GTAG Documents de référence

GTAG Documents de référence

Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats

d’audit TI

Présentateurs « un pour tous, tous pour un »

2

Francis LeBlanc-GervaisCPA, CA, CISA

Directeur

Olivier LegaultCPA, CGA, CISA

Directeur

Gilles SavardCPA, CA, CA-TI, PMP, CISA, ITIL

Directeur principal

Aramis PorthosAthos

GTAG – Pourquoi cette présentation?

• D’après notre expérience, ils sont peu connus et peu utilisés dans la pratique.

• Il y a un questionnement. Quelle est la différenceentre les cadres de référence et les GTAG?

• Commentpouvons-nous utiliser les GTAG?

• Sont-ils des outils de formation intéressants?

• Y a-t-il des programmes d’audit intégrés dans les GTAG?

3

GTAG

Origine• GTAG : Global Technology Audit Guides(Guides pratiques d’audit

des TI)

• Guides développés à la demande du président de l’IIA, David A. Richards en 2005

• Guides développés par des gens en provenance de divers milieux(industries, universités, firmes comptables)

• Orienté principalement vers le personnel de gestion et les auditeurs internes, et non vers le personnel « technique »

• Le premier guide appelé « Les contrôles des systèmes d’information » a été publié en mars 2005

• Le dernier guide appelé « Gouvernance TI » a été publié en 2012

4

GTAG – Objectif visé

• Élaborés par l’IIA, chaque guide traite d’un thèmequi a trait à la gestion, au contrôle et à la sécurité des systèmes d’information.

• Cette série de guides constitue un outil pour le gestionnaire et l’auditeur interne qui peuvent ainsi s’informer sur les différents risques liés à la technologie et sur les pratiques recommandées.

• Expliquer les contrôles TI et la vérification de ces contrôles pour permettre au gestionnaire et à l’auditeur interne de comprendre et de communiquer la nécessité d’un environnement de contrôle TI robuste au sein de leur organisation.

5

GTAG

6

GTAG – 17 guides (#6 enlevé)

• Contrôles des systèmes de l'information (GTAG1) – Anglais seulement

• Contrôles de la gestion du changement et des patchs: un facteur clé de la réussite pour toute organisation (GTAG2)

• Audit continu : Répercussions sur l'assurance, le pilotage et l'évaluation des risques (GTAG3)

• Management de l'audit des systèmes d'information (GTAG4)

• Management et audit des risques d'atteinte à la vie privée (GTAG5)

• Gestion et audit des vulnérabilités des technologies de l'information (GTAG6)

• Infogérance (GTAG7)

• Audit des contrôles applicatifs (GTAG8)

7

GTAG – 17 guides

• Identité et gestion des accès (GTAG9)• Gestion du plan de continuité des affaires (GTAG10)• Développement d’un plan d’audit (GTAG11)• Audit des projets TI (GTAG12)• Prévention de la fraude et détection (GTAG13)• Audit des applications utilisées par les utilisateurs (Excel, Access, etc.)

(GTAG14) – Anglais seulement

• Gouvernance de la sécurité TI (GTAG15) – Anglais seulement

• Analyse des données – Extraction (GTAG16) – Anglais seulement

• Audit de la gouvernance TI (GTAG17) – Anglais seulement

8

GTAG1Risques et contrôles(36 pages)

9

GTAG1 – ObjectifsRisques et contrôles

• Aider les auditeurs internes à devenir plus confortablesavec les contrôles généraux TI afin qu’ils puissent aborder ces questions avec la haute direction.

• Décrit comment les différents intervenants impliqués par la pratique d’audit interne (CA, gestion, personnel, professionnels) doivent aborder et évaluer les risques et les contrôles TI.

• De plus, il met les basesdes GTAG à venir, qui seront consacrés à des sujets plus précis et présenteront les fonctions et responsabilités correspondantes dans l’entreprise avec plus de détails.

• Ce guide est la secondeédition. Le premier était davantage orienté sur les contrôles TI et avait été publié en mars 2005.

10

GTAG1 – IntroductionRisques et contrôles

• Plusieurs risques et menaces importants sont en lien avec les TI. Les risques les plus importants viennent de l’interne et non de l’externe. De bon contrôles TI diminuent la probabilité qu’un risque ou une menace se concrétise.

• Plusieurs cadres de référence existent pour catégoriser les objectifs et contrôles TI. Ce guide recommande que chaque organisation utilise les composantes provenant des différents cadres de références existants (COSO, ITIL, CobiT, etc.) qui sont applicables pour eux.

• Un gestionnaired’audit interne peut utiliser ce guide comme une fondation pour évaluer les risques et contrôles TI et la conformité.

11

GTAG1 – RisquesRisques et contrôles

• Pour un dirigeant d’audit interne, il est impératif de bien jauger l’ appétence et la tolérance aux risques du CA.

• Un dirigeant d’audit interne doit considérer si l’environnement TI est en ligne avec l’appétenceaux risques du CA.

• Un dirigeant d’audit interne doit considérer si le cadre de contrôle interne des TI assure que les performances de l’organisation demeurent à l’intérieur de la toléranceaux risques établie.

12

Appétence au risque: Degré de risque que la direction d’une organisation est prête à accepterdans la poursuite de ses objectifs.

Tolérance au risque : Le dirigeant de l’audit interne doit définir le niveau acceptable de variation du risque pour l’atteinte des objectifs. Il est important d’aligner la tolérance au risque avec l’appétence au risque.

GTAG1 – Structure de l’auditRisques et contrôles

Lorsque les responsables de l’audit interne examinent et évaluent les contrôles des TI, ils doivent se poser plusieurs questions :

• Quesignifient pour nous les contrôles des SI?

• Pourquoi avons-nous besoin des contrôles des SI?

• Qui est responsable des contrôles des SI?

• Quand convient-il d’appliquer les contrôles des SI?

• Où précisément faut-il mettre en place les contrôles des SI?

• Comment procéder à des évaluations des contrôles des SI?

13

« J’ai à mon service six honnêtes domestiques. »(Ils m’ont appris tout ce que je sais.)Ils s’appellent Quoi et Pourquoi, Quand et Comment, et Où et Qui. »

— Rudyard Kipling,Tiré de « Elephant’s Child »

dans « Just So Stories »

GTAG1 – Structure de l’auditRisques et contrôles

14

Que signifient pour nous les contrôles des SI?

Pourquoi avons-nous besoin des contrôles des SI?

Qui est responsable des contrôles des SI?

1. Quandconvient-il d’appliquer les contrôles des SI?

2. Où précisément faut-il mettre en place les contrôles des SI?

Comment procéder à des évaluations des contrôles des SI?

GTAG1 – Classification des contrôlesRisques et contrôles

15

Questions – 1 minuteRisques et contrôles

16

GTAG11Élaboration d’un plan d’audit des TI(40 pages)

17

GTAG11 – ObjectifsÉlaboration d’un plan d’audit des TI

• Le présent GTAG peut aider les responsables de l’audit interne et les auditeurs internes à :

– Prendre en compte l’activité générale de l’entreprise et la part des TI dans le support opérationnel

– Définir et prendre en compte l’environnementdes TI

– Identifier le rôle de l’évaluation des risquesdans la délimitation de l’univers d’audit interne

– Formaliser le plan annuel d’audit des TI

18

GTAG11 – IntroductionÉlaboration d’un plan d’audit des TI

• Étant donné que le fonctionnementde l'organisation dépend fortement des TI, il est en effet essentiel que le responsable de l’audit interne et les auditeurs internes sachent commentélaborer un plan d’audit et, pour chaque élément, quelles doivent en être la fréquence, l’étendue et la profondeur.

• Le responsable de l’audit interne et les auditeurs internes pourront déterminer les domainesà auditer et la fréquenceen se basant sur une cartographie des processus, l'inventaire et la prise en compte de l’environnement des TI et l’évaluation desrisquesà l’échelle de l’organisation.

• Ce GTAG utilise l’exemple d’une organisation fictive pour montrer aux responsables de l’audit interne et aux auditeurs internes comment mettre en œuvre les étapes nécessaires à la délimitation de l’univers d’audit .

19

GTAG11 – Actualisation du plan d’auditÉlaboration d’un plan d’audit des TI

20

60 %

36%

GTAG11 – Processus d’élaborationdu plan d’audit TI

Élaboration d’un plan d’audit des TI

21

GTAG11 – Évaluer le risque –Impact et probabilitéÉlaboration d’un plan d’audit des TI

22

GTAG11 – Évaluer le risqueÉlaboration d’un plan d’audit des TI

23

GTAG11 – Audits visésÉlaboration d’un plan d’audit des TI

Peu de ressources : Sélectionner des activités d’audit en fonction du carré pointillé.

Beaucoup de ressources : Sélectionner des activités d’audit en fonction du carré ligne continu couleur bleu.

24

GTAG11 – Cadres de référenceÉlaboration d’un plan d’audit des TI

25

CobiT V4• Voir l’annexe 1 du cadre de référence afin d’avoir certains détails

ITIL V3 - Conception des services• Pas un cadre d’audit

COSO

• Pas vraiment pertinent pour un plan d’audit TI

ISO 27002Certaines parties peuvent aider :

• 4 - Appréciation et traitement du risque• 15 - Conformité

Questions – 1 minuteÉlaboration d’un plan d’audit des TI

26

GTAG4Management de l’audit des systèmes d’information (SI) -Management of IT Auditing(24 pages – Nouvelle version janvier 2013)

27

GTAG4 – ObjectifsManagement de l’audit des systèmes d’information (SI)

• Déterminer les domainesnécessitant des ressources en audit des SI

• Évaluer les risques liés aux SI

• Réaliserdes travaux d’audit des SI

28

GTAG4 – IntroductionManagement de l’audit des systèmes d’information (SI)

Une évaluation annuelle des risques réalisée dans le cadre de l’élaboration du plan d’audit qui ne couvre pas les risques informatiques serait considérée comme déficiente (voir les Normes 1210.A3, 1220.A2 et 2110.A2):

• Un taux important de dispositifs de contrôles internes clés pour l’organisation sont susceptible de reposer sur un système informatisé

• Les systèmes défectueux risquent de nuire fortement à la réputation

29

GTAG4 – Éléments à considérerManagement de l’audit des systèmes d’information (SI)

• Stratégie « métier », processuset projets

• Infrastructure et processus SI

– Tenir compte de chaque niveaudu SI

• Approche fondée sur les risques liés aux SI (Prioriser)

• Univers de l’audit des SI (Optimiser) � GTAG #11

• Savoir-faire et compétence (Norme 1210)

• Réaliserdes missions d’audit des SI (COSO-COBIT)

• Rapports

• Outils d’audit (Efficacité)

30

GTAG4 – Niveaux des SIManagement de l’audit des systèmes d’information (SI)

Illustration des 4 niveaux

31

GTAG4 –Les risquesManagement de l’audit des systèmes d’information (SI)

• Typesde risques des SI– Disponibilité : Le système n’est pas disponible pour utilisation– Sécurité : Accès non autorisé au système– Intégrité : Données incomplètes ou inexactes– Confidentialité : L’information n’est pas conservée secrète– Efficacité : Le système ne procure pas une fonction voulue ou

attendue– Efficience : Le système entraîne une utilisation sous-optimale des

ressources• Naturesde risques

– Spécifiques vs pervasifs– Statiques vs dynamiques

32

GTAG4 – Cadres de référenceManagement de l’audit des systèmes d’information (SI)

33

CobiT V4• Pas vraiment d’objectif réellement collé à ce GTAG• L’ensemble du cadre de référence aborde ce GTAG et la gestion de risques

ITIL V3

• ITIL n’est pas un référentiel d’audit

Les cadres de référence Contrôle interne et Management des risques de l’entreprise

• Pas nécessairement axé sur les TI

ISO 27002• Pas vraiment de point touchant ce volet

Questions – 1 minuteManagement de l’audit des systèmes d’information (SI)

34

GTAG3Audit continu : Répercussions sur l’assurance, le pilotage et l’évaluation des risques(41 pages)

35

GTAG3 – ObjectifsAudit continu

• Connaissancesopportunes sur des problèmes critiques

• Automatisation de certains tests

• Processus de révision plus efficace

36

GTAG3 – IntroductionAudit continu

37

GTAG3 – IntroductionAudit continu

38

GTAG3 – Avantages de l’audit continuAudit continu

• Évaluation à intervalles rapprochés

• Audit permanent de 100 % des transactions

• Compréhension accrue des points critiques, des règles et des exceptions

• Notification rapide des écarts et des carences

• Facilite la planification de l’audit

• Indépendancevis-à-vis des SI et du pilotage

39

GTAG3 – Inconvénients de l’audit continuAudit continu

• L’information à auditer doit provenir de systèmes fiables

• Le processus d’audit continu doit être fortement automatisé

• Des rapports d’audit continu compréhensibles et précis doivent être élaborés et disponibles rapidement

• Les auditeurs doivent posséder les compétences requisespour mener ce type de mission

• Changement des paradigmes d’audit traditionnels

40

GTAG3 – Phases clésAudit continu

• Objectifs de l’audit continu

• Accès et utilisation des données

• Évaluation continue des contrôles et des risques

• Communiquer et gérer les résultats

41

GTAG3 – Exemples d’évaluation de contrôlesAudit continu

Contrôles financiers : Carte de crédit d’entreprise

Pilotage

• Échantillonnage manuel trimestriel

Audit interne

• Pilotage faible et risque élevé

• Examen de la politique et des procédures

• Tests analytiques sur 100 % des transactions

• Trouve des anomalies

42

GTAG3 – Cadres de référenceAudit continu

43

CobiT V4• Pas vraiment d’objectif réellement collé à ce GTAG• La série SE se rapproche le plus de ce GTAG

ITIL V3

• ITIL n’est pas un référentiel d’audit

Cadre de référence (Enterprise Risk Management (ERM) Framework)• Environnement de contrôle• Évaluation des risques• Information et communication• Pilotage des risques

ISO 27002• Pas vraiment de point touchant ce volet. La section 15 se rapproche le plus de

ce GTAG

Questions – 1 minuteAudit continu

44

GTAG16Analyse des données(28 pages)� Juillet 2011

45

GTAG16 – ObjectifsAnalyse de données

• Avoir des approches d’audit utilisant les outils d’analyse des données :

– L’analyse des données est significative pour l’organisation

– Meilleure assurance avec les outils d’analyse des données

– Défis et risques d’implantation des outils

– Comment implanter les outils d’analyse

– Reconnaître les tendances et les avantages d’utiliser les outils

46

GTAG16 – IntroductionAnalyse de données

• Définition −−−− L’analyse des données permet d’identifier , obtenir, valider, analyseret interpréter différents types de données à l’intérieur de l’organisation afin d’améliorer l’efficience d’un audit.

• Efficience −−−− Les outils d’analyse des données sont une partie intégrante d’un audit TI et permettent d’améliorer l’efficacité et l’efficience d’un audit.

47

GTAG16 – Les sourcesAnalyse de données

• Des données PDF

• Des tableurs

• Des fichiers textes

• Des données provenant des systèmes d’opération AS/400

• Les bases de données, dont Access, et les données en format XML

• Des ajouts au logiciel de base permettent d’interroger les applications SAP

• Les serveurs centraux (mainframe) (travail plus complexe)

48

L’intégrité des données source est un critère de base essentiel et non négociable.

GTAG16 – Comment les outilspeuvent t’aider

Analyse de données

1. Calcul – Paramètres statistiques (moyennes, déviations, plus hautes et plus basses valeurs) afin d’identifier des transactions étranges.

2. Classer– Trouver des tendances ou des associations parmi des groupes de données.

3. Stratifier – Valeurs numériques afin d’identifier des valeurs non usuelles (excessivement hautes ou basses).

4. Loi de Benford’s – Identifier des occurrences statistiquement improbables.

5. Joindre – Différents types de données sources afin d’identifier des données non assorties telles que le nom, adresse, etc.

6. Dupliquer – Identifier des transactions dupliquées telle que paiements, paies, etc.

7. Écart – Tester une série afin de trouver un bris dans une séquence.

8. Somme– Additionner des données afin de valider des totaux de contrôles.

9. Valider – Des dates afin de trouver des éléments suspicieux.

49

GTAG16 – Exemples d’utilisationAnalyse de données

Section Contrôle Analyse de données

Paiement L’application ne permet pas un doublon de paiement.

Obtenir les paiements.Valider qu’il n’y a pas de paiement en double (même vendeur, même montant et même numéro de fournisseur).

Achat de marchandises

Les PO vieux de trois mois et plus ne seront pas traités.

Obtenir la liste des PO produits.Déterminer si des PO de 3 mois et plus ont été traités.

Achat de marchandises

La personne qui crée le PO n’est pas celle qui l’approuve.

Obtenir la liste des PO créés.Obtenir la liste des PO approuvés.Comparer les deux concernant la séparation des tâches.

Réception de biens

Tous les biens reçus sont validés auprès du PO.

Obtenir la liste des biens reçus et des PO.Valider que les quantités sont les mêmes.

50

GTAG16 – Cadres de référenceAnalyse de données

51

CobiT V4• Non pertinent

ITIL V3 - Conception des services• Non pertinent

COSO• Non pertinent

ISO 27002• Non pertinent

Questions – 1 minuteAnalyse de données

52

GTAG9Gestion des identités etdes accès(32 pages)

53

GTAG9 – ObjectifsGestion des identités et des accès

• Comprendre le rôle de la gestion des identités et des accès pour l’organisation et suggérerles points à approfondir lors d’un audit interne.

• Même si de nombreux dirigeants estiment que la gestion des identités et des accès relèvede la direction des systèmes d’informations (DSI), elle concerneen fait toutes les directions métiers de l’entreprise

54

GTAG9 – IntroductionGestion des identités et des accès

• Les obligations réglementaires et les pratiques de gestion prudentes ont conduit les organisations à accroître au maximum le degré de granularité des droits d’accès.

• Le management doit déterminer avec précision les droits nécessaires aux utilisateurs au lieu de leur accorder des ressources dont ils n’ont pas vraiment besoin.

55

GTAG9 – Introduction (suite)

Gestion des identités et des accès

• D’après un rapport prévisionnel récent du groupe de presse International Data Group (IDG), les dépenses consacrées à la gestion des identités et des accès et aux systèmes connexes devraient augmenterrapidement.

– La gestion des identités et des accès devrait donc bientôt figurer au premier rang des projets informatiques de nombreuses organisations.

• Dans de nombreuses organisations, la suppressiondes droits d’accès utilisateurs ou des droits d’accès associés à une identité numérique peut prendre jusqu’à trois ou quatre mois, ce qui peut représenter un risque inacceptable, surtout si l’utilisateur peut encore accéder aux systèmes et ressources de l’entreprise alors qu’il a été révoqué.

56

GTAG9 – Requête de changementsdes droits d’accèsGestion des identités et des accès

57

GTAG9 – Cadres de référenceGestion des identités et des accès

58

CobiT V4• PO4.9 Propriété des données et du système• PO6.1 Politique informatique et environnement de contrôle• DS5.3 Gestion des identités• DS5.4 Gestion des comptes utilisateurs

ITIL V3 - Exploitation des services• Gestion des accès

COSO’s Internal Control over Financial Reporting - Guidance for Smaller Public Companies• Activité de contrôles – Principe 14

ISO 27002• 8 Sécurité liée aux ressources humaines• 11 Contrôle d’accès

Questions – 1 minuteGestion des identités et des accès

59

GTAG12Audit des projets informatiques(46 pages)

60

GTAG12 – ObjectifAudit des projets informatiques

• Ce GTAG a pour objectif d’offrir aux auditeurs internes et à leur responsable une vue d’ensemble des techniques permettant de collaborer efficacement avec les équipes de projet et les instances de pilotage de projet sur l’évaluation des risques liés aux projets TI.

• Le champ de la gestion de projet étant extrêmement vaste, l’objectif de ce guide est de définir un cadre d’évaluation des risques liés aux projets, de donner des exemples de risques courants liés à la gestion de projet et d’étudier comment l’audit interne peut participer activement à l’examen des projets sans perdre son indépendance.

61

GTAG12 – ObjectifAudit des projets informatiques

62

Cinq thèmes centraux de l’audit

GTAG12 – IntroductionAudit des projets informatiques

• Au sens courant, un projet est un ensembled'activités, avec un débutet une fin définis, qui est entrepris pour atteindre un objectif donné dans des contraintes précises de calendrier, de contenu et de ressources.

• Aujourd’hui, pour déterminer si un projet est un succès, il ne suffit plus de mesurer si les délaiset le budgetont été respectés. Les projets qui échouent ou qui sont menacés peuvent avoir un impact considérable sur l'organisation, selon les besoins métiers qui les sous-tendent.

• C’est à la direction générale qu’il incombe de veiller à ce que le projet aboutisse et que les résultats attendus soient atteints.

63

GTAG12 – IntroductionAudit des projets informatiques

64Étude CHAOS

GTAG12 – 10 facteurs de réussiteAudit des projets informatiques

1. Participation des utilisateurs – Lesutilisateurs des directions métiers et des TI participent aux principaux processus de réalisation d’un consensus, de prise de décision et de collecte d’informations.

2. Soutien de la direction générale – Lesdirigeants assurent la cohérence avec la stratégie de l’organisation, ainsi qu’un soutien financier et psychologique et une assistance dans la résolution des conflits.

3. Clarté des objectifs de l’organisation – Les partenairescomprennent l’intérêt intrinsèque du projet et sa cohérence par rapport à la stratégie de l’organisation.

4. Souplesse de l’optimisation – Le projet emploie des processus itératifs de développement et d’optimisation pour éviter les éléments inutiles et s’assurer que les éléments essentiels sont bien intégrés.

5. Maturité psychologique – Le chef de projet gère les émotions et les actions des partenaires du projet et évite certaines attitudes (ambition, arrogance, ignorance, abstention et déloyauté).

6. Connaissance de la gestion de projet – L’organisation fait appel à des chefs de projet qui ont les compétenceset connaissent les pratiques de base, par exemple des chefs de projets titulaires de la certification PMP (Project Management Professional) du Project Management Institute.

65

GTAG12 – 10 facteurs de réussiteAudit des projets informatiques

7. Gestion financière – Le chef de projet est capable de gérer les ressources financières, de justifier le budget ou les dépenses et d’expliquer l’intérêt du projet.

8. Compétences des ressources – Des personnes compétentes sont recrutées, dirigées, retenues et contrôlées afin de pouvoir continuer à avancer en cas de problèmes de personnel, notamment de rotation du personnel.

9. Formalisation de la méthodologie – Il existe un ensemble prédéfini de techniques basées sur les processus qui constituent une feuille de route où sont indiqués les événements qui doivent se produire, quand, comment et dans quel ordre.

10. Outils et infrastructure – L’infrastructure du projet est élaborée et gérée à l’aide d’outils permettant la gestion des tâches, des ressources, des exigences, des changements, des risques, des fournisseurs, de l’adhésion des utilisateurs et de la qualité.

66

GTAG12 – Structure d’un projetAudit des projets informatiques

67

GTAG12 – Cadres de référenceAudit des projets informatiques

68

CobiT V4• PO10 - Gérer les projets

ITIL V3 - Conception des services• Plus orienté gestion des changements que gestion de projets

COSO• Pas vraiment pertinent pour la gestion de projets

ISO 27002• Plus orienté opération et sécurité que gestion de projets• 12 - Acquisition, développement et maintenance des systèmes d’information

Questions – 1 minuteAudit des projets informatiques

69

Retour dans 15 minutes

70

GTAG2 (2e édition)Contrôles de la gestion du changement et des patchs: Un facteur clé de réussite pour toute organisation(34 pages)

71

GTAG2 – ObjectifsContrôles de la gestion du changement et des patchs

• Acquérir une connaissance opérationnelledes processus de gestion des changements informatiques.

• Distinguer rapidement les bons processus de gestion des changements de ceux qui sont inefficaces.

• Reconnaître rapidement les indicateurs et signaux d’alerte pointant une défaillance des contrôles liés à la gestion des changements.

• Prendre conscience que l’efficacité de la gestion des changements repose sur la mise en place de contrôles préventifs, détectifs et correctifs qui assurent la séparationdes fonctions et la supervisionappropriée du management.

• Recommanderles meilleures pratiques connues pour remédier aux défaillances afin de vérifier que les risques sont maîtrisés (et que les contrôles sont bien effectués) et d’accroître l’efficacité et l’efficience.

72

GTAG2 – IntroductionContrôles de la gestion du changement et des patchs

• Faire passerplus efficacement vos recommandations auprès de votre directeur des systèmes d’information, de votre directeur général ou de votre directeur financier.

• La gestion des changements est l’une des disciplines les plus difficilesà mettre en œuvre. Elle nécessite une collaboration entre une équipe pluridisciplinaire composée de développeurs d’application, de personnel de l’exploitation informatique et d’utilisateurs.

• Posséder une culture de gestion des changements qui empêche et dissuade de procéder à des changements non autorisésest une condition essentielle à une gestion efficace des changements.

73

GTAG2 – IntroductionContrôles de la gestion du changement et des patchs

Bénéfices d’une saine gestion des changements• Consacrer moins de temps et d’énergie dans les SI pour des

interventions non planifiées.• Consacrer davantage d’argent et d’énergie dans les SI pour exécuter de

nouvelles tâches et atteindre les objectifs de l’entreprise.• Connaître moins de périodes d’indisponibilité .• Être plus focalisésur les améliorations que sur les réparations en

urgence.• Concerter les efforts sur les priorités du métier de l’entreprise.• Motiver le personnel SI (participer à l’amélioration des opérations

plutôt que d’éteindre des feux)• Satisfaire les besoins des utilisateurs finaux.

74

GTAG2 – Indicateurs d’une mauvaisegestion des changements

Contrôles de la gestion du changement et des patchs

• Changements non autorisés

• Interruptions de service non prévues

• Faible taux de réussite du changement

• Nombre élevé de changements en urgence

• Retard dans les déploiements de projets

75

GTAG2 – Tâches non planifiéesContrôles de la gestion du changement et des patchs

La limitation des tâches non planifiées est un indicateur d’un processus efficace de gestion des changements.

On ne peut évaluer ce que l’on ne mesure pas …

76

GTAG2 – Variables clés influençant les processus de gestion des changements

Contrôles de la gestion du changement et des patchs

77

Par le taux de changements, le taux de

réussite du changement, la durée

moyenne de reprise (MMTR)

GTAG2 – Cadres de référenceContrôles de la gestion du changement et des patchs

78

CobiT V4• AI 6 Gérer les changements• AI7 Acquérir et implémenter

ITIL V3• Transition des services / Gestion des changements

Internal Control over Financial Reporting – Guidance for Smaller Public Companies• Gestion des changements

ISO 27002• 12 Acquisition, développement et maintenance des systèmes d’information• 12.5.1 Procédures de contrôle des modifications

Questions – 1 minuteContrôles de la gestion du changement et des patchs

79

GTAG14Auditer les applications développées par les utilisateurs (ADU)(32 pages)

80

GTAG14 – ObjectifsAuditer les applications développées par les utilisateurs (ADU)

• Identifier la disponibilité d’un cadrede contrôle qui comprend une politique, les procédures, l’inventaire et l’évaluation des risques à l’égard des applications internes.

• Utiliser le cadre de contrôle défini au point 1 afin de définir la population des applications internes à être incluses dans l’audit TI.

81

GTAG14 – ObjectifsAuditer les applications développées par les utilisateurs (ADU)

Aider la direction à développer un cadre de contrôle des applications internes efficient :

• Utiliser des techniqueséprouvées afin d’identifier la population des applications internes.

• Évaluer les risquesassociés à chaque application interne, basés sur le potentiel d’impact et la probabilité qu’une occurrence se produise.

82

GTAG14 – IntroductionAuditer les applications développées par les utilisateurs (ADU)

• Définition − Règle générale, ce sont des applications internes comme des tableurs Excel ou des petites applications comme Access crééesetutiliséespar les utilisateurs finaux.

• Bénéfice− La plupart des organisations utilisent ce type d’applications parce qu’elles sont faciles et moins coûteusesà développer et à maintenir, en plus de permettre de contourner les contrôles généraux des TI pour en faciliter et en accélérer l’implantation.

• Risque− Le contournementdes contrôles généraux des TI pose un risque de confidentialité, d’intégrité et de disponibilité des données extraites, calculées, triées et compilées par ce type d’application.

83

GTAG14 – Les risquesAuditer les applications développées par les utilisateurs (ADU)

• Manque de structure à l’égard du développement, de la gestion des changements ou de la gestion des versions

• Entreposage et gestion de l’importation des données• Manque d’expériencede la personne qui développe l’application• Manque de documentation• Insuffisance des contrôlestouchant l’entrée et la sortie de données• Testsinsuffisants

84

Est-ce que la personne qui a développé l’application interne a les connaissances et l’expérience pour gérer les risques liés aux applications internes?

GTAG14 – Les bonnes pratiquesAuditer les applications développées par les utilisateurs (ADU)

• Contrôles d’accès

• Contrôles des données sources

• Contrôles des données sortantes(résultats)

• Contrôles à l’égard de la gestion des changements

• Gestion des archives, sauvegardes et versions

• Documentation (politiques, procédures, guides)

85

Les contrôles à l’égard des applications internes sont très similaires aux contrôles généraux TI.

GTAG14 – Définir le périmètre d’auditAuditer les applications développées par les utilisateurs (ADU)

• Définir la notion d’ADU clé

• Recenser la population d’ADU

• Établir les facteurs de risques

• Classification au risque des ADU

86

GTAG14 – Définir la stratégie d’auditAuditer les applications développées par les utilisateurs (ADU)

Deux scénarios

1. Le cadre de contrôle est efficace

– Tester les contrôles

– Effectuer un test d’acheminement

2. Le cadre de contrôle est inefficace

– Recommander la mise en place de contrôles

– Réexécution du traitement

• Sur base d’échantillon

• Sur le traitement intégral de l’ADU en procédant par technique d’audit assisté par ordinateur (TAAO)

87

GTAG14 – Cadres de référenceAuditer les applications développées par les utilisateurs (ADU)

88

CobiT V4• PO6.2 Cadre de référence des contrôles et risques informatiques• AI2.4 Sécurité et disponibilité des applications• AI2.7 Développement d’applications

ITIL V3 - Conception des services

• Pas un cadre spécifique aux applications internes

COSO• De façon générale, c’est un sujet important dans le cadre d’un audit de conformité SOX et

52-109

ISO 27002• 12 Acquisition, développement et maintenance des systèmes d’information• 11 Contrôles d’accès• 5 Politique de sécurité

Questions – 1 minuteAuditer les applications développées par les utilisateurs (ADU)

89

GTAG8Audit des contrôles applicatifs(32 pages)

90

GTAG8 – ObjectifsContrôles applicatifs

• Informer sur les aspects suivants :

– Définition et avantages des contrôles applicatifs

– Rôle des auditeurs internes

– Exécution d’une évaluation des risques

– Délimitation de l’étendue de la revue des contrôles applicatifs

– Approches de la revue des applications et autres considérations

• Comprendre la différence entre les contrôles applicatifs et les contrôles généraux informatiques (CGTI)

91

GTAG8 – IntroductionContrôles applicatifs

• Définition des contrôles applicatifs

– Les données d’entrée sont exactes, complètes, autorisées et correctes.

– Les données sont traitées conformément aux objectifs et dans un délai acceptable

– Les données stockées sont exactes et complètes

– Les données de sortie sont exactes et complètes.

– Un enregistrement du processus est conservé.

92

GTAG8 – CGTI versus Contrôles applicatifsContrôles applicatifs

• Les CGTI s’appliquent à tous les composants, processus et données des systèmes d’un organisation.

• Les contrôles applicatifs s’appliquent aux transactions et aux données relatives à chaque système d’application.

• Les CGTI doivent fonctionner efficacement pour que les contrôles applicatifs puissent gérer le risque.

93

GTAG8 – Pondération du risqueContrôles applicatifs

94

GTAG8 – «ÉvidenceContrôles applicatifs

On ne peut vérifier ce que l’on ne comprend pas …

95

Il est essentiel de comprendre les fonctionnalités et processus entourant les contrôles applicatifs avant de commencer l’audit.

GTAG8 – Audit des contrôles applicatifsContrôles applicatifs

• Évaluation du risque

• Détermination de l’étendue de la revue en fonction de la méthode du processus d’entreprise ou en fonction de la méthode de l’application unique

• Examen des contrôles d’accès

• Élaboration du plan de travail

• Élaboration du programme d’examen détaillé

• Évaluation du besoin en ressource spécialisée

• Réalisation du mandat (tests, documentation et résultats )

• Communication des résultats

96

GTAG8 – Cadres de référenceContrôles applicatifs

97

CobiT V4• Aucun objectif précis, mais l’ensemble du cadre peut devenir un outil essentiel

ITIL V3 • Ne s’applique pas vraiment dans le cadre de ce GTAG

COSO’s Internal Control over Financial Reporting - Guidance for Smaller Public Companies• Cadre descriptif assez complet touchant la question

ISO 27002• Pas de section particulière

Questions – 1 minuteContrôles applicatifs

98

GTAG13Prévention et détection de la fraude dans un contexte automatisé(35 pages)

99

GTAG13 – ObjectifsPrévention et détection de la fraude

• Ce guide se veut un complémentau guide pratique de l’IIA sur l’audit interne et la fraude. Il vise à informer et à guider les directeurs de l’audit interne et les auditeurs internes sur la façon d’utiliser la technologie pour aider à prévenir la fraude, la détecteret y réagir.

• Les principales thématiques portent sur les risques de fraude liée aux systèmes de TI, l’évaluationde ces risques et la manièredont la technologie peut aider les auditeurs internes et les autres parties prenantes au sein de l’organisation à composer avec la fraude et les risques de fraude.

100

GTAG13 – IntroductionPrévention et détection de la fraude

• Définition − « Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sans qu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes et des organisations afin d’obtenir de l’argent, des biens ou des services, ou de s’assurer un avantage personnel ou commercial ».

• Norme IIA 1210.A2 − Les auditeurs internes doivent posséder des connaissancessuffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l’expertise d’une personne dont la responsabilité première est la détectionet l’investigationdes fraudes.

• Norme IIA 2060 − Rapports au conseil et à la direction générale − Le responsable de l’audit interne doit rendre compte périodiquement à la direction générale et au conseil des missions, des pouvoirs et des responsabilités de l’audit interne, ainsi que du degré de réalisation du plan d’audit.

101

GTAG13 – Politique d’enquête surles fraudes

Prévention et détection de la fraude

Ce que doit comprendre une politique d’enquête sur les fraudes• Quand et comment entreprendre une enquête sur fraude• Les documents nécessaires pour faire une enquête sur fraude• Comment choisir les membres de l’équipe d’enquête• La marche à suivre pour ajouter des experts à l’équipe• Comment évaluer et atténuer le risque lié aux contrôles internes• Quand et comment confier l’enquête à l’échelon supérieur• Comment assurer la cohérence et l’uniformité , de manière à ce que

toutes les infractions soient traitées de la même façon• Des directives sur l’étape jusqu’à laquelle l’organisation est prête à

pousser l’enquête• Les voies de communication à utiliser avant, pendant et après

l’enquête• Des directives sur l’ampleur des mesures correctives à déployer

102

GTAG13 – Évaluation des manœuvres frauduleuses


Voici deux méthodes pour évaluer le potentiel de manœuvres frauduleuses du point de vue du fraudeur :1. Méthode axée sur la faiblesse des contrôles − On évalue le potentiel

de fraude en examinant les contrôles clés pour voir qui pourrait profiter d’une faiblesse dans les contrôles et de quelle manièreun fraudeur pourrait contourner un contrôle déficient.

2. Méthode axée sur les champs clés − On évalue le potentiel de fraude en examinant les données saisies, quels champs peuvent être manipulés (et par qui) et quelles seraient les conséquences.

103

GTAG13 – Grille d’évaluation du risquePrévention et détection de la fraude

Propriétaire d’entreprise Risques de fraude Contrôles

Prévention ou détection Surveillance Probabilité Incidence

TI — DSI Des contrôles physiques insuffisants du matériel de TI donnent lieu à des changements, à la destruction ou à l’utilisation illicite du matériel à des fins d’enrichissement personnel. (Sécurité physique)

• Matériel informatique critique situé dans des centres de données sécurisés

• Accès restreint aux centres de données selon les responsabilités

• Utilisation de dispositifs de sécurité variés(p. ex., carte d’accès, surveillance par caméra en circuit fermé, gardiens de sécurité)

• Politiques et procédures consignées par écrit

• Maintien d’un registre des visiteurs

• Utilisation de câbles de sécurité pour les ordinateurs portables

• Inventaire trimestriel des postes de travail

• Méthodes d’approvisionnement officielles

Les deux • Gestion du centre de données

• Prévention des pertes• Gestion des risques

liés aux TI• Opérations TI• Surveillance

quotidienne des registres de visiteurs par les gestionnaires

• Inventaires périodiques effectués par la gestion de l’actif

• Rapprochement des comptes d’approvisionnement

• Audit interne

Faible Élevée

104

GTAG13 – AcquisitionsPrévention et détection de la fraude

L’importance de l’acquisition des données :• Assurance de l’intégrité des données − Un professionnel chevronné

doit copier les données du disque dur suspect vers un disque dur de l’auditeur.

• La chaîne de preuves − Des outils spécialisés assurent que les données n’ont pas été modifiées lors du transfert des données.

• L’organisation de la preuve − Des procédures claires et bien exécutées permettent d’avoir l’assurance que la chaîne de preuves n’a pas été brisée.

105

GTAG13 – Détection des fraudes par l’analyse des données (IDEA et ACL)


Types de tests de fraude : Des exemples

106

Types de fraude Tests servant à découvrir la fraude

Ventes fictives Chercher les adresses de boîtes aux lettres : Faire un croisement entre l’adresse des fournisseurs et des employés.

Faire attention aux fournisseurs dont les informations sont similaires, avec mêmes adresses et numéros de téléphone.

Paiements en double Chercher les factures avec les mêmes numéros.

Chercher les factures dont les montants à payer sont identiques.

Vérifier les demandes récurrentes pour le remboursement des factures payées deux fois.

Paie à un employé ayant quitté l’entreprise

Comparer la date de départ des employés avec la liste des chèques de paie.

Parcourir la liste des employés sur le registre de la paie.

GTAG13 – Utilisation de la technologie dansla prévention et la détection de la fraude


• Outils − Ex. : EnCase ou FTK• Spécialisation− Les auditeurs internes, règle générale, n’ont pas ce

type d’expertise. Des experts externes sont souvent utilisés.• Expertise judiciaire − Un processus comprenant la conservation,

l’ identification , l’extraction et la documentationde matériel et de données informatiques à des fins de preuve et d’analyse des causes profondes. Voici des exemples d’activités liées à l’expertise judiciaire en informatique : – Récupération de courriels supprimés;– Surveillance du courrier électronique en vue de détecter des indices

de fraude; – Enquête suivant une cessation d’emploi; – Récupération de preuves suivant le formatage d’un disque dur.

107

GTAG13 – Utilisation de la technologie dansla prévention et la détection de la fraude


• L’expertise judiciaire en informatique − Elle permet d’établir et de maintenir une chaîne de possession continue, laquelle est essentielle pour déterminer l’admissibilité d’un élément de preuvedevant les tribunaux .

• Expertise de l’auditeur interne − Bien qu’on ne s’attende pas à ce que les directeurs de l’audit interne et les auditeurs internes soient des expertsen la matière, les directeurs de l’audit interne doivent avoir une compréhension générale des avantages que procure cette technologie afin de pouvoir recruter, au besoin, des experts compétents pour collaborer à une enquête sur fraude.

108

GTAG13 – Cadres de référencePrévention et détection de la fraude

109

CobiT V4• Pas vraiment axé sur la fraude

ITIL V3 - Conception des services• Pas vraiment axé sur la fraude

COSO• Sujet abordé de façon générale et en lien avec le reporting financier

ISO 27002• Aucune section spécifique sur la fraude, l’ensemble du document traite de façon générale

de la fraude

Questions – 1 minutePrévention et détection de la fraude

110

GTAG15Gouvernance de la sécurité de l’information (GSI)(28 pages)

111

GTAG15 – ObjectifsGouvernance de la sécurité

Ce guide fournit une réflexion et une approche aux responsables de la vérification interne TI afin que le plan d’audit TI incorpore des mesures touchant la gouvernance de la sécurité de l’information TI (attitudes, pratiques, etc.) :

• Identifier et définir lesmesuresde gouvernance à l’égard de la sécurité de l’information.

• Aider les auditeurs internes TI afin ceux-ci posent les bonnes questions et connaissent quels types de documents sont requis.

• Décrire le rôle de l’auditeur interne TI à l’égard de la gouvernance de la sécurité de l’information.

112

GTAG15 – IntroductionGouvernance de la sécurité

• Définition − La gouvernance de la sécurité de l’information consiste au leadership, à la structure organisationnelle et aux processusqui assurent que le système d’information de l’entreprise supporte les stratégieset les objectifs de l’organisation.

• Gouvernance− Les TI ne sont pas les seules dépositairesde la gouvernance de la sécurité de l’information, mais en termes d’impact, elles devraient être la première place à investiguer.

• Compréhension− Dépendant des entreprises, la compréhensiond’une bonne gouvernance de la sécurité de l’information peut être très différente.

113

GTAG15 – IntroductionGouvernance de la sécurité

114

Information Security Governance Triangle

GTAG15 – ResponsabilitésGouvernance de la sécurité

115

Le conseil d’administration donne le ton en ce qui a trait à la gouvernance de la sécurité de l’information.

GTAG15 – RisquesGouvernance de la sécurité

• Non-respect des différentes réglementations• Atteinte à la réputation de l’entreprise

• Perte de compétitivité• Donnéesincomplètes ou inexactes

• Augmentation du risque de fraude

116

Il est important pour l’auditeur interne IT de comprendre le niveau d’appétence du risque de l’organisation et du conseil d’administration.

GTAG15 – Auditeur TIGouvernance de la sécurité

Afin de performer un audit touchant la gouvernance de la sécurité de l’information, l’auditeur TI doit être :• Très expérimentéetaguerri;• À l’aise avec les conceptsde gouvernance;

• En mesure d’évaluer les risques internes et externes;

• À l’aise pour communiquer avec la direction et la haute direction.

La direction de l’audit interne doit être impliquée dans ce type d’audit.

117

L’auditeur TI doit être une personne ayant une vision large des enjeux de sécurité, de gestion et de gouvernance dans un cadre global.

GTAG15 – Cadres de référenceGouvernance de la sécurité

118

CobiT V4• L’ensemble de la famille PO - Planifier et organiser

ITIL V3 - Conception des services

• La famille « Définition stratégique » pourrait aider à comprendre certains volets touchant la gouvernance


52-109

ISO 27002• Cadre davantage opérationnel que de gouvernance. Pas vraiment approprié pour ce type

d’audit

Questions – 1 minuteGouvernance de la sécurité

119

GTAG17Audit de la gouvernance TI(24 pages)

120

GTAG17 – ObjectifsAudit de la gouvernance TI

But du guide − Permettre à l’équipe d’audit interne de respecter la norme 2110 de l’IIA.

121

GTAG17 – IntroductionAudit de la gouvernance TI

Ce guide fournit une réflexion et une approche aux responsables de la vérification interne TI afin que le plan d’audit TI incorpore des mesures touchant la gouvernance des technologies de l’information afin de :• identifier et définir les processus et structures implantés par le CA pour

informer ,• diriger ,• gérer,• surveiller (monitoring) les activités de l’organisation afin de respecter

les objectifs organisationnelsdéfinis par le CA.

122

Le conseil d’administration (CA) est l’ultime entité responsable de l’atteinte des objectifs organisationnels.


123


124

Les cinq composantes touchant la gouvernance TI

GTAG17 –Organisation et structure de gouvernanceAudit de la gouvernance TI

• Imputabilité

• Communication

• La structure de gouvernance doit être alignéeavec la structure organisationnelle

• Implication des managers TI dans les décisions stratégiques

• Placedes TI dans l’organisation

• Définition des rôles et responsabilités

125

GTAG17 –Support et leadershipAudit de la gouvernance TI

• Vision claire de la haute direction

• Communication claire à l’égard des objectifs TI (ex. : ROI)

• Les TI doivent être vues comme un élément stratégique, pas juste un coût

• Plan stratégique qui oriente les actions TI

• Rôles et responsabilités du dirigeant TI senior (CIO)

• CIO impliqué dans l’équipe de direction

126

GTAG17 –Planification stratégique et opérationnelleAudit de la gouvernance TI

• Gouvernance TI en lien avec le plan stratégique

• CIO responsable du plan tactique aligné sur plan stratégique

• Plan tactique = Commentaccomplir les objectifs définis et comment mesurer leurs atteintes

• Les TI doivent mesurercomment elles contribuent à l’atteinte du plan stratégique

• Les TI doivent être perçues comme un partenaire stratégique dans l’atteinte des objectifs organisationnels

• Notion de valeur à l’égard des investissements TI (ROI)

127

GTAG17 –Livrables et métriquesAudit de la gouvernance TI

• Modèle financier et métriques TI

• Utilisation de données justes

• Compilation de données pertinentes

• Évaluation quantitative et qualitative

• Satisfactiondes parties prenantes fait partie des métriques

• Système de coûtsadéquat et pertinent

• Comparaison(benchmark) avec d’autres organisations comparables

128

GTAG17 –Organisation TI et gestion du risqueAudit de la gouvernance TI

• Succès TI en lien avec le leadership de la haute direction et du CA

• Gestion des risquesadéquate (humain, technique, etc.)

• Niveau de maturité des processus TI

• Niveau de complexitédes opérations, applications, etc.

• Niveau de normalisation des différents processus

• Organisation des TI

• Niveau d’expertiseet d’expérience

129

GTAG17 – Cadres de référenceAudit de la gouvernance TI

130

CobiT V4• L’ensemble de la famille PO - Planifier et organiser

ITIL V3 - Conception des services• La famille « Définition stratégique » pourrait aider à comprendre certains volets touchant la

gouvernance


52-109

ISO 27002• Cadre davantage opérationnel que de gouvernance. Pas vraiment approprié pour ce type

d’audit

Questions – 1 minuteAudit de la gouvernance TI

131

GTAG10Gestion de la continuité d’activité(48 pages)

132

GTAG10 – ObjectifsGestion de la continuité d’activité

• Le présent guide décrit les connaissances dont doivent disposer les membres des organes de direction, l’encadrement et les auditeurs internes pour appréhender l’efficacitédes dispositifs de reprise d’activité et leur impact sur l’entreprise.

• Ce GTAG a été rédigé en tenant compte du point de vue du responsable de l’audit interne. Ce dernier a la tâche difficile de sensibiliserles chefs d’entreprise aux risques, aux contrôles, aux coûts et aux avantages liés à l’adoption d’un programme de gestion de la continuité.

« One of the true tests of leadership is the ability torecognize a problem before it becomes anemergency. »- Arnold H. Glasgow

133

GTAG10 – IntroductionGestion de la continuité d’activité

• Il appartient au responsable de l’audit interne de signaler les carences de la gestion de la continuité à la direction et au comité d’audit.

• La gestion de la continuité d’activité est le processus par lequel une organisation se prépare à des incidents futurs qui pourraient menacer sa mission principale et sa viabilité à long terme.

• Ces incidents peuvent être des événements locaux (ex. : l’incendie d’un bâtiment, régionaux (ex. : un séisme) ou nationaux (ex. : une pandémie).

134

GTAG10 – Questions clésGestion de la continuité d’activité

Trois questions simples, mais fondamentales, concernant la continuité d’activité :

Si la réponse à l’une de ces questions est « non », le présent guide sera sûrement très utile!

135

1. La direction de l’organisation comprend-elle bien le niveau actuel de risque de non-continuité d’activité, ainsi que l’impact potentiel de tel ou tel degré probable d’interruption des opérations?

2. L’organisation peut-elle démontrer que les risquesde non-continuité de l’activité sont ramenés à un niveau acceptable aux yeux de la direction et font périodiquement l’objet d’une nouvelle évaluation?

3. Si le risque de non-continuité de l’activité est inacceptable, mais que l’encadrement a décidé de l’assumer, les actionnaires, les partenaires commerciaux et autres acteurs sont-ils au courant de cette décision de ne pas réduire le risque? Cette décision d’accepter le risque est-elle correctement documentée?

GTAG10 – Gestion des situationsd’urgence

Gestion de la continuité d’activité

136

GTAG10 – Catastrophes naturellesGestion de la continuité d’activité

137

GTAG10 – Diagramme de réalisationd’un plan de continuité des affaires

Gestion de la continuité d’activité

138

GTAG10 – Comprendre la DMIA et le DPMAGestion de la continuité d’activité

139

GTAG10 – Cadres de référenceGestion de la continuité d’activité

140

CobiT V4• DS4 Assurer un service continu

ITIL V3 - Conception des services• Gestion de la continuité

COSO• N’est pas un enjeu dans le monde de COSO

ISO 27002• 14 Gestion du plan de continuité de l’activité

Questions – 1 minuteGestion de la continuité d’activité

141

GTAG7L’infogérance(37 pages)

142

GTAG7 – ObjectifsInfogérance

• Qu’est-ce que le service d’audit interne doit prendre en compte

• Les différents typesd’infogérance

• Comprendre le cycle de vie et les modalités

143

GTAG7 – IntroductionInfogérance

• L’infogérance est souvent définie comme le recours à des prestataires de services ou des fournisseurs afin qu’ils créent, maintiennent ou réorganisent l’architecture et les systèmes informatiques d’une entreprise.

• Ne pas impartir :

– la gouvernance des SI;

– la gestion du portefeuille d’investissements informatiques;

– la gestion des contrats.

• L’entreprise reste vulnérable aux risques informatiques.

• Les auditeurs internes jouent un rôle proactif dans la supervision de la performance.

144

GTAG7 – Types d’infogéranceInfogérance

• La tierce maintenance applicative

• La gestion des infrastructures

• Le soutien technique

• Les services indépendants de tests et de validation

• La gestion des centres de traitement de données

• L’intégration de système

• L’hébergement et la maintenance des sites Web

• Les services de sécurité gérés

• L’informatique dans les nuages

145

GTAG7 – Cycle de vie : Risques et contrôles Infogérance

• Stratégie et évaluation de tierces parties• Processus de décision et analyse de rentabilité• Processus d’appel d’offres et contrats• Implémentation et transition• Surveillance et rapport• Renégociation• Réversibilité

146

GTAG7 – Efficacité du prestataireInfogérance

• Compréhension de l’étendue de la prestation

• Domaines d’architectures

• Modèle de gouvernance utilité par le prestataire (silo ou fonction)

• Contrôles généraux TI

• Composantes de la gestion du service TI

• Audit interne

147

GTAG7 – Cadres de référenceInfogérance

148

CobiT V4• SE2 Surveiller et évaluer le contrôle interne• SE3 S’assurer de la conformité aux exigences externes• DS2 Gérer les services tiers• DS5 Assurer la sécurité des systèmes• AI5 Acquérir des ressources informatiques

ITIL V3 • Ne s’applique pas vraiment dans le cadre de ce GTAG

La gestion des risques de l’entreprise – Cadre de référence• Cadre général

ISO 27002• 6.2 Tiers• 6.2.1 Identification des risques provenant des tiers• 6.2.2 La sécurité et les clients• 6.2.3 La sécurité dans les accords conclus avec des tiers• 8.1.1 Rôles et responsabilités

GTAG7 – Références autresInfogérance

149

NCMC 3416• La présente NCMC porte essentiellement sur les contrôles d'une société de services qui

sont susceptibles d'être pertinents pour le contrôle interne de l'information financière des entités utilisatrices

SSAE 16• L’équivalent du NCMC 3416 du côté américain

Questions – 1 minuteInfogérance

150

GTAG5Le management et l’audit des risques d’atteinte à la vie privée(43 pages)

151

GTAG5 – ObjectifsVie privée

Les défenseursde la vie privée ont voulu que chaque citoyen :

• Puisse maîtriser qui détient des informations sur eux ainsi que le type d'information personnelle détenue

• Puisse maîtriser l'usage qui est fait de cette information

152

GTAG5 – IntroductionVie privée

La protection des renseignements personnels a plusieurs formes, dépendant des juridictions :

• Au Québec pour les organismes publics − Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, et Règlement sur la diffusion de l'information et sur la protection des renseignements personnels

• Au Québec pour les organismes privés − Loi sur la protection des renseignements personnels dans le secteur privé

• Au Canada pour les organismes publics − Loi Fédérale sur la protection des données

• Il faut porter attention aux lois des différents pays, chaque pays ayant ses propres lois

153

GTAG5 – Risques liés à vie privéeVie privée

• Risque de nuire à l'image l'organisation

• Perte financière ou d’investisseurs potentiels

• Sanctions règlementaires

• Accusation de pratiques déloyales

• Perte de confiance auprès des clients, des citoyen ou des employés

• Perte de clients et de revenus

• Relation d’affaires ternies

154

GTAG5 – Avantages d’un audit de la vie privéeVie privée

• Faciliter la conformité aux lois et règlements

• Mesurer et aider à améliorer la conformité de la protection des données

• Identifier les différence entre les politiques et la pratique

• Augmenter le niveau de sensibilisation à la protection des données entre la direction et le personnel

• Donner de l’assurance sur le risque de réputation

• Améliorer les procédures pour répondre aux plaintes de confidentialité

155

GTAG5 – Exemples impactant l’auditVie privée

• Changements dans les lois et règlements

• Information gérée par les tiers ou dans l’informatique dans les nuages

• Maturité des politiques, procédure et pratiques de confidentialité

• Nouvelles technologies utilisées

156

GTAG5 – Audit de la protection de la vieprivéeVie privée

Évaluation des risques

• Risques juridiques et organisationnels• Risques liés à l’infrastructure• Risques liés aux applications• Risques liés aux processus opérationnels

Préparation de la mission

• Évaluation de la protection de la vie privée• Comprendre le traitement des données personnelles• Repérer les menaces• Identifier les contrôles et les contre-mesures• Classement par ordre de priorité

Évaluation

• Évaluer le dispositif de protection des données• Évaluer les vulnérabilités et faire des tests d’intrusion• Tests des contrôles physiques• Test d’ingénierie social

Communiquer les résultats

• Consulter le conseiller juridique sur les violations potentielles• Émettre le rapport• Faire le suivi des recommandations

157

GTAG5 – Les 12 questionsVie privée

1. Est-ce que l’organisation a un conseil d’administration en place pour traiter du niveau de risque acceptable face à la vie privée?

2. Quel est le niveau de risque acceptable pour la direction?

3. À quelles législationet réglementationl’organisation est-elle soumise en matière de protection de la vie privée?

4. Quelles sont les informations à caractère personnel que collectel’organisation?

5. L’organisation s’est-elle dotée de politiques et de procédures pour la collecte, l’utilisation, la conservation, la destruction et la divulgation des informations personnelles?

6. L’organisation a-t-elle désigné un responsablepour la gestion de son dispositif de protection de la vie privée?

158

GTAG5 – Les 12 questions (suite)

Vie privée

7. L’organisation sait-elle où sont stockéestoutes les données personnelles?

8. Comment sont protégéesles informations personnelles?

9. Les salariés sont-ils correctement sensibiliséset forméspar rapport à la protection des données personnelles?

10. L’organisation dispose-t-elle des ressources adéquates pour élaborer, mettre en œuvre et actualiser un programme?

11. L’organisation procède-t-elle à une évaluation périodiquede la mise en application de ses politiques et procédures de protection de la vie privée?

12. Certaines informations personnelles sont-elles communiquées à des tiers?

159

GTAG5 – Cadres de référenceVie privée

160

CobiT V4• DS5 Assurer la sécurité des systèmes• SE3 S’assurer de la conformité aux obligations externes• PO2.3 Système de classification des données• PO7 Gérer les ressources humaines de l'informatique• DS11.4 Mise au rebut

ITIL V3• ITIL n’est pas un référentiel d’audit. Ce sujet n’est pas abordé par ce référentiel

La gestion des risques de l’entreprise – Cadre de référence• Cadre général

ISO 27002• Section 6 Organisation de la sécurité de l’information

Questions(10 minutes)

161

Mot de la fin

162

Gilles Savard� 514 954-4624� [email protected]

Olivier Legault� 514 954-4685� [email protected]

Francis LeBlanc-Gervais� 514 390-4137� [email protected]