prsente prcdemment dans le diagramme de GANTT :

Tche Description

Mission daudit Cest lintervention tout au long du stage, dans

des missions daudit des systmes dinformations

Prise de connaissance du projet Cette tape consiste la prise de connaissance du

projet

Dfinition des besoins La dfinition des besoins consiste cerner les

besoins de Deloitte Maroc pour la mise en place

de la dmarche

Etude Benchmark Ltude Benchmark est ltude des diffrentes

mthodes existantes sur le march pour tirer les

bonnes pratiques du management des risques SI

Conception de la dmarche Cest la dfinition des processus gnraux de la

dmarche, avec la liste des livrables et les

spcificits de chaque tape de la dmarche

Ralisation des modles des livrables de

la dmarche

Cette tape consiste standardiser les modles

des livrables de la dmarche

Elaboration dune base de connaissance

des risques IT

Cette phase du projet, consiste la mise en place

dune base de connaissance contenant la majorit

des risques SI (cette base sera alimente fur et

mesure du droulement des missions)

Application un cas pratique et

validation

Cette tape consiste mettre en pratique la

dmarche dans une mission de conseil SI

En effet, ce planning a t adapt au fur et mesure du projet, et de lgres modifications lui

ont t apportes, selon la connaissance relle de chaque tape.

1.4. Conclusion

Dans ce chapitre, nous avons prsent le cadre global du projet, relev la problmatique

du sujet et identifi les objectifs de la mise en place de la dmarche. Le chapitre suivant sera

consacr la prsentation des rsultats de ltude benchmark qui a t ralise sur la base des

mthodes et rfrentiels les plus importants de management des risques IT existants sur le

march.

Tableau 1.1 : Description des tapes du projet

20


2. Deuxime chapitre : Etude Benchmark

Le prsent chapitre prsente ltude pralable contenant les lments qui nous ont guids

dans la mise en place de notre approche, et qui permettront dadopter une dmarche

professionnelle et conforme aux bonnes pratiques du management des risques. En effet, la

dmarche a t labore en se basant en premier lieu, sur la dmarche daudit suivi par

DELOITTE dans les missions de contrles gnraux informatiques, et en deuxime lieu sur la

synthse de ltude benchmark des diffrentes mthodes et rfrentiels existants sur le

march.

2.1. Prsentation des Missions de Contrles Gnraux Informatiques

2.1.1. Prsentation des missions

Les missions de Contrles Gnraux Informatiques, (ou laudit des systmes

dinformation en support aux commissaires aux comptes) ont pour objectif la revue des

procdures et systmes afin de sassurer que les activits de contrles lies aux systmes

dinformation scurisent de manire raisonnable les flux dalimentation de la comptabilit

gnrale et que les contrles internes mis en place sont efficaces.

2.1.2. Description du droulement des missions

Les missions de contrles gnraux informatiques ou daudit des SI se droulent

principalement chez les clients. En effet, suite des entretiens avec les responsables

informatiques, les auditeurs prennent connaissance de lentreprise audite et de ses systmes

informatiques qui impactent les flux comptables. Ensuite, lquipe daudit SI procde

lanalyse de la documentation, la ralisation de tests sur la base dchantillons reprsentatifs

et la visite des locaux. Finalement, aprs une sance de validation avec les responsables

concerns, un rapport de synthse sous forme dune lettre de recommandation , contenant

les observations, la conclusion de lefficacit du fonctionnement des activits de contrle et

les points damliorations que pourra adopte lentreprise dans le futur, est livre au client.

21


2.1.3. Apport des missions daudit la dmarche de gestion des

risques IT

La participation, tout au long du stage, des missions sur le terrain pour a constitu

une initiation aux bonnes pratiques de laudit informatique, et a permis la familiarisation avec

le jargon de ce domaine. Parmi les travaux raliss au cours de ces missions, on cite :

Droulement du questionnaire daudit.

Participation des entretiens avec les responsables informatiques

Rdaction dune premire version du rapport final de synthse, base sur les entretiens

avec les responsables concerns et sur lanalyse de la documentation internes de

lentreprise.

Rdaction des papiers de travail

Lecture et analyse des procdures informatiques, des politiques de scurit, des plan

de secours informatiques et des plan de continuit de services.

Audit de la qualit et de la fiabilit des processus mtiers

Audit de la fiabilit des dversements des flux comptables

Audit de la mthodologie de gestion des projets

Extraction des processus mtiers et SI et des contrles lis ces processus

Participation la rdaction des offres de services

Ralisation dune premire version de lArt Pack* des flux comptable des clients

*Art Pack : Mthodologie interne propre Deloitte qui dcrit le dnouement dun processus.

2.2. Analyse des mthodes existantes : tude Benchmark

En plus de se baser sur la mthodologie DELOITTE daudit, une tude Benchmark a t

ralise par rapport aux mthodes existantes sur le march pour affiner notre dmarche et

sinspirer des bonnes pratiques du management des risques. Le schma suivant (figure 2.1)

dcrit le processus suivi pour mener bien cette tude, qui constitue une phase pralable la

conception de la mthode personnalise.

22


2.2.1. Cadrage de ltude

Ltude benchmark consiste sinspirer des meilleurs pratiques en matire du

management des risques pour affiner la dmarche. Pour ce faire, nous allons tudier les

principales mthodes et rfrentiels dvaluation de risques qui existent sur le march pour

tirer une synthse gnrale des points qui pourront impacter notre dmarche.

2.2.2. Documentation

Vu le grand nombre des mthodes traitant les risques, cette phase est la plus

importante en termes de dure. En effet, il existe plus de 200 mthodes de gestion des risques,

publies ou internes aux socits, confidentielles ou non. Lobjectif de cette tape est de faire

un tour dhorizon des diffrentes mthodes de gestion des risques et davoir une premire ide

sur la structure de ces dmarches et leur domaine dapplication.

2.2.3. Choix des mthodes

La diversit et la multiplicit des normes et mthodes reprsentent souvent une source

de difficult et consomme beaucoup de temps. Par consquent, pour optimiser ltude, il est

essentiel de limiter le champ de recherche et de se focaliser sur quelques mthodes tudier

selon des critres bien prcis :

Origine de la mthode

Tmoignages des clients et retour dexprience

Anciennet de la mthode

Langues : disponibilit de la mthode dans la langue franaise ou anglaise

Qualit et disponibilit de la documentation

Popularit : Les mthodes trs connues offrent un rservoir de personnel

qualifi pour leur mise en uvre.

Flexibilit et modularit

Efficacit sur le march

Figure 2.1 : Dmarche de ltude Benchmark

Cadrage de l'tude

Docummentation Choix des mthodes

Alanyse approfondie

Synthse

23


Aprs une premire recherche, le choix sest finalement port sur :

3 mthodes de gestion des risques : CRAMM, EBIOS, MEHARI

3 Rfrentiels de bonnes pratiques : COSO ERM, ISO 27005, Risk IT

Cest surtout lefficacit et la popularit de ces approches qui sont entres en ligne de compte

pour effectuer ce choix.

2.2.4. Analyse approfondie

Dans cette partie, nous allons dtailler ltude effectue et prsenter les six approches

slectionnes :

2.2.4.1. CRAMM : CCTA Risk Analysis and Management Method (rf: http://cyberzoide.developpez.com/methodes-analyserisques)

Cramm est une mthode labore par Siemens en Angleterre et est soutenue par le

gouvernement. Cette approche exhaustive est assez lourde, rserve essentiellement aux

grandes entreprises puisqu'elle se base sur une base de connaissance denviron trois milles

points de contrle.

En plus de la base de connaissance, des logiciels sont fournis avec la mthode des

fins de simulation, de reporting et de suivi des contrles. La figure ci-dessous (figure 2.2)

prsente une vue gnrale de la mthode :

En effet, cette mthode est compose de trois phases :

1. Ltude de l'existant : permet de dresser linventaire des quipements, la

cartographie applicative, et lensemble des donnes qui constituent le

patrimoine informatique sur laquelle repose le systme dinformation de

Figure 2.2 : Architecture gnrale de la mthode CRAMM

24


l'entreprise. Chacun de ces lments est valu en termes de gravit dimpact

et de cot en cas darrt (indisponibilit, altration, destruction...).

2. Lvaluation des menaces et des vulnrabilits consiste mettre le point sur

les diffrentes failles dans le systme dinformation qui peuvent reprsenter de

rels risques.

3. Mise en place des rponses aux risques consiste slectionner parmi une

base de trois milles contre-mesures possibles les rponses aux risques mettre

en place.

2.2.4.2. EBIOS : Expression des Besoins et Identification des Objectifs de

Scurit (rf:http://cyberzoide.developpez.com/methodesanalyserisques)

EBIOS est une mthode qui permet d'identifier les risques d'un systme dinformation

et de proposer une politique de scurit adapte aux besoins de l'entreprise ou d'une

administration. Elle a t cre par la DCSSI (Direction Centrale de la Scurit des Systmes

d'Information) du Ministre de la Dfense (France).

La mthode EBIOS se compose de plusieurs guides (Introduction, Dmarche,

Techniques, Outillages) et d'un logiciel permettant de simplifier l'application de la

mthodologie explicite dans ces guides. La figure ci-dessous (figure 2.3) prsente une

larchitecture gnrale de la mthode EBIOS :

En effet, cette mthode est compose de cinq phases :

1. L'tude du contexte : permet davoir une vue globale sur le systme dinformation

cible. Cette tape dlimite le primtre de l'tude, le dtail des quipements, des

logiciels et de l'organisation humaine de l'entreprise.

Figure 2.3 : Dmarche gnrale de la mthode EBIOS

25


2. L'expression des besoins : permet d'estimer les risques et de dfinir les critres de

ltude des risques.

3. L'tude des menaces : permet d'identifier les risques en fonction non plus des besoins

des utilisateurs mais en fonction de l'architecture technique du SI.

4. L'identification des objectifs : confronte les besoins de scurit exprims et les

menaces identifies afin de mettre en vidence les risques contre lesquels le systme

dinformation doit tre protg.

5. La dtermination des exigences de scurit : dtermine le niveau de scurit exig.

2.2.4.3. MEHARI : Mthode Harmonise d'Analyse de Risques (rf: http://cyberzoide.developpez.com/methodes-analyserisques)

MEHARI a t dveloppe par le CLUSIF depuis 1995, elle est drive des mthodes

Melisa et Marion. Elle est utilise par de nombreuses entreprises publiques ainsi que par le

secteur priv. La dmarche gnrale de Mehari consiste en l'analyse des enjeux de risques et

en la classification pralable des entits du SI en fonction de trois critres de scurit de base

(confidentialit, intgrit, disponibilit). Ces enjeux expriment les dysfonctionnements ayant

un impact direct sur l'activit de l'entreprise. Puis, des audits identifient les vulnrabilits du

SI. La figure suivante (figure 2.4) prsente une vue globale de larchitecture de la mthode :

Figure 2.4 : Dmarche gnrale de la mthode MEHARI

26


Mehari s'articule autour de 3 types de livrables :

1. Le Plan Stratgique de Scurit : fixe les objectifs de scurit ainsi que les

mtriques permettant de les mesurer.

2. Les Plans Oprationnels de Scurit : dfinissent pour chaque site les mesures

de scurit qui doivent tre mises en uvre.

3. Le Plan Oprationnel d'Entreprise : assure le suivi de la scurit par

l'laboration d'indicateurs sur les risques identifis et le choix des scnarios de

catastrophe contre lesquels il faut se prmunir.

2.2.4.4. COSO- ERM : Committee Of Sponsoring Organizations of the

Treadway Commission Entreprise risque management

(rf : www.coso.org)

Le COSO est un rfrentiel de contrle interne qui propose un cadre de rfrence pour

la gestion des risques de lentreprise. En effet ce rfrentiel consiste :

identifier les menaces potentielles pouvant affecter lorganisation

matriser les risques afin quils soient dans les limites du niveau de risque permis

fournir une assurance raisonnable quant la ralisation des objectifs de

lorganisation.

En effet, ce cadre de rfrence vise aider lentreprise atteindre ces objectifs rpartie sur

quatre catgories:

Objectifs stratgiques

Objectifs oprationnels

Objectifs de reporting

Objectifs de conformit aux lois et aux rglementations en vigueur

La figure 2.5 prsente le cube de base liant les objectifs que veut attendre une entreprise avec

le dispositif du management du risque selon COSO :

27


Cette reprsentation illustre une vue globale du management des risques dans sa globalit ou

par domaines dobjectifs

2.2.4.5. ISO 27005 (rf : www.wikipedia.org)

La norme ISO 27005 est un standard publi en Octobre 2008. Elle explique en dtail

comment conduire l'apprciation des risques et le traitement des risques, dans le cadre de la

scurit de l'information. La norme ISO 27005 propose une mthodologie de gestion des

risques en matire d'information dans l'entreprise conforme la norme ISO/CEI 27001. La

norme ISO 27005 applique la gestion de risques le cycle d'amlioration continue PDCA

(Plan, Do, Check, Act) utilis dans toutes les normes de systmes de management :

1. Phase Plan : Identification des risques, valuation des risques et dfinition des

actions de rduction des risques

2. Phase Do : lentreprise ralise ce quelle a planifi dans ce domaine

3. Phase Check : lentreprise vrifie quil nexiste pas dcart entre ce quelle a dit et

ce quelle a fait

4. Phase Act : Modification du traitement des risques selon les rsultats

La figure suivante (figure 2.6) dcrit larchitecture globale des processus de la norme ISO

27005 :

Figure 2.4 : Cube COSO

28


2.2.4.6. Risk IT (rf : www.afai.fr)

RISK IT est le rfrentiel de management du systme dinformation et des

technologies par les risques. Cest un guide de principes directeurs et de bonnes pratiques. Il

aide les entreprises mettre en place une gouvernance informatique orient risque, identifier

et grer efficacement les risques informatiques. Il a t ralis par une centaine dexperts

internationaux de lISACA et adapt en langue franaise par lAFAI, chapitre franais de

lISACA, en coopration troite avec dautres chapitres francophones. Ainsi, RISK IT

participe la mise en place et lamlioration de la gouvernance de linformatique, ce

dautant mieux quil est interfac avec COBIT et Val IT. RISK IT comprend deux documents,

le Rfrentiel RISK IT et le Guide Utilisateur RISK IT :

Le Rfrentiel RISK IT prsente de faon dtaille le modle de management

par les risques informatiques reposant sur 3 domaines, 9 processus et 47

bonnes pratiques

Le Guide utilisateur RISK IT aide mettre en place le modle. Complment

indispensable de RISK IT, il en dtaille les concepts. Il fournit de nombreux

conseils, exemples et outils daide au management par les risques

informatiques. On y trouve notamment, au titre de lvaluation des risques, une

cartographie sappuyant sur 36 scnarios de risque informatique.

Figure 2.6 : Processus gnraux de la norme ISO 27005

29


La figure 2.7 dtaille les domaines gnraux du rfrentiel RISK IT :

2.2.5. Synthse (rf : www.dvellopez.com/mthodeanalysesrisque)

En rsultat cette tude benchmark, nous allons rcapituler avec des tableaux

synthtiques et comparatifs des mthodes tudies. Ensuite, nous exposerons la synthse

proprement dite de cette tude, avant de sortir avec des constats quant aux points importants

exploiter pour llaboration de la dmarche.

2.2.5.1. Tableaux de synthse

Le tableau ci-dessous (tableau 2.1) prsente une synthse des principales

caractristiques de mthodes danalyse de risques :

CRAMM EBIOS MEHARI

Auteur Siemens DCSSI CLUSIF

Pays Angleterre France France

Cration 1986 1995 1995

Popularit ** *** ***

Figure 2.7 : Domaines du rfrentiel Risk IT

30


Soutenue par Gouvernement Gouvernement Association

Outils disponibles CRAMM EBIOS RISICARE

Assistance et

support

Guides ; bases de

connaissances

Guides; Bases de

connaissances;

Guides ; bases de

connaissances ;

Moteurs dvaluation quantitative

Adaptabilits aux

contextes

Grandes entreprises Administrations &

Grands comptes

Administrations &

Grands comptes

PME / PMI

Le tableau suivant (tableau 2.2) prsente un comparatif des points forts et faibles des trois

mthodes slectionnes danalyse des risques

En deuxime lieu, on se propose de prsenter ci-dessous un tableau rcapitulatif (tableau 2.3)

dcrivant les trois rfrentiels de gestion des risques choisis :

Points forts Points faibles

CRAMM - Mthode exhaustive

- Grande base de connaissance

- Approche structure

- Fournit une liste complte des

risques et des contrles mettre

en place

- Trs lourde appliquer

- Adapter seulement aux

grandes entreprises

- Non modulable

- Logiciel payant

- Existe seulement en langue

anglaise

EBIOS - Peut sappliquer quelle que soit la taille du SI tudi

- Approche modulaire,

exhaustive et simple

-Compatible avec les normes

internationales

- Ne fournit pas de

recommandations scuritaires

-Pas de mthode

daudit/dvaluation

Mehari - Approche modulaire

- Permet une analyse directe et

individualise des situations de

risques

- Fournit une gamme complte

doutils adapts la gestion de la scurit

- Compatible avec les normes

ISO 2700x

- Ne correspond pas aux

TPE/PME nayant aucune culture de scurit

informatique

- Ne fournit pas danalyse permettant la conformit

technique

- Logiciel payant

Tableau 2.1 : Synthse des principales caractristiques de mthodes de gestion des

risques

Tableau 2.2 : Comparatif des mthodes de gestion des risques

31


COSO ERM ISO 27005 RISK IT

Auteur COSO ISO ISACA

Cration 2008

Popularit *** *** ***

Type Rfrentiel Norme Rfrentiel

Description rfrentiel de contrle

interne qui propose un

cadre de rfrence pour

la gestion des risques de

lentreprise liant les

diffrents objectifs de

lorganisme aux

lment du dispositif de

management des

risques

Norme cr pour

encadrer le

dveloppement et la

mise en place dun

Systme de

management des

risques dans le cadre de

la scurit des

Systmes

dinformations

Rfrentiel qui

concerne

Le management des

risques en

gnral. Il dcompose

tout SI en 9 processus

rpartis en 3 domaines

interconnects les uns

aux autres.

Vision risque Le risque est trait dans

un cadre global de la

mise en place dun

dispositif de

management des

risques

Trait tout au long du

rfrentiel

Le risque est trait

dans une vision de la

gouvernance COBIT

en tenant compte des

objectifs mtiers /

affaires

2.2.5.2. Synthse

La conclusion quon peut tirer de cette tude, est que les mthodes et rfrentiels

tudis fournissent plusieurs techniques et outils pour atteindre le mme objectif : celui de

mettre en place un dispositif de protection contre les risques en dfinissant un certain nombre

de contrles et en sappuyant sur une approche de management des risques. Toutefois, le

niveau de dtail et de couverture de ces approches est trs vari, ce qui fait merger deux

dimensions : tendue et granularit. En effet, certaines mthodes telles que Risk IT ou COSO

sont trs tendues et traitent les diffrentes facettes de linformatique, mais elles noffrent pas

Tableau 2.3 : Description des principales caractristiques des rfrentiels tudis

32


le mme niveau de prcision que la mthode MEHARI, elles se contentent de fournir les

lignes directrices dans une vision de gouvernance.

Dautre part, on remarque quil existe une diffrence conceptuelle et un manque

dinteroprabilit entre les mthodes danalyses de risque tudies : MEHARI, EBIOS et

CRAMM utilisent des termes diffrents pour dsigner le mme concept, et ont recours des

outils varis.

2.2.5.3. Points exploiter

A lissue de ltude benchmark, et sinspirant fortement des missions de contrles

gnraux informatiques, nous avons pu dfinir les caractristiques requises pour la nouvelle

dmarche daudit scurit. Ainsi, cette dernire devra tre :

Modulaire : Compte tenu de la diversit des secteurs dactivit des clients du

cabinet, la mthode doit tre adapte la complexit du SI en question. En

dautres termes, elle devra tre compose de modules dcomposables et

indpendants les uns des autres, qui offrent la possibilit dtre utiliss en

intgralit ou sparment.

But : Rpondre au problme de rigidit et de la non adaptabilit aux

contextes.

Adapt aux spcificits des activits des clients : Il est ncessaire de prvoir

une analyse des risques mettant en avant lactivit de lentreprise en se

conformant aux diffrentes rglementations (Ble II pour les banques et

Solvency II pour les assurances)

Une dmarche cyclique : La dpendance des activits de lentreprise vis--vis

des NTIC nous dicte une dmarche rigoureuse de gestion des risques. De ce

fait, nous sommes dans lobligation de concevoir une solution cyclique dans le

cadre dune vision damliorations continue.

Une vision globale : Pour une efficacit et pertinence de la solution propose,

tous les aspects relatifs lenvironnement technique, humain, et

organisationnel de lentreprise doivent tre pris en compte dans une approche

cohrente et homogne.

33


Oriente mtier : Enfin, lapproche propose doit apprhender les enjeux

mtiers et doit tre oriente business , cela permet aussi bien de rpondre

des besoins directs des fonctions mtiers quimpliquer le top management.

2.3. Conclusion

Ce chapitre a donn un aperu sur les normes et bonnes pratiques les plus connues en

management des risques informatiques. A la fin de cette partie, une synthse concernant cette

enqute a t tablie. Dans le chapitre suivant, nous allons prsenter notre dmarche

personnalise, labore partir des mthodes tudies lors du benchmarking, et de

lexprience des missions de contrles gnraux informatiques.

34


3. Troisime chapitre : Elaboration de la dmarche personnalise de la gestion des risques IT

Ce chapitre a pour objectif de prsenter la nouvelle dmarche de gestion des risques IT et

les principaux processus qui la constituent, nous dcrirons particulirement les tapes de la

dmarche personnalise, construite bloc par bloc partir de composants et de principes des

mthodes tudies dans le chapitre prcdent, et conforme aux normes de Deloitte. La

dmarche est destine tre mise en place au sein du cabinet pour mener les missions daudit

et de conseil des risques SI.

3.1. Description gnrale de la dmarche

3.1.1. Justification de la proposition

Afin dassurer une bonne continuit de ses services, lentreprise se trouve dans la

ncessit de mettre en place un vritable dispositif de management des risques, faute de quoi,

tout effort envisag en matire de rduction des risques demeurera vain. Dans ce cadre, nous

avons jug judicieux de proposer un service complet daccompagnement aux entreprises dans

leur dmarche de gestion des risques informatiques, qui ira au-del dun simple audit : elle

proposera une assistance limplmentation des rponses aux risques au sein de lentreprise,

et lui permettra dassurer la continuit de ses services travers lintgration de la culture du

risque dans le Plan de Continuit dactivit (PCA), le Plan de Reprise dactivit (PRA), le

plan de secours informatique et la Politique de scurit des Systmes dinformation (PSSI).

3.1.2. Description gnrale de la mthode

Dans ce qui suit nous allons prsenter les tapes de la dmarche de gestion des risques IT

labore. En annexe, nous retrouverons des extraits des outils que nous avons conus pour

drouler la mthode de bout en bout. La mthodologie que nous proposons prend en compte

les critres cits lors de la synthse du chapitre prcdent, et rpond aux objectifs qui lui ont

t assigns, savoir :

La flexibilit dans dutilisation

Ladaptabilit aux diffrents contextes et secteurs (banques, assurance et industrie)

La modularit

Ladaptation aux besoins du client

La prise en compte des rglementations spcifiques (Ble II, Solvency II)

35


prise en compte du volet mtier

La figure ci-dessous (figure 3.1) dfinit larchitecture gnrale des processus de la dmarche :

3.2. Description dtaille de la dmarche

Dans cette partie, on se propose de dtailler chaque processus de la dmarche en prcisant

la dfinition, les objectifs ainsi que la liste des livrables pour chaque processus.

3.2.1. La Proposition

3.2.1.1. Dfinition du processus:

Ltape de la proposition, ou lmission de loffre de service, est une tape classique dans

le domaine du conseil ou de laudit en gnrale. En effet, la proposition est un document qui

Figure 3.1 : Processus gnraux de la dmarche personnalise

36


constitue une rponse formelle un appel doffre mis par une socit pour la mise en place

dune analyse des risques des systmes dinformations. Ainsi, les cabinets sont dans

lobligation dtablir une proposition formalise qui va rsumer loffre technique et

financire. Ce document de rfrence servira dappui pour valoriser le cabinet et ses

prestations, et justifier son choix par les clients.

3.2.1.2. Objectif du processus :

Cette premire phase vise llaboration du document de la proposition, qui est la fois :

Une demande de ngociation : La proposition sert convaincre le client de

limportance de la mise en place dune analyse des risques IT et de justifier le

choix de la dmarche.

Un support de rflexion : La proposition permet de mettre en vidence la

problmatique de lintervention. Elle est aussi un moyen pour montrer la valeur

ajoute de notre dmarche de gestion des risques informatiques et du cabinet.

Un support de communication : La proposition doit aussi faciliter la

communication et la propagation de linformation avec les diffrentes parties

prenantes lintervention du ct de lentreprise et de donner plus de dtails sur

les prestations du cabinet lors de la mission, ainsi que sur la contribution de chaque

partie.

Une assurance de la qualit de lintervention : La proposition contribue

assurer la qualit des interventions qui en dcoulera. Elle constitue un champ

dentente entre le client et le cabinet sur les objectifs de lintervention, le mode

opratoire et les rsultats atteindre.

Un outil de promotion du consultant : La proposition doit mettre en valeur les

comptences de lquipe intervenante, loriginalit de la dmarche ainsi que la

qualit de lintervention que le client peut esprer.

Base de lengagement contractuel : cest les bases contractuelles qui pourront

tre tablies avec le client, savoir les dlais de lintervention et les rgles

respecter (rgles de confidentialits, de comportement au sein de lentreprise, ..)

Proposition financire : La proposition dcrit aussi la proposition financire et le

budget total de lintervention. Le budget est souvent calcul en jour /homme

37


3.2.1.3. Contenu de la proposition :

La proposition est un document de rponse lappel doffre du client. En effet, le cabinet

devra mettre en vidence de faon explicite 8 points essentiels dans sa proposition pour

convaincre le client, comme il est dmontr dans la figure 3.2 :

3.2.1.4. Livrable de la phase

A la fin de cette phase, on devra prsenter une proposition de service du cabinet

rcapitulant les huit points cits prcdemment.

Pour faciliter la tches aux consultants / auditeurs du cabinet, on a essay de standardiser la

proposition de service au maximum. Ainsi, on a labor trois modles standards de

proposition de service adaptable selon la nature de lactivit du client :

Proposition de service gnrale

Proposition de service oriente vers le secteur bancaire

Proposition de service orient vers le secteur des assurances

Le tableau ci-dessous (tableau 3.1) rsume la phase de la proposition, liste les livrables et les

outils spcifiques chaque tape :

La proposition

Domaines Livrables Outils

Offre de service gnrale.pptx

Figure 3.2 : Points cls de la proposition

Proposition de service gnrale

Offre de service

38


Offre de service Banque.pptx

Offre de service Assurance.pptx

3.2.2. Phase de cadrage de la mission

3.2.2.1. Dfinition de la phase de cadrage

Aprs lobtention du march, on se retrouve dans la phase de cadrage. Cette tape permet

de cadrer la mission et de redfinir exactement les grandes lignes de lintervention et de la

dmarche en cohrence avec ce qui a t spcifi dans la proposition. En effet, cette phase

permet la dfinition, avec plus de dtail, du primtre sur lequel sera mene l'analyse des

risques (matriels, logiciels, quipes de support, donnes, interfaces, processus, criticit des

systmes, contraintes mtiers).

Cest une tape amont qui permet de prparer les entretiens avec le client et dassurer que

lintervention se droule dans de bonnes conditions. Elle constitue un rappel des points cls

quil faudra aborder pour mener lintervention.

3.2.2.2. Objectif de la phase de cadrage

Lobjectif de ce processus est la dfinition de manire formelle et organise, des tapes de

lintervention. Ce processus a pour but de mettre en vidence :

Le champ de lintervention

Les objectifs gnraux de la mission

Donner plus de dtails au client par rapport la dmarche

Dfinir les interlocuteurs

Dfinir le planning dtaill de la mission

3.2.2.3. Description dtaille de la phase de cadrage

La phase de cadrage est dcompose en trois tapes :

La runion de lancement de la mission

La dfinition du primtre et prise de connaissance du SI cible

La dfinition du plan de lintervention

Proposition de service (secteur bancaire)

Proposition de service (secteur des assurances)

Offre de service

Offre de service

Tableau 3.1 : Synoptique de la phase de la proposition

39


3.2.2.3.1. La runion de lancement de la mission :

La runion de lancement est une tape cl indispensable pour le bon commencement

de la mission. Elle permet de :

Dtailler les objectifs gnraux de lintervention

Rpondre aux questions du client

Dfinir en dtail les attentes du client

Dtailler les grandes lignes de lintervention et de la dmarche

Identifier lentit responsable de la mission

Identifier les proccupations ou les secteurs sur lesquels le client souhaiterait

mettre plus le point

Identifier les interlocuteurs interviewer et qui peuvent rpondre aux questions

dtailles concernant les oprations quils effectuent

Etablir un calendrier dintervention de lquipe (planning)

Mettre le point sur la communication durant la mission et sur les livrables.

A lissue de cette premire runion, on devra disposer dun document contenant la

synthse des objectifs, le planning et la charge prvisionnelle, les modalits de suivi de la

mission ainsi que les actions futures. On devra aussi rdiger un PV de runion afin

dassurer la traabilit des phases de la mission.

3.2.2.3.2. La prise de connaissance du SI cible

Avant dentamer la planification dtaille, il est essentiel que lquipe

dintervention acquire une vue globale du SI du client. Cette tape permet didentifier le

primtre dintervention et de mettre le point sur les diffrentes composantes du SI cible.

Cette tape pourra se faire grce des entrevues avec les responsables ou la consultation

des documents prliminaires (rapport daudit, procdures informatiques, cartographie

applicative, cartographie de linfrastructure rseau, ..). Ainsi, pour donner plus de dtails,

cette tape consiste identifier les processus clefs et leurs composants, cest--dire :

Dfinir les domaines dactivits de lentreprise

Dfinir les processus majeurs de lentreprise, cest - dire les processus qui

contribuent majoritairement aux objectifs fixs par la direction et qui sont

critiques pour notre analyse des risques.

Fournir une description formalise du SI cible

Reprsenter les dversements et les interactions entre les systmes

Offrir une vie globale et synthtique du SI

40


A lissue de cette phase, une cartographie descriptive des processus cls du SI est mise en

uvre, laide dune fiche descriptive des processus, ainsi quune modlisation formalise du

SI suivant une dcomposition propre notre dmarche en 4 sous-domaines : Organisation,

ressources humaines, infrastructure matriel et logiciels. Comme langage de modlisation,

nous avons choisi UML, quil est un langage universellement reconnu, polyvalent, performant

et qui facilite la comprhension de reprsentations abstraites complexes.

Aprs lidentification de processus clefs, on se propose ensuite de dfinir le plan

dintervention, cest--dire lidentification des processus et volets SI qui seront soumis une

analyse des risques informatiques.

3.2.2.3.3. Dfinition du Plan dintervention :

Aprs avoir pris connaissance de lenvironnement de lentreprise et du systme

dinformation cible, on devra dfinir un plan dintervention dcrivant la faon dont

lintervention sera structure et excute dans le cadre du management des risques IT.

Le plan dintervention de notre dmarche comprend les lments suivant :

Mthodologie : cest la dfinition des approches, outils, documents et sources de

donnes pouvant tre utiliss pour raliser la mission.

Interlocuteurs : cest la liste des interlocuteurs.

Calendrier : cest le planning et la dure estime de lintervention.

Primtre : cest le primtre sur lequel sera mene lintervention, savoir les

domaines de risques, les processus mtier concerns,

3.2.2.4. Livrable de la phase de cadrage

A la fin de cette phase, on devra livrer les documents suivants :

Compte rendu de runion de lancement

Support de la runion : au cas o il yaurait des documents comme support.

Fiche des processus

Plan dintervention (note de cadrage)

Le tableau suivant (tableau 3.2) synthtise les tapes de la phase de cadrage, liste les livrables

et les outils spcifiques chaque tape :

41


Phase de cadrage

Etapes Livrables Outils

Compte rendu runion.doc

- Dfinition des processus clefs

- Diagrammes de modlisation du

SI cible (diagrammes UML)

fiche processus.pptx

Plan d'intervention.ppt

3.2.3. Identification des risques

Lidentification des risques vise rpertorier de la manire la plus exhaustive possible,

tous les vnements gnrateurs de risques lis au systme dinformation et documenter

leurs caractristiques et catgories selon leurs types. La figure 3.3 prsente les diffrentes

phases de cette partie :

Runion de

lancement

Description du SI

cible

Dfinition du

plan

dintervention

Synthse des

objectifs de la

mission

Cartographie

des processus

et des

applications

Plan dintervention

Planning de la

mission

Fiche de

description de

chaque

processus

Modlisation

du SI cible

Tableau 3.2 : Synoptique de la phase de cadrage

Recueil d'information

Analyse des menaces

Analyse des vulnrabilits

Analyse des contrles

Liste des risques

Figure 3.3 : Phases de lidentification des risques

42


Dans ce qui suit, on se propose de dtailler chaque tape cite prcdemment.

3.2.3.1. Recueil dinformation :

Pour bien entamer lintervention de lanalyse des risques chez le client, le consultant

devra procder un recueil dinformation laide doutils didentification des risques utiliss

de faon complmentaire, savoir :

Laudit documentaire

Les entretiens

Les visites de sites

Les questionnaires.

3.2.3.2. Analyse des menaces

Lanalyse des menaces est lanalyse des vnements ou circonstances selon lesquelles le

systme dinformation peut tre mis sous le risque. Dans notre dmarche, on sest propos de

lister plusieurs groupes de menaces : Saturation du systme, dysfonctionnement du SI, Vol de

matriel, Phnomne climatique, sismique, volcanique, mtorologiques, Erreur humaine, etc.

Ainsi, une liste des menaces exhaustive a t tablie et intgre dans la base de connaissance

livre avec la dmarche (Voir Annexe I). Cette liste a t dcompose suivants les domaines

spcifies prcdemment : scurit, exploitation, organisation et planification, etc.

3.2.3.3. Analyse des vulnrabilit

Lanalyse des vulnrabilits est lanalyse des failles ou des faiblesses dans le systme

dinformation et qui pourraient tre exploites et conduire mettre le systme dinformation

sous le risque. En effet, pour chacune des menaces, il faudrait analyser les vulnrabilits qui

pourraient affectes le SI. Cette analyse se fait au mme temps que lanalyse des menaces.

En effet, pour chaque menace une liste de vulnrabilits correspondantes est mise en place et

est intgre dans la base de connaissance (voir Annexe I). Il est noter que lanalyse des

menaces - vulnrabilits seffectue en se rfrant la base de connaissance quon a tablie

dans le cadre de notre dmarche. En effet, cette base est alimente par celle de la mthode

EBIOS en partie, et contient plus de 1500 couple Menace / Vulnrabilit.

3.2.3.4. Analyse des contrles mis en place ou planifis

Lanalyse des contrles mis en place ou planifis est lanalyse des rponses aux risques,

des pratiques de la scurit, des procdures appliques ou revues, ainsi que les normes et les

43


standards en vigueur afin dvaluer leur efficacit et garantir leur efficience, ou bien se

comparer l'tat de l'art et aux normes en usage. Ainsi, lissue de cette analyse des enjeux

mtiers, une analyse de lefficacit des contrles sera ralise. Pour cela, nous proposons de

drouler un questionnaire daudit personnalis (voir ANNEXE II), que nous avons labor

dans le cadre de la nouvelle dmarche, organis sous 14 domaines (selon la mthode

MEHARI et iso 27005), et aliment par les questions collectes partir de lexprience des

auditeurs du CLUSIF. Ci-dessous la liste des domaines prcits :

1. Politique de Scurit

2. Organisation de la scurit

3. Exploitation

4. Gestion des Ressources humaines (informatique)

5. Scurit Physique et scurit des sites

6. Gestion de linfrastructure rseaux

7. Scurit des systmes et architecture

8. Acquisition, dveloppement et maintenance des SI

9. Production informatique

10. Gestion de la continuit dactivit

11. Organisation et gestion des projets informatiques

12. Gestion des prestataires externes

13. Gestion des bases de donnes

14. Conformit aux lois et rglementation

3.2.3.5. Lister et catgoriser les risques

A lissue de lanalyse des menaces, des vulnrabilits et des contrles mis en place, une

premire synthse globale (liste des risques identifis) devra tre prsente sous la forme

dune cartographie illustrant les rsultats de laudit suivant les 14 domaines dcrits

prcdemment et qui va lister et catgoriser les diffrents risques.

Aussi, la fin de cette tape, un registre des risques, qui va contenir toute les informations

relatives aux risques, devra tre remplie (voir ANNEXE III). Ce registre servira aprs la

mission comme un tableau de bord de suivi de lamlioration des risques.

Le tableau ci-dessous (tableau 3.3) prsente une synthse de ltape didentification des

risques :

44


Identification des risques


Compte rendu runion.doc

Registre des risques.xlsx

3.2.4. Evaluation des risques

Rien ne peut se construire sans un diagnostic exact des risques. Cest dans ce cadre

que se dfinit le processus de lvaluation des risques, qui consiste dfinir lordre de

priorit des risques pour actions ultrieures, par valuation et combinaison de leur probabilit

doccurrence et de leur impact sur le systme dinformation et sur les objectifs SI. En effet, ce

processus vise classifier de manire quantitative les risques informatiques, selon leur ordre

de priorits. Lvaluation des risques est divise en 3 tapes :

Lvaluation des probabilits doccurrence des risques dans le SI

Lvaluation de limpact des risques sur le SI

La classification des risques selon leur niveau de priorit

Recueil

dinformation

Analyse de

menaces

Analyse des

contrles

dintervention

Synthse des

objectifs de la

mission

Liste des

menaces

Etat des contrles

Planning de la

mission

Liste des

vulnrabilits Analyse de

Vulnrabilits

Base de connaissance

personnalise

Base de connaissance

personnalise

question daudit

Tableau 3.3 : Synoptique de la phase didentification des risques

Lister les risques

dintervention Liste des risques

dans le registre

45


Lvaluation des probabilits doccurrence des risques dans le SI :

La probabilit doccurrence des risques est la frquence darrive dun risque dans le SI.

Elle est catgorise en 3 niveaux :

leve : Le risque est trs important et facilement exploitable. Les contrles

existants pour prvenir les vulnrabilits sont insuffisants et/ou inefficaces.

Moyenne : Le risque est important et facilement exploitable. Mais les

contrles sont en place pour liminer l'exploitation de la vulnrabilit.

Faible : Le risque est peu important et les contrles sont en place pour liminer

l'exploitation de la vulnrabilit

Lvaluation de limpact des risques sur le SI :

Avant de mesurer le niveau de risque, cette tape doit permettre de dterminer les effets

nfastes rsultant du risque (limpact du risque). Cette analyse recours essentiellement sur

ltude des cartographies processus IT, l'valuation de l'importance des actifs ou leur valeur

vnale, la criticit des systmes et donnes, etc. L'analyse de ces lments doit permettre de

classifier l'impact potentiel sur ces informations en termes d'intgrit, de disponibilit et de

confidentialit.

La perte d'intgrit. L'intgrit d'un systme ou de donnes rfrent la

capacit de protger son patrimoine de toute modification cela implique aussi

bien les actes intentionnels que accidentels.

La perte de disponibilit. Un systme ou des donnes rendues indisponible

des utilisateurs finaux peut compromettre le fonctionnement d'une entreprise.

La perte de confidentialit. Elle rfre la protection des donnes et

notamment la divulgation non autorise.

Les niveaux d'impact des risques peuvent tre classifis selon 3 niveaux :

lev : Lorsque le risque cause la perte d'actifs trs couteux, ou prsente un

obstacle important dans la mission de l'organisation.

Moyen : Lorsque le risque la perte d'actifs ou prsente un obstacle important

dans la mission de l'organisation.

Faible : Lorsque le risque induit la perte de certains matriels ou actifs.

46


La classification des risques :

L'objectif de cette tape est d'valuer le niveau de risque pesant sur l'environnement IT. Le

risque est exprim en fonction de la combinaison impact/probabilit selon :

La probabilit qu'un risque puisse arriver

L'importance de l'impact du risque

L'adquation des contrles planifis des fins de rduction des risques

La mthode consiste identifier les niveaux du risque laide de la matrice de criticit

(Figure 3.4) :

En effet, on peut dcrire les niveaux de risque comme suit :

lev : Dans le cas d'un risque lev la mise en uvre d'une action corrective

doit tre immdiate.

Moyen : Dans le cas d'un risque moyen des actions doivent tre planifies dans

un dlai raisonnable.

Faible : S'agissant des risques faible soit il peut tre accept, soit faire l'objet

d'actions correctives.

A la fin du processus de lvaluation des risques, on devra :

Mettre jour le registre des risques en spcifiant limpact, la probabilit

doccurrence et la classification des risques.

Elaborer une cartographie complte des risques classifis selon leur criticit.

Figure 3.4 : Matrice de criticit

47


3.2.5. Recommandations

Llaboration des recommandations est une tape cl de la dmarche. Cest vrai que le

diagnostic des risques reste une phase importante, mais ce nest pas suffisant. En effet, le

client attend des solutions ses problmes. Ainsi, les recommandations peuvent tre

labores par le cabinet ou bien par un travail commun client consultant.

Ce processus dcrit llaboration de la liste des recommandations ainsi que ltablissement

du rapport de synthse.

3.2.5.1. Objectif du processus :

Lobjectif de ce processus est dlaborer une liste de contrles ou de mesures de

rduction des risques mettre en place pour liminer ou rduire le risque. Les mesures

doivent tre fournies au regard de leur efficience suppose, de l'impact oprationnel qu'elles

peuvent avoir, de la lgislation en vigueur, des moyens disposition de l'entreprise. Les

recommandations doivent contenir aussi les informations sur le cot du traitement du risque et

la stratgie de traitement. On distingue 4 stratgies classiques de traitement :

Acceptation : aucune mesure n'est prise parce que le niveau de probabilit et

l'impact du risque est faible;

Rduction : faire des dmarches pour rduire la probabilit ou l'impact du risque;

Transfert : confier la gestion du risque un prestataire externe;

Elimination : faire des dmarches pour liminer compltement le risque.

A la fin de cette tape, un rapport de synthse devra tre livr contenant la liste des

recommandations. En effet, la procdure que nous avons labore dans le cadre de notre

dmarche pour la rdaction du rapport de synthse qui doit tre livr, sappuie sur la norme

070 de l ISACA . Ainsi, nous avons dfini les clauses respecter lors de la rdaction du

rapport, que nous avons organis sous trois volets :

La forme et le style,

Le contenu,

Les recommandations.

Chaque recommandation fait lobjet dune fiche de constat prsentant :

Les lments constitutifs du constat,

Les risques associs,

La recommandation de Deloitte,

La rponse de la direction.

48


En effet, les recommandations devront inclure au minimum :

Une tude de la situation existante en termes de risque au niveau du site audit, qui

tiendra compte de laudit organisationnel et physique, ainsi que les ventuelles

vulnrabilits de gestion des composantes du systme (rseau, systmes, applications,

outils de scurit, centre de calcul, plans de continuit..) et les recommandations

correspondantes.

Les actions dtailles (organisationnelles et techniques) urgentes mettre en uvre

dans limmdiat, pour parer aux dfaillances les plus graves et rduire les risques.

Le tableau ci-dessous (tableau 3.4) prsente un synoptique des phases dvaluation des

risques et des recommandations :

Evaluation des risques + Recommandations





3.2.6. Traitement des risques Ce processus consiste accompagner le client dans le traitement et la mise en uvre des

mesures ncessaires pour rpondre aux risques qui encourent son systme dinformation. En

effet, la rponse aux risques vise dvelopper des options et des actions permettant

daugmenter les opportunits et de rduire les menaces relatives aux systmes dinformation.

Analyse des

probabilits

doccurences

Analyse de

limpact

Recommandations

Liste des

menaces

Etat des contrles

Identification des

probabilits

Liste des

vulnrabilits Evaluation des

risques

Template du

rapport

Tableau 3.4: Synoptique des phases dvaluation des risques et recommandations

49


3.2.6.1. Objectif du processus

Lobjectif de ce processus est dtablir un cadre pour des actions de traitement des risques

en dfinissant les conditions de leur mise en uvre : responsable du risque, cot du traitement

du risque, chances, actions conduire chelonnes dans le temps.

Ce processus va permettre en outre de spcifier les actions entreprendre, clarifier les

responsabilits et tablir les chances.

3.2.6.2. Etapes du processus

La rponse aux risques peut tre dcompose en plusieurs tapes :

3.2.6.2.1. Identifier les acteurs du changement :

Lidentification des acteurs consiste identifier les responsables qui auront pour

mission la mise en uvre des contrles ncessaires pour liminer et rduire les risques sujets

dun traitement. Cette tape vise mobiliser les individus impliqus dans le traitement des

risques.

3.2.6.2.1.1. Identifier les actions entreprendre

Lidentification des actions entreprendre est la description dtaille des contrles

mettre en uvre ou des mesures scuritaire pour rpondre au risque.

3.2.6.2.1.2. Dfinir et organiser le plan daction

Cest la dfinition du planning et du cot du traitement.

3.2.6.2.1.3. Mettre en uvre

Cest la mise en pratique du contrle et le dploiement des mesures scuritaires.

3.2.6.2.1.4. Faire un bilan

Cest ltape de formalisation du traitement, cest--dire la synthse de la mise en uvre

du contrle et les rsultats attendus. A la fin de ce processus de traitement des risques, on

devra mettre jour le registre des risques en spcifiant le cot et le responsable de traitement

du risque et formaliser un plan daction formalis.

3.2.7. Suivi et contrle des risques

Ce processus consiste suivre les risques identifis, surveiller les risques rsiduels et

valuer lefficacit du processus de management des risques IT mis en uvre.

Le processus du suivi et contrle des risques vise dresser une analyse de lcart entre ce qui

tait prvu et ce qui est en ralit. En effet, le suivi des risques consiste dterminer si :

50

Projet de Fin dEtudes Dpartement I

Documents

Mise en Place d’Une Démarche Personnalisée de Gestion Des Risques IT Pour DELOITTE- Maroc