Guides Pratiques Audit TI Presentation 2012

GTAG
Documents de rfrence
Prsentation des guides GTAG pouvant tre
utiliss par un auditeur interne lors de
mandats daudit TI
Prsentateurs
2
Gilles Savard
Olivier Legault
Francis LeBlanc-Gervais
CPA, CA, CA-TI, PMP,

CISA, ITIL
Directeur principal
CPA, CGA, CISA

Directeur
CPA, CA, CISA

Directeur
GTAG Pourquoi cette prsentation?

3
Daprs notre exprience, ils sont peu connus et peu utiliss

dans la pratique.
Il y a un questionnement. Quelle est la diffrence entre les
cadres de rfrence et les GTAG?
Comment pouvons-nous utiliser les GTAG?
Sont-ils des outils de formation intressants?
Y a-t-il des programmes daudit intgrs dans les GTAG?
GTAG
4
Origine
GTAG : Global Technology Audit Guides (Guides pratiques
daudit des TI)
Guides dvelopps la demande du prsident de lIIA,
David A. Richards en 2005
Guides dvelopps par des gens en provenance de divers
milieux (industries, universits, firmes comptables)
Orient principalement vers le personnel de gestion et les
auditeurs internes, et non vers le personnel technique
Le premier guide appel Les contrles des systmes
dinformation a t publi en mars 2005
Le dernier guide appel Gouvernance TI a t publi en
2012
GTAG Objectif vis

5
labors par lIIA, chaque guide traite dun thme qui a trait
la gestion, au contrle et la scurit des systmes
dinformation.
Cette srie de guides constitue un outil pour le gestionnaire et
lauditeur interne qui peuvent ainsi sinformer sur les diffrents
risques lis la technologie et sur les pratiques
recommandes.
Expliquer les contrles TI et la vrification de ces contrles
pour permettre au gestionnaire et lauditeur interne de
comprendre et de communiquer la ncessit dun
environnement de contrle TI robuste au sein de leur
organisation.
GTAG
6
GTAG 17 guides
7
Contrles des systmes de l'information (GTAG1) Anglais

seulement
Contrles de la gestion du changement et des patchs : un

facteur cl de la russite pour toute organisation (GTAG2)
Audit continu : Rpercussions sur l'assurance, le pilotage et
l'valuation des risques (GTAG3)
Management de l'audit des systmes d'information (GTAG4)
Management et audit des risques d'atteinte la vie prive
(GTAG5)
Gestion et audit des vulnrabilits des technologies de
l'information (GTAG6)
Infogrance (GTAG7)
Audit des contrles applicatifs (GTAG8)
GTAG 17 guides
8
Identit et gestion des accs (GTAG9)

Gestion du plan de continuit des affaires (GTAG10)
Dveloppement dun plan daudit (GTAG11)
Audit des projets TI (GTAG12)
Prvention de la fraude et dtection (GTAG13)
Audit des applications utilises par les utilisateurs (Excel,
Access, etc.) (GTAG14) Anglais seulement
Gouvernance de la scurit TI (GTAG15) Anglais seulement
Analyse des donnes Extraction (GTAG16) Anglais
seulement
Audit de la gouvernance TI (GTAG17) Anglais seulement
GTAG1
Risques et contrles
(36 pages)
GTAG1 Objectifs
Risques et contrles
10
Aider les auditeurs internes devenir plus confortables avec

les contrles gnraux TI afin quils puissent aborder ces
questions avec la haute direction.
Dcrit comment les diffrents intervenants impliqus par la
pratique daudit interne (CA, gestion, personnel,
professionnels) doivent aborder et valuer les risques et les
contrles TI.
De plus, il met les bases des GTAG venir, qui seront
consacrs des sujets plus prcis et prsenteront les
fonctions et responsabilits correspondantes dans lentreprise
avec plus de dtails.
Ce guide est la seconde dition. Le premier tait davantage
orient sur les contrles TI et avait t publi en mars 2005.
GTAG1 Introduction
Risques et contrles
Plusieurs risques et menaces importants sont en lien avec

les TI. Les risques les plus importants viennent de linterne et
non de lexterne. De bon contrles TI diminuent la probabilit
quun risque ou une menace se concrtise.
Plusieurs cadres de rfrence existent pour catgoriser les
objectifs et contrles TI. Ce guide recommande que chaque
organisation utilise les composantes provenant des diffrents
cadres de rfrences existants (COSO, ITIL, CobiT, etc.) qui
sont applicables pour eux.
Un gestionnaire daudit interne peut utiliser ce guide comme
une fondation pour valuer les risques et contrles TI et la
conformit.
GTAG1 Risques
Risques et contrles
Pour un dirigeant daudit interne, il est impratif de bien jauger

lapptence et la tolrance aux risques du CA.
Un dirigeant daudit interne doit considrer si lenvironnement
TI est en ligne avec lapptence aux risques du CA.
Un dirigeant daudit interne doit considrer si le cadre de
contrle interne des TI assure que les performances de
lorganisation demeurent lintrieur de la tolrance aux
risques tablie.
Apptence au risque : Degr de risque que la direction dune organisation est

prte accepter dans la poursuite de ses objectifs.
Tolrance au risque : Le dirigeant de laudit interne doit dfinir le niveau
acceptable de variation du risque pour latteinte des objectifs. Il est important
daligner la tolrance au risque avec lapptence au risque.
GTAG1 Structure de laudit

Risques et contrles
13
Lorsque les responsables de laudit

interne examinent et valuent les
contrles des TI, ils doivent se poser
plusieurs questions :
Que signifient pour nous les
contrles des SI?
Pourquoi avons-nous besoin des
contrles des SI?
Qui est responsable des
contrles des SI?
Quand convient-il dappliquer les
contrles des SI?
O prcisment faut-il mettre en
place les contrles des SI?
Comment procder des
valuations des contrles des SI?
Jai mon service six honntes

domestiques.
(Ils mont appris tout ce que je sais.)
Ils sappellent Quoi et Pourquoi,
Quand et Comment, et O et Qui.
Rudyard Kipling,
Tir de Elephants Child
dans Just So Stories
GTAG1 Structure de laudit

Risques et contrles
14
Que signifient pour nous les

contrles des SI?
Pourquoi avons-nous besoin des

contrles des SI?
Qui est responsable des contrles
des SI?
1) Quand convient-il dappliquer
les contrles des SI?
2) O prcisment faut-il mettre en
place les contrles des SI?
Comment procder des
valuations des contrles des SI?
GTAG1 Classification des contrles

Risques et contrles
15
Questions 1 minute
Risques et contrles
16
17
GTAG11
laboration dun plan daudit
des TI
(40 pages)
GTAG11 Objectifs
laboration dun plan daudit des TI
18
Le prsent GTAG peut aider les responsables de laudit

interne et les auditeurs internes :
Prendre en compte lactivit gnrale de lentreprise et la part

des TI dans le support oprationnel
Dfinir et prendre en compte lenvironnement des TI
Identifier le rle de lvaluation des risques dans la dlimitation
de lunivers daudit interne
Formaliser le plan annuel daudit des TI
GTAG11 Introduction
19
tant donn que le fonctionnement de l'organisation dpend

fortement des TI, il est en effet essentiel que le responsable
de laudit interne et les auditeurs internes sachent comment
laborer un plan daudit et, pour chaque lment, quelles
doivent en tre la frquence, ltendue et la profondeur.
Le responsable de laudit interne et les auditeurs internes
pourront dterminer les domaines auditer et la frquence
en se basant sur une cartographie des processus,
l'inventaire et la prise en compte de lenvironnement des TI et
lvaluation des risques lchelle de lorganisation.
Ce GTAG utilise lexemple dune organisation fictive pour
montrer aux responsables de laudit interne et aux auditeurs
internes comment mettre en uvre les tapes ncessaires
la dlimitation de lunivers daudit.
GTAG11 Actualisation du plan daudit

20
36%
60 %
GTAG11 Processus dlaboration

du plan daudit TI
21
GTAG11 valuer le risque Impact et

probabilit
22
GTAG11 valuer le risque

23
GTAG11 Audits viss

24
Peu de ressources :
Slectionner des activits
daudit en fonction du
carr pointill.
Beaucoup de ressources :
Slectionner des activits
daudit en fonction du
carr ligne continu couleur
bleu.
GTAG11 Cadres de rfrence

25
CobiT V4
Voir lannexe 1 du cadre de rfrence afin davoir certains
dtails
ITIL V3 - Conception des services

Pas un cadre daudit
COSO
Pas vraiment pertinent pour un plan daudit TI
ISO 27002
Certaines parties peuvent aider :
4 - Apprciation et traitement du risque
15 - Conformit
Questions 1 minute
26
27
GTAG4
Management de laudit des
systmes dinformation (SI)
(33 pages)
GTAG4 Objectifs
Management de laudit des systmes dinformation (SI)
28
Rpondre aux questions stratgiques suivantes :

La fonction daudit value-t-elle les risques efficacement
chaque anne?
Lvaluation des risques prend-elle en considration
larchitecture et la configuration technologiques spcifiques
employes par lorganisation?
Des audits sont-ils prvus tous les niveaux de

lenvironnement informatique?
La dotation en personnel pour les audits informatiques est-elle

satisfaisante?
GTAG4 Introduction
29
Dpendance des entreprises face aux SI 2 consquences :

Un pourcentage important des contrles internes cls
dterminants pour lorganisation est susceptible dtre activ
par la technologie.
Les systmes dont lintgrit est compromise ou dont les
contrles sont dfectueux produiront un impact plus important
sur les oprations de lorganisation et sa comptitivit, ce qui
renforcera la ncessit de disposer de contrles
informatiques efficaces.
GTAG4 tapes dun audit SI

30
Dfinir les SI
Tenir compte de chaque couche
Management des SI (CGTI)

Infrastructure technique
Applications
Connexions extrieures
valuer les risques lis aux SI (Prioriser)

Dfinir lunivers de laudit des SI (Optimiser)
Excuter les audits des SI
Normes et cadres de rfrence
Grer la fonction daudit des SI (Efficacit)

Rsoudre les problmatiques mergentes (Sadapter)
GTAG4 Dfinir les SI

31
Illustration des 4 couches :
GTAG4 valuer les risques

32
Complexit des SI
Chaque SI est unique.
Types de risques des SI
Disponibilit : Le systme nest pas disponible pour utilisation.

Scurit : Accs non autoris au systme.
Intgrit : Donnes incompltes ou inexactes.
Confidentialit : Linformation nest pas conserve secrte.
Efficacit : Le systme ne procure pas une fonction voulue ou attendue.
Efficience : Le systme entrane une utilisation sous-optimale des
ressources.
Natures de risques
Spcifiques vs pervasifs
Statiques vs dynamiques
GTAG4 Cl du succs
33
Lunivers daudit pour lanne doit porter sur toutes les

couches de lenvironnement des SI.
Les audits des SI doivent tre structurs de manire
permettre une communication efficace et logique.
Les audits des SI doivent porter sur les bons risques.
Lutilisation de dfinitions trop larges pour les audits des SI
(par exemple, contrles gnraux des SI) entrane presque
toujours un glissement de primtre.

34
CobiT V4
Pas vraiment dobjectif rellement coll ce GTAG
Lensemble du cadre de rfrence aborde ce GTAG
ITIL V3
ITIL nest pas un rfrentiel daudit
Les cadres de rfrence Contrle interne et

Management des risques de lentreprise
Pas ncessairement ax sur les TI
ISO 27002
Pas vraiment de point touchant ce volet
Questions 1 minute
35
36
GTAG3
Audit continu : Rpercussions
sur lassurance, le pilotage et
lvaluation des risques
(41 pages)
GTAG3 Objectifs
Audit continu
37
Connaissances opportunes sur des problmes critiques
Automatisation de certains tests
Processus de rvision plus efficace
GTAG3 Introduction
Audit continu
38
GTAG3 Introduction
Audit continu
39
GTAG3 Avantages de laudit continu

Audit continu
40
valuation intervalles rapprochs

Audit permanent de 100 % des transactions
Comprhension accrue des points critiques, des rgles et des
exceptions
Notification rapide des carts et des carences
Facilite la planification de laudit
Indpendance vis--vis des SI et du pilotage
GTAG3 Inconvnients de laudit continu

Audit continu
41
Linformation auditer doit provenir de systmes fiables

Le processus daudit continu doit tre fortement automatis
Des rapports daudit continu comprhensibles et prcis
doivent tre labors et disponibles rapidement
Les auditeurs doivent possder les comptences requises
pour mener ce type de mission
Changement des paradigmes daudit traditionnels
GTAG3 Phases cls

Audit continu
42
Objectifs de laudit continu

Accs et utilisation des donnes
valuation continue des contrles et des risques
Communiquer et grer les rsultats
GTAG3 Exemples dvaluation de contrles

Audit continu
43
Contrles financiers : Carte de crdit dentreprise

Pilotage
chantillonnage manuel trimestriel
Audit interne
Pilotage faible et risque lev
Examen de la politique et des procdures
Tests analytiques sur 100 % transactions
Trouve des anomalies

Audit continu
44
CobiT V4
Pas vraiment dobjectif rellement coll ce GTAG
La srie SE se rapproche le plus de ce GTAG
ITIL V3
ITIL nest pas un rfrentiel daudit
Cadre de rfrence (Enterprise Risk Management

(ERM) Framework)
Environnement de contrle
valuation des risques
Information et communication
Pilotage des risques
ISO 27002
Pas vraiment de point touchant ce volet. La section 15 se
rapproche le plus de ce GTAG
Questions 1 minute
Audit continu
45
46
GTAG16
Analyse des donnes
(28 pages) Juillet 2011
GTAG16 Objectifs
Analyse de donnes
47
Avoir des approches daudit utilisant les outils danalyse des

donnes :
Lanalyse des donnes est significative pour lorganisation
Meilleure assurance avec les outils danalyse des donnes
Dfis et risques dimplantation des outils
Comment implanter les outils danalyse
Reconnatre les tendances et les avantages dutiliser les outils
GTAG16 Introduction
Analyse de donnes
48
Dfinition Lanalyse des donnes permet didentifier,

obtenir, valider, analyser et interprter diffrents types de
donnes lintrieur de lorganisation afin damliorer
lefficience dun audit.
Efficience Les outils danalyse des donnes sont une partie
intgrante dun audit TI et permettent damliorer lefficacit et
lefficience dun audit.
GTAG16 Les sources

Analyse de donnes
49
Des donnes PDF

Des tableurs
Des fichiers textes
Des donnes provenant des systmes dopration AS/400
Les bases de donnes, dont Access, et les donnes en format
XML
Des ajouts au logiciel de base permettent dinterroger les
applications SAP
Les serveurs centraux (mainframe) (travail plus complexe)
Lintgrit des donnes source est un critre de base essentiel et non ngociable.
GTAG16 Comment les outils peuvent

taider
Analyse de donnes
1.
Calcul Paramtres statistiques (moyennes, dviations, plus hautes et plus basses

valeurs) afin didentifier des transactions tranges.
2.
Classer Trouver des tendances ou des associations parmi des groupes de

donnes.
3.
Stratifier Valeurs numriques afin didentifier des valeurs non usuelles

(excessivement hautes ou basses).
4.
Loi de Benfords Identifier des occurrences statistiquement improbables.
5.
Joindre Diffrents types de donnes sources afin didentifier des donnes non
assorties telles que le nom, adresse, etc.
6.
Dupliquer Identifier des transactions dupliques telle que paiements, paies, etc.
7.
cart Tester une srie afin de trouver un bris dans une squence.
8.
Somme Additionner des donnes afin de valider des totaux de contrles.
9.
Valider Des dates afin de trouver des lments suspicieux.
50
GTAG16 Exemples dutilisation

Analyse de donnes
51
Section
Contrle
Analyse de donnes
Paiement
Lapplication ne permet
pas un doublon de
paiement.
Obtenir les paiements.

Valider quil ny a pas de paiement en double
(mme vendeur, mme montant et mme
numro de fournisseur).
Achat de
marchandises
Les PO vieux de trois

mois et plus ne seront
pas traits.
Obtenir la liste des PO produits.

Dterminer si des PO de 3 mois et plus ont t
traits.
Achat de
marchandises
La personne qui cre le

PO nest pas celle qui
lapprouve.
Obtenir la liste des PO crs.

Obtenir la liste des PO approuvs.
Comparer les deux concernant la sparation
des tches.
Rception de
biens
Tous les biens reus sont

valids auprs du PO.
Obtenir la liste des biens reus et des PO.

Valider que les quantits sont les mmes.

Analyse de donnes
52
CobiT V4
Non pertinent

Non pertinent
COSO
Non pertinent
ISO 27002
Non pertinent
Questions 1 minute
Analyse de donnes
53
54
GTAG9
Gestion des identits et
des accs
(32 pages)
GTAG9 Objectifs
Gestion des identits et des accs
55
Comprendre le rle de la gestion des identits et des accs

pour lorganisation et suggrer les points approfondir lors
dun audit interne.
Mme si de nombreux dirigeants estiment que la gestion des
identits et des accs relve de la direction des systmes
dinformations (DSI), elle concerne en fait toutes les
directions mtiers de lentreprise
GTAG9 Introduction
56
Les obligations rglementaires et les pratiques de gestion

prudentes ont conduit les organisations accrotre au
maximum le degr de granularit des droits daccs.
Le management doit dterminer avec prcision les droits
ncessaires aux utilisateurs au lieu de leur accorder des
ressources dont ils nont pas vraiment besoin.
GTAG9 Introduction (suite)

57
Daprs un rapport prvisionnel rcent du groupe de presse

International Data Group (IDG), les dpenses consacres la
gestion des identits et des accs et aux systmes connexes
devraient augmenter rapidement.
La gestion des identits et des accs devrait donc bientt figurer

au premier rang des projets informatiques de nombreuses
organisations.
Dans de nombreuses organisations, la suppression des

droits daccs utilisateurs ou des droits daccs associs
une identit numrique peut prendre jusqu trois ou quatre
mois, ce qui peut reprsenter un risque inacceptable, surtout
si lutilisateur peut encore accder aux systmes et
ressources de lentreprise alors quil a t rvoqu.
GTAG9 Requte de changements

des droits daccs
58
Gestionnaire
ou
administrateur
de la scurit
Propritaire
de
lapplication
Soumet une requte
Approuve la requte
Approuve la requte
Vrification
de la
sparation
des tches
Transfert vers
le premier
approbateur
Rgles -sparation des tches
Rpertoire des droits daccs
Application vise
Lapplication est
responsable de
mettre en force les
contrles daccs.
Accs
automatiquement
accord
Approbations
Transfert vers
les
approbateurs
additionnels
Approbations
Employ ou systme
Rgles de configuration

59
CobiT V4
PO4.9 Proprit des donnes et du systme

PO6.1 Politique informatique et environnement de contrle
DS5.3 Gestion des identits
DS5.4 Gestion des comptes utilisateurs
ITIL V3 - Exploitation des services

Gestion des accs
COSOs Internal Control over Financial Reporting Guidance for Smaller Public Companies
Activit de contrles Principe 14
ISO 27002
8 Scurit lie aux ressources humaines
11 Contrle daccs
Questions 1 minute
60
61
GTAG12
Audit des projets
informatiques
(46 pages)
GTAG12 Objectif
Audit des projets informatiques
62
Ce GTAG a pour objectif doffrir aux auditeurs internes et

leur responsable une vue densemble des techniques
permettant de collaborer efficacement avec les quipes de
projet et les instances de pilotage de projet sur lvaluation
des risques lis aux projets TI.
Le champ de la gestion de projet tant extrmement vaste,
lobjectif de ce guide est de dfinir un cadre dvaluation des
risques lis aux projets, de donner des exemples de risques
courants lis la gestion de projet et dtudier comment
laudit interne peut participer activement lexamen des
projets sans perdre son indpendance.
GTAG12 Objectif
63
Cinq thmes centraux de laudit
GTAG12 Introduction
64
Au sens courant, un projet est un ensemble d'activits, avec

un dbut et une fin dfinis, qui est entrepris pour atteindre un
objectif donn dans des contraintes prcises de calendrier,
de contenu et de ressources.
Aujourdhui, pour dterminer si un projet est un succs, il ne
suffit plus de mesurer si les dlais et le budget ont t
respects. Les projets qui chouent ou qui sont menacs
peuvent avoir un impact considrable sur l'organisation, selon
les besoins mtiers qui les sous-tendent.
Cest la direction gnrale quil incombe de veiller ce
que le projet aboutisse et que les rsultats attendus soient
atteints.
GTAG12 Introduction
65
tude CHAOS
GTAG12 10 facteurs de russite

66
1.
Participation des utilisateurs Les utilisateurs des directions mtiers et des TI

participent aux principaux processus de ralisation dun consensus, de prise de
dcision et de collecte dinformations.
2.
Soutien de la direction gnrale Les dirigeants assurent la cohrence avec la

stratgie de lorganisation, ainsi quun soutien financier et psychologique et une
assistance dans la rsolution des conflits.
3.
Clart des objectifs de lorganisation Les partenaires comprennent lintrt

intrinsque du projet et sa cohrence par rapport la stratgie de lorganisation.
4.
Souplesse de loptimisation Le projet emploie des processus itratifs de

dveloppement et doptimisation pour viter les lments inutiles et sassurer que les
lments essentiels sont bien intgrs.
5.
Maturit psychologique Le chef de projet gre les motions et les actions des
partenaires du projet et vite certaines attitudes (ambition, arrogance, ignorance,
abstention et dloyaut).
6.
Connaissance de la gestion de projet Lorganisation fait appel des chefs de

projet qui ont les comptences et connaissent les pratiques de base, par exemple
des chefs de projets titulaires de la certification PMP (Project Management
Professional) du Project Management Institute.
GTAG12 10 facteurs de russite

67
7.
Gestion financire Le chef de projet est capable de grer les ressources

financires, de justifier le budget ou les dpenses et dexpliquer lintrt du projet.
8.
Comptences des ressources Des personnes comptentes sont recrutes,

diriges, retenues et contrles afin de pouvoir continuer avancer en cas de
problmes de personnel, notamment de rotation du personnel.
9.
Formalisation de la mthodologie Il existe un ensemble prdfini de techniques

bases sur les processus qui constituent une feuille de route o sont indiqus les
vnements qui doivent se produire, quand, comment et dans quel ordre.
10. Outils et infrastructure Linfrastructure du projet est labore et gre laide

doutils permettant la gestion des tches, des ressources, des exigences, des
changements, des risques, des fournisseurs, de ladhsion des utilisateurs et de la
qualit.
GTAG12 Structure dun projet

68

69
CobiT V4
PO10 - Grer les projets

Plus orient gestion des changements que gestion de projets
COSO
Pas vraiment pertinent pour la gestion de projets
ISO 27002
Plus orient opration et scurit que gestion de projets
12 - Acquisition, dveloppement et maintenance des
systmes dinformation
Questions 1 minute
70
Pause
71
Retour dans 15 minutes
72
GTAG2 (2e dition)

Contrles de la gestion du
changement et des patchs :
Un facteur cl de russite
pour toute organisation
(34 pages)
GTAG2 Objectifs
Contrles de la gestion du changement et des patchs
73
Acqurir une connaissance oprationnelle des processus de

gestion des changements informatiques.
Distinguer rapidement les bons processus de gestion des
changements de ceux qui sont inefficaces.
Reconnatre rapidement les indicateurs et signaux dalerte pointant
une dfaillance des contrles lis la gestion des changements.
Prendre conscience que lefficacit de la gestion des changements
repose sur la mise en place de contrles prventifs, dtectifs et
correctifs qui assurent la sparation des fonctions et la supervision
approprie du management.
Recommander les meilleures pratiques connues pour remdier aux
dfaillances afin de vrifier que les risques sont matriss (et que les
contrles sont bien effectus) et daccrotre lefficacit et lefficience.
Faire passer plus efficacement vos recommandations auprs de
votre directeur des systmes dinformation, de votre directeur
gnral ou de votre directeur financier.
GTAG2 Introduction
74
La gestion des changements est lune des disciplines les plus

difficiles mettre en uvre. Elle ncessite une collaboration
entre une quipe pluridisciplinaire compose de
dveloppeurs dapplication, de personnel de lexploitation
informatique et dutilisateurs.
Possder une culture de gestion des changements qui
empche et dissuade de procder des changements non
autoriss est une condition essentielle une gestion efficace
des changements.
GTAG2 Introduction
75
Bnfices dune saine gestion des changements

Consacrer moins de temps et dnergie dans les SI pour des
interventions non planifies.
Consacrer davantage dargent et dnergie dans les SI pour
excuter de nouvelles tches et atteindre les objectifs de
lentreprise.
Connatre moins de priodes dindisponibilit.
tre plus focalis sur les amliorations que sur les rparations
en urgence.
Concerter les efforts sur les priorits du mtier de lentreprise.
Motiver le personnel SI (participer lamlioration des
oprations plutt que dteindre des feux)
Satisfaire les besoins des utilisateurs finaux.
GTAG2 Indicateurs dune mauvaise

gestion des changements
Changements non autoriss

Interruptions de service non prvues
Faible taux de russite du changement
Nombre lev de changements en urgence
Retard dans les dploiements de projets
76
GTAG2 Tches non planifies

77
La limitation des tches non planifies est un indicateur dun

processus efficace de gestion des changements.
On ne peut valuer ce que lon ne mesure pas
GTAG2 Variables cls influenant les

processus de gestion des changements
78
Par le taux de changements, le

taux de russite du changement,
la dure moyenne de reprise
(MMTR)

79
CobiT V4
AI 6 Grer les changements
AI7 Acqurir et implmenter
ITIL V3
Transition des services / Gestion des changements
Internal Control over Financial Reporting Guidance

for Smaller Public Companies
Gestion des changements
ISO 27002
12 Acquisition, dveloppement et maintenance des systmes
dinformation
12.5.1 Procdures de contrle des modifications
Questions 1 minute
80
81
GTAG14
Auditer les applications
dveloppes par les
utilisateurs (ADU)
(32 pages)
GTAG14 Objectifs
Auditer les applications dveloppes par les utilisateurs (ADU)
82
Identifier la disponibilit dun cadre de contrle qui comprend

une politique, les procdures, linventaire et lvaluation des
risques lgard des applications internes.
Utiliser le cadre de contrle dfini au point 1 afin de dfinir la
population des applications internes tre incluses dans
laudit TI.
GTAG14 Objectifs
83
Aider la direction dvelopper un cadre de contrle des

applications internes efficient :
Utiliser des techniques prouves afin didentifier la
population des applications internes.
valuer les risques associs chaque application interne,
bass sur le potentiel dimpact et la probabilit quune
occurrence se produise.
GTAG14 Introduction
84
Dfinition Rgle gnrale, ce sont des applications internes

comme des tableurs Excel ou des petites applications comme
Access cres et utilises par les utilisateurs finaux.
Bnfice La plupart des organisations utilisent ce type
dapplications parce quelles sont faciles et moins coteuses
dvelopper et maintenir, en plus de permettre de
contourner les contrles gnraux des TI pour en faciliter et
en acclrer limplantation.
Risque Le contournement des contrles gnraux des TI
pose un risque de confidentialit, dintgrit et de disponibilit
des donnes extraites, calcules, tries et compiles par ce
type dapplication.
GTAG14 Les risques

85
Manque de structure lgard du dveloppement, de la

gestion des changements ou de la gestion des versions
Entreposage et gestion de limportation des donnes
Manque dexprience de la personne qui dveloppe
lapplication
Manque de documentation
Insuffisance des contrles touchant lentre et la sortie de
donnes
Tests insuffisants
Est-ce que la personne qui a dvelopp lapplication interne a les connaissances

et lexprience pour grer les risques lis aux applications internes?
GTAG14 Les bonnes pratiques

86
Contrles daccs
Contrles des donnes sources
Contrles des donnes sortantes (rsultats)
Contrles lgard de la gestion des changements
Gestion des archives, sauvegardes et versions
Documentation (politiques, procdures, guides)
Les contrles lgard des applications internes sont trs similaires aux contrles
gnraux TI.
GTAG14 Dfinir le primtre daudit

87
Dfinir la notion dADU cl

Recenser la population dADU
tablir les facteurs de risques
Classification au risque des ADU
GTAG14 Dfinir la stratgie daudit

88
Deux scnarios
1. Le cadre de contrle est efficace
Tester les contrles
Effectuer un test dacheminement
2. Le cadre de contrle est inefficace
Recommander la mise en place de contrles
Rexcution du traitement
Sur base dchantillon
Sur le traitement intgral de lADU en procdant par technique

daudit assist par ordinateur (TAAO)

89
CobiT V4
PO6.2 Cadre de rfrence des contrles et risques
informatiques
AI2.4 Scurit et disponibilit des applications
AI2.7 Dveloppement dapplications

Pas un cadre spcifique aux applications internes
COSO
De faon gnrale, cest un sujet important dans le cadre
dun audit de conformit SOX et 52-109
ISO 27002
12 Acquisition, dveloppement et maintenance des systmes
dinformation
11 Contrles daccs
5 Politique de scurit
Questions 1 minute
90
91
GTAG8
Audit des contrles applicatifs
(32 pages)
GTAG8 Objectifs
Contrles applicatifs
92
Informer sur les aspects suivants :
Dfinition et avantages des contrles applicatifs
Rle des auditeurs internes
Excution dune valuation des risques
Dlimitation de ltendue de la revue des contrles applicatifs
Approches de la revue des applications et autres considrations
Comprendre la diffrence entre les contrles applicatifs et

les contrles gnraux informatiques (CGTI)
GTAG8 Introduction
93
Dfinition des contrles applicatifs
Les donnes dentre sont exactes, compltes, autorises et

correctes.
Les donnes sont traites conformment aux objectifs et dans

un dlai acceptable
Les donnes stockes sont exactes et compltes
Les donnes de sortie sont exactes et compltes.
Un enregistrement du processus est conserv.
GTAG8 CGTI versus Contrles applicatifs

94
Les CGTI sappliquent tous les composants, processus et

donnes des systmes dun organisation.
Les contrles applicatifs sappliquent aux transactions et aux
donnes relatives chaque systme dapplication.
Les CGTI doivent fonctionner efficacement pour que les
contrles applicatifs puissent grer le risque.
GTAG8 Pondration du risque

95
GTAG8 vidence
96
On ne peut vrifier ce que lon ne comprend pas
Il est essentiel de comprendre les

fonctionnalits et processus entourant
les contrles applicatifs avant de
commencer laudit.
GTAG8 Audit des contrles applicatifs

97
valuation du risque
Dtermination de ltendue de la revue en fonction de la mthode du processus

dentreprise ou en fonction de la mthode de lapplication unique
Examen des contrles daccs
laboration du plan de travail
laboration du programme dexamen dtaill
valuation du besoin en ressource spcialise
Ralisation du mandat (tests, documentation et rsultats )
Communication des rsultats

98
CobiT V4
Aucun objectif prcis, mais lensemble du cadre peut devenir
un outil essentiel
ITIL V3
Ne sapplique pas vraiment dans le cadre de ce GTAG
COSOs Internal Control over Financial Reporting Guidance for Smaller Public Companies
Cadre descriptif assez complet touchant la question
ISO 27002
Pas de section particulire
Questions 1 minute
99
100
GTAG13
Prvention et dtection de la
fraude dans un contexte
automatis
(35 pages)
GTAG13 Objectifs
Prvention et dtection de la fraude
101
Ce guide se veut un complment au guide pratique de lIIA

sur laudit interne et la fraude. Il vise informer et guider les
directeurs de laudit interne et les auditeurs internes sur la
faon dutiliser la technologie pour aider prvenir la fraude,
la dtecter et y ragir.
Les principales thmatiques portent sur les risques de fraude
lie aux systmes de TI, lvaluation de ces risques et la
manire dont la technologie peut aider les auditeurs internes
et les autres parties prenantes au sein de lorganisation
composer avec la fraude et les risques de fraude.
GTAG13 Introduction
102
Dfinition Tout acte illgal caractris par la tromperie, la

dissimulation ou la violation de la confiance sans quil y ait eu
violence ou menace de violence. Les fraudes sont perptres par
des personnes et des organisations afin dobtenir de largent, des
biens ou des services, ou de sassurer un avantage personnel ou
commercial .
Norme IIA 1210.A2 Les auditeurs internes doivent possder des
connaissances suffisantes pour valuer le risque de fraude et la
faon dont ce risque est gr par lorganisation. Toutefois, ils ne sont
pas censs possder lexpertise dune personne dont la
responsabilit premire est la dtection et linvestigation des
fraudes.
Norme IIA 2060 Rapports au conseil et la direction gnrale
Le responsable de laudit interne doit rendre compte
priodiquement la direction gnrale et au conseil des missions,
des pouvoirs et des responsabilits de laudit interne, ainsi que du
degr de ralisation du plan daudit.
GTAG13 Politique denqute sur

les fraudes
Ce que doit comprendre une politique denqute sur les

fraudes
Quand et comment entreprendre une enqute sur fraude

Les documents ncessaires pour faire une enqute sur fraude
Comment choisir les membres de lquipe denqute
La marche suivre pour ajouter des experts lquipe
Comment valuer et attnuer le risque li aux contrles internes
Quand et comment confier lenqute lchelon suprieur
Comment assurer la cohrence et luniformit, de manire ce
que toutes les infractions soient traites de la mme faon
Des directives sur ltape jusqu laquelle lorganisation est prte
pousser lenqute
Les voies de communication utiliser avant, pendant et aprs
lenqute
Des directives sur lampleur des mesures correctives dployer
103
GTAG13 valuation des manuvres

frauduleuses
Voici deux mthodes pour valuer le potentiel de manuvres

frauduleuses du point de vue du fraudeur :
1. Mthode axe sur la faiblesse des contrles On value le
potentiel de fraude en examinant les contrles cls pour voir
qui pourrait profiter dune faiblesse dans les contrles et de
quelle manire un fraudeur pourrait contourner un contrle
dficient.
2. Mthode axe sur les champs cls On value le potentiel
de fraude en examinant les donnes saisies, quels champs
peuvent tre manipuls (et par qui) et quelles seraient les
consquences.
104
GTAG13 Grille dvaluation du risque

105
Propritaire
dentreprise
Risques de
fraude
TI DSI
Des contrles
physiques
insuffisants du
matriel de TI
donnent lieu des
changements, la
destruction ou
lutilisation illicite
du matriel des
fins
denrichissement
personnel.
(Scurit
physique)
Contrles
Matriel informatique
critique situ dans des
centres de donnes
scuriss
Accs restreint aux
centres de donnes
selon les responsabilits
Utilisation de dispositifs
de scurit varis
(p. ex., carte daccs,
surveillance par camra
en circuit ferm,
gardiens de scurit)
Politiques et procdures
consignes par crit
Maintien dun registre
des visiteurs
Utilisation de cbles de
scurit pour les
ordinateurs portables
Inventaire trimestriel des
postes de travail
Mthodes
dapprovisionnement
officielles
Prvention
ou dtection
Les deux
Surveillance
Probabilit
Incidence
Gestion du centre
de donnes
Prvention des
pertes
Gestion des
risques lis aux TI
Oprations TI
Surveillance
quotidienne des
registres de
visiteurs par les
gestionnaires
Inventaires
priodiques
effectus par la
gestion de lactif
Rapprochement
des comptes
dapprovisionnement
Audit interne
Faible
leve
GTAG13 Acquisitions
106
Limportance de lacquisition des donnes :

Assurance de lintgrit des donnes Un professionnel
chevronn doit copier les donnes du disque dur suspect vers
un disque dur de lauditeur.
La chane de preuves Des outils spcialiss assurent que
les donnes nont pas t modifies lors du transfert des
donnes.
Lorganisation de la preuve Des procdures claires et bien
excutes permettent davoir lassurance que la chane de
preuves na pas t brise.
GTAG13 Dtection des fraudes par lanalyse

des donnes (IDEA et ACL)
Types de tests de fraude : Des exemples

Types de fraude
Tests servant dcouvrir la fraude
Ventes fictives
Chercher les adresses de botes aux lettres : Faire un

croisement entre ladresse des fournisseurs et des
employs.
Faire attention aux fournisseurs dont les informations sont
similaires, avec mmes adresses et numros de tlphone.
Paiements en double
Chercher les factures avec les mmes numros.

Chercher les factures dont les montants payer sont
identiques.
Vrifier les demandes rcurrentes pour le remboursement
des factures payes deux fois.
Paie un employ ayant

quitt lentreprise
Comparer la date de dpart des employs avec la liste des

chques de paie.
Parcourir la liste des employs sur le registre de la paie.
107
GTAG13 Utilisation de la technologie dans

la prvention et la dtection de la fraude
Outils Ex. : EnCase ou FTK

Spcialisation Les auditeurs internes, rgle gnrale,
nont pas ce type dexpertise. Des experts externes sont
souvent utiliss.
Expertise judiciaire Un processus comprenant la
conservation, lidentification, lextraction et la
documentation de matriel et de donnes informatiques
des fins de preuve et danalyse des causes profondes. Voici
des exemples dactivits lies lexpertise judiciaire en
informatique :
Rcupration de courriels supprims;

Surveillance du courrier lectronique en vue de dtecter des
indices de fraude;
Enqute suivant une cessation demploi;
Rcupration de preuves suivant le formatage dun disque dur.
108
GTAG13 Utilisation de la technologie dans

la prvention et la dtection de la fraude
Lexpertise judiciaire en informatique Elle permet

dtablir et de maintenir une chane de possession
continue, laquelle est essentielle pour dterminer
ladmissibilit dun lment de preuve devant les tribunaux.
Expertise de lauditeur interne Bien quon ne sattende
pas ce que les directeurs de laudit interne et les auditeurs
internes soient des experts en la matire, les directeurs de
laudit interne doivent avoir une comprhension gnrale
des avantages que procure cette technologie afin de pouvoir
recruter, au besoin, des experts comptents pour collaborer
une enqute sur fraude.
109

110
CobiT V4
Pas vraiment ax sur la fraude

Pas vraiment ax sur la fraude
COSO
Sujet abord de faon gnrale et en lien avec le reporting
financier
ISO 27002
Aucune section spcifique sur la fraude, lensemble du
document traite de faon gnrale de la fraude
Questions 1 minute
111
112
GTAG15
Gouvernance de la scurit de
linformation (GSI)
(28 pages)
GTAG15 Objectifs
Gouvernance de la scurit
113
Ce guide fournit une rflexion et une approche aux responsables

de la vrification interne TI afin que le plan daudit TI incorpore
des mesures touchant la gouvernance de la scurit de
linformation TI (attitudes, pratiques, etc.) :
Identifier et dfinir les mesures de gouvernance lgard de
la scurit de linformation.
Aider les auditeurs internes TI afin ceux-ci posent les bonnes
questions et connaissent quels types de documents sont
requis.
Dcrire le rle de lauditeur interne TI lgard de la
gouvernance de la scurit de linformation.
GTAG15 Introduction
114
Dfinition La gouvernance de la scurit de linformation

consiste au leadership, la structure organisationnelle et aux
processus qui assurent que le systme dinformation de
lentreprise supporte les stratgies et les objectifs de
lorganisation.
Gouvernance Les TI ne sont pas les seules dpositaires
de la gouvernance de la scurit de linformation, mais en
termes dimpact, elles devraient tre la premire place
investiguer.
Comprhension Dpendant des entreprises, la
comprhension dune bonne gouvernance de la scurit de
linformation peut tre trs diffrente.
GTAG15 Introduction
115
Information Security Governance Triangle
GTAG15 Responsabilits
116
Le conseil dadministration donne le ton en ce qui a trait la gouvernance de la

scurit de linformation.
GTAG15 Risques
117
Non-respect des diffrentes rglementations

Atteinte la rputation de lentreprise
Perte de comptitivit
Donnes incompltes ou inexactes
Augmentation du risque de fraude
Il est important pour lauditeur interne IT de comprendre le niveau dapptence

du risque de lorganisation et du conseil dadministration.
GTAG15 Auditeur TI
118
Afin de performer un audit touchant la gouvernance de la scurit

de linformation, lauditeur TI doit tre :
Trs expriment et aguerri;
laise avec les concepts de gouvernance;
En mesure dvaluer les risques internes et externes;
laise pour communiquer avec la direction et la haute
direction.
La direction de la laudit interne doit tre implique dans ce type
daudit.
Lauditeur TI doit tre une personne ayant une vision large des enjeux de scurit,
de gestion et de gouvernance dans un cadre global.

119
CobiT V4
Lensemble de la famille PO - Planifier et organiser

La famille Dfinition stratgique pourrait aider
comprendre certains volets touchant la gouvernance
COSO
ISO 27002
Cadre davantage oprationnel que de gouvernance. Pas
vraiment appropri pour ce type daudit
Questions 1 minute
120
121
GTAG17
Audit de la gouvernance TI
(24 pages)
GTAG17 Objectifs
122
But du guide Permettre lquipe daudit interne de

respecter la norme 2110 de lIIA.
GTAG17 Introduction
123
Ce guide fournit une rflexion et une approche aux responsables

de la vrification interne TI afin que le plan daudit TI incorpore
des mesures touchant la gouvernance des technologies de
linformation afin de :
identifier et dfinir les processus et structures implants par le
CA pour informer,
diriger,
grer,
surveiller (monitoring) les activits de lorganisation afin de
respecter les objectifs organisationnels dfinis par le CA.
Le conseil dadministration (CA) est lultime entit responsable de latteinte des

objectifs organisationnels.
GTAG17 Introduction
124
GTAG17 Introduction
125
Les cinq composantes touchant la gouvernance TI
GTAG17 Organisation et structure de gouvernance

126
Imputabilit
Communication
La structure de gouvernance doit tre aligne avec la
structure organisationnelle
Implication des managers TI dans les dcisions stratgiques
Place des TI dans lorganisation
Dfinition des rles et responsabilits
GTAG17 Support et leadership

127
Vision claire de la haute direction

Communication claire lgard des objectifs TI (ex. : ROI)
Les TI doivent tre vues comme un lment stratgique, pas
juste un cot
Plan stratgique qui oriente les actions TI
Rles et responsabilits du dirigeant TI senior (CIO)
CIO impliqu dans lquipe de direction
GTAG17 Planification stratgique et oprationnelle

128
Gouvernance TI en lien avec le plan stratgique

CIO responsable du plan tactique align sur plan stratgique
Plan tactique = Comment accomplir les objectifs dfinis et
comment mesurer leurs atteintes
Les TI doivent mesurer comment elles contribuent latteinte
du plan stratgique
Les TI doivent tre perues comme un partenaire
stratgique dans latteinte des objectifs organisationnels
Notion de valeur lgard des investissements TI (ROI)
GTAG17 Livrables et mtriques

129
Modle financier et mtriques TI

Utilisation de donnes justes
Compilation de donnes pertinentes
valuation quantitative et qualitative
Satisfaction des parties prenantes fait partie des mtriques
Systme de cots adquat et pertinent
Comparaison (benchmark) avec dautres organisations
comparables
GTAG17 Organisation TI et gestion du risque

130
Succs TI en lien avec le leadership de la haute direction et

du CA
Gestion des risques adquate (humain, technique, etc.)
Niveau de maturit des processus TI
Niveau de complexit des oprations, applications, etc.
Niveau de normalisation des diffrents processus
Organisation des TI
Niveau dexpertise et dexprience

131
CobiT V4
Lensemble de la famille PO - Planifier et organiser

La famille Dfinition stratgique pourrait aider
comprendre certains volets touchant la gouvernance
COSO
ISO 27002
Cadre davantage oprationnel que de gouvernance. Pas
vraiment appropri pour ce type daudit
Questions 1 minute
132
133
GTAG6
Grer et auditer les
vulnrabilits des
technologies de linformation
(21 pages)
GTAG6 Objectifs
Vulnrabilits TI
134
Poser les bonnes questions aux spcialistes de la scurit

des TI (DSSI) lors de lexamen des procdures de gestion
des vulnrabilits.
Ce guide touche le monde de la scurit (intrusion, dtection,
virus, etc.).
GTAG6 Introduction
Vulnrabilits TI
135
Chaque jour, on dcouvre plus de 12 vulnrabilits dans les

matriels et logiciels.
La gestion des vulnrabilits devient une priorit absolue.
Les auditeurs internes doivent confirmer que le conseil

dadministration a bien t inform des menaces ou incidents
survenus, des faiblesses exploites et des mesures correctives.
Les auditeurs internes formulent des recommandations.
GTAG6 Cycle de gestion des vulnrabilits

Vulnrabilits TI
136
GTAG6 Indicateurs
Vulnrabilits TI
137

Vulnrabilits TI
138
CobiT V4
DS5 Assurer la scurit des systmes
DS10 Grer les problmes
ITIL V3 - Exploitation des services (Service Operation)
Gestion des requtes

Gestion des vnements
Gestion des accs
Gestion des problmes
Gestion des incidents
La gestion des risques de lentreprise Cadre de

rfrence
Cadre gnral
ISO 27002
Section 6 Organisation de la scurit de linformation

Section 4 Apprciation et traitement du risque
Section 10.1.2 Gestion des modifications
Section 10.8.5 Systmes dinformation dentreprise
section 12.6 Gestion des vulnrabilits techniques
GTAG6 Rfrences autres

Vulnrabilits TI
139
Common Vulnerability Scoring System (CVSS)
Le CVSS est un rfrentiel ouvert qui permet aux utilisateurs
de classer les vulnrabilits des TI en fonction de niveaux de
gravit standardiss entre diffrents fournisseurs et de les
hirarchiser suivant le risque quelles induisent pour leur
organisation
The Laws of Vulnerabilities

Cette tude dcrit les six axiomes relatifs au comportement
des vulnrabilits qui se dgagent dun projet de recherche
long terme
National Vulnerability Database (NVD)

La NVD est une vaste base de donnes amricaine sur la
cyberscurit. Elle inclut toutes les informations sur la
vulnrabilit publies par les tats-Unis
SANS Top 20
Les 20 failles de scurit sur Internet les plus critiques sont
prsentes dans un document vivant, avec des instructions
dtailles
Questions 1 minute
Vulnrabilits TI
140
141
GTAG10
Gestion de la continuit
dactivit
(48 pages)
GTAG10 Objectifs
Gestion de la continuit dactivit
142
Le prsent guide dcrit les connaissances dont doivent

disposer les membres des organes de direction,
lencadrement et les auditeurs internes pour apprhender
lefficacit des dispositifs de reprise dactivit et leur impact
sur lentreprise.
Ce GTAG a t rdig en tenant compte du point de vue du
responsable de laudit interne. Ce dernier a la tche difficile de
sensibiliser les chefs dentreprise aux risques, aux contrles,
aux cots et aux avantages lis ladoption dun programme
de gestion de la continuit.
GTAG10 Introduction
143
Il appartient au responsable de laudit interne de signaler les

carences de la gestion de la continuit la direction et au comit
daudit.
La gestion de la continuit dactivit est le processus par lequel une

organisation se prpare des incidents futurs qui pourraient
menacer sa mission principale et sa viabilit long terme.
Ces incidents peuvent tre des vnements locaux (ex. : lincendie

dun btiment, rgionaux (ex. : un sisme) ou nationaux (ex. : une
pandmie).
GTAG10 Questions cls

144
Trois questions simples, mais fondamentales, concernant la

continuit dactivit :
1. La direction de lorganisation comprend-elle bien le niveau actuel de risque de noncontinuit dactivit, ainsi que limpact potentiel de tel ou tel degr probable
dinterruption des oprations?
2. Lorganisation peut-elle dmontrer que les risques de non-continuit de lactivit sont
ramens un niveau acceptable aux yeux de la direction et font priodiquement lobjet
dune nouvelle valuation?
3. Si le risque de non-continuit de lactivit est inacceptable, mais que lencadrement a
dcid de lassumer, les actionnaires, les partenaires commerciaux et autres acteurs
sont-ils au courant de cette dcision de ne pas rduire le risque? Cette dcision
daccepter le risque est-elle correctement documente?
Si la rponse lune de ces questions est non , le prsent guide sera

srement trs utile!
GTAG10 Gestion des situations

durgence
145
GTAG10 Catastrophes naturelles

146
GTAG10 Diagramme de ralisation

dun plan de continuit des affaires
147
Implication de la direction dans le plan de continuit des affaires

1. Btir un plan daffaire et comprendre sa valeur
2. tablir un plan de continuit des affaires
Effectuer une valuation du risque de la continuit des affaires

1. valuer limpact des vnements pouvant causer des interruptions
2. Dvelopper des stratgies pour minimiser limpact des risques sur la continuit
Effectuer une valuation dimpact des affaires

1. Identifier les processus daffaire cls
2. Dfinir les dlais de recouvrement pour les processus cls identifis
3. Identifier le recouvrement des ressources physiques (ex: aires de travail)
Dfinir la stratgie de continuit et le

recouvrement des affaires
1. Dfinir les besoins en ressources humaines
2. Dfinir les sources dapprovisionnement critiques
3. Dfinir les aires de travail requises pour le recouvrement
tablir un plan de relve informatique

1. Comprendre les besoins en recouvrement des affaires
2. Slectionner les solutions de recouvrement et les sites de
recouvrement
Dployer, vrifier et maintenir le plan de continuit des affaires

1. Renseigner le personnel sur le plan de la continuit des affaires et former ce personnel
2. Tester le plan
3. Maintenir le plan
GTAG10 Comprendre la DMIA et le DPMA

148

149
CobiT V4
DS4 Assurer un service continu

Gestion de la continuit
COSO
Nest pas un enjeu dans le monde de COSO
ISO 27002
14 Gestion du plan de continuit de lactivit
Questions 1 minute
150
151
GTAG7
Linfogrance
(37 pages)
GTAG7 Objectifs
Infogrance
152
Quest-ce que le service daudit interne doit prendre en

compte
Les diffrents types dinfogrance
Comprendre le cycle de vie et les modalits
GTAG7 Introduction
Infogrance
153
Linfogrance est souvent dfinie comme le recours des

prestataires de services ou des fournisseurs afin quils crent,
maintiennent ou rorganisent larchitecture et les systmes
informatiques dune entreprise.
Ne pas impartir :
la gouvernance des SI;
la gestion du portefeuille dinvestissements informatiques;
la gestion des contrats.
Lentreprise reste vulnrable aux risques informatiques.
Les auditeurs internes jouent un rle proactif dans la supervision

de la performance.
GTAG7 Types dinfogrance

Infogrance
154
La tierce maintenance applicative
La gestion des infrastructures
Le soutien technique
Les services indpendants de tests et de validation
La gestion des centres de traitement de donnes
Lintgration de systme
Lhbergement et la maintenance des sites Web
Les services de scurit grs
Linformatique dans les nuages
GTAG7 Cycle de vie : Risques et contrles

Infogrance
155
Stratgie et valuation de tierces parties

Processus de dcision et analyse de rentabilit
Processus dappel doffres et contrats
Implmentation et transition
Surveillance et rapport
Rengociation
Rversibilit
GTAG7 Efficacit du prestataire

Infogrance
156
Comprhension de ltendue de la prestation
Domaines darchitectures
Modle de gouvernance utilit par le prestataire (silo ou fonction)
Contrles gnraux TI
Composantes de la gestion du service TI
Audit interne

Infogrance
157
CobiT V4
E2 Surveiller et valuer le contrle interne

SE3 Sassurer de la conformit aux exigences externes
DS2 Grer les services tiers
AI5 Acqurir des ressources informatiques
ITIL V3
Ne sapplique pas vraiment dans le cadre de ce GTAG

rfrence
Cadre gnral
ISO 27002
6.2 Tiers
6.2.1 Identification des risques provenant des tiers
6.2.2 La scurit et les clients
6.2.3 La scurit dans les accords conclus avec des tiers
8.1.1 Rles et responsabilits
GTAG7 Rfrences autres

Infogrance
158
NCMC 3416
La prsente NCMC porte essentiellement sur les contrles
d'une socit de services qui sont susceptibles d'tre
pertinents pour le contrle interne de l'information financire
des entits utilisatrices
SSAE 16
Lquivalent du NCMC 3416 du ct amricain
Questions 1 minute
Infogrance
159
160
GTAG5
Le management et laudit des
risques datteinte la vie
prive
(43 pages)
GTAG5 Objectifs
Vie prive
161
Les dfenseurs de la vie prive ont voulu que chaque

citoyen :
Puisse matriser qui dtient des informations sur eux ainsi
que le type d'information personnelle dtenue
Puisse matriser l'usage qui est fait de cette information
GTAG5 Introduction
Vie prive
162
La protection des renseignements personnels a plusieurs formes,

dpendant des juridictions :
Au Qubec pour les organismes publics Loi sur l'accs aux

documents des organismes publics et sur la protection des
renseignements personnels, et Rglement sur la diffusion de
l'information et sur la protection des renseignements personnels
Au Qubec pour les organismes privs Loi sur la protection des

renseignements personnels dans le secteur priv
Au Canada pour les organismes publics Loi Fdrale sur la

protection des donnes
Il faut porter attention aux lois des diffrents pays, chaque pays
ayant ses propres lois
GTAG5 Risques lis vie prive

Vie prive
163
Risque de nuire l'image l'organisation

Perte financire ou dinvestisseurs potentiels
Sanctions rglementaires
Accusation de pratiques dloyales
Perte de confiance auprs des clients, des citoyen ou des
employs
Perte de clients et de revenus
Relation daffaires ternies
GTAG5 Avantages dun audit de la vie prive

Vie prive
164
Faciliter la conformit aux lois et rglements

Mesurer et aider amliorer la conformit de la protection des
donnes
Identifier les diffrence entre les politiques et la pratique
Augmenter le niveau de sensibilisation la protection des
donnes entre la direction et le personnel
Donner de lassurance sur le risque de rputation
Amliorer les procdures pour rpondre aux plaintes de
confidentialit
GTAG5 Exemples impactant laudit

Vie prive
165
Changements dans les lois et rglements

Information gre par les tiers ou dans linformatique
dans les nuages
Maturit des politiques, procdure et pratiques de
confidentialit
Nouvelles technologies utilises
GTAG5 Audit de la protection de la vie

prive
Vie prive
166
valuation des
risques
Risques juridiques et organisationnels

Risques lis linfrastructure
Risques lis aux applications
Risques lis aux processus oprationnels
Prparation de
la mission
valuation de la protection de la vie prive

Comprendre le traitement des donnes personnelles
Reprer les menaces
Identifier les contrles et les contre-mesures
Classement par ordre de priorit
valuer le dispositif de protection des donnes

valuer les vulnrabilits et faire des tests dintrusion
Tests des contrles physiques
Test dingnierie social
valuation
Consulter le conseiller juridique sur les violations potentielles

mettre le rapport
Communiquer Faire le suivi des recommandations
les rsultats
GTAG5 Les 12 questions

Vie prive
167
1. Est-ce que lorganisation a un conseil dadministration en

place pour traiter du niveau de risque acceptable face la
vie prive?
2. Quel est le niveau de risque acceptable pour la direction?
3. quelles lgislation et rglementation lorganisation est-elle
soumise en matire de protection de la vie prive?
4. Quelles sont les informations caractre personnel que
collecte lorganisation?
5. Lorganisation sest-elle dote de politiques et de procdures
pour la collecte, lutilisation, la conservation, la destruction et
la divulgation des informations personnelles?
6. Lorganisation a-t-elle dsign un responsable pour la
gestion de son dispositif de protection de la vie prive?
GTAG5 Les 12 questions (suite)

Vie prive
168
7. Lorganisation sait-elle o sont stockes toutes les donnes

personnelles?
8. Comment sont protges les informations personnelles?
9. Les salaris sont-ils correctement sensibiliss et forms par
rapport la protection des donnes personnelles?
10. Lorganisation dispose-t-elle des ressources adquates pour
laborer, mettre en uvre et actualiser un programme?
11. Lorganisation procde-t-elle une valuation priodique de
la mise en application de ses politiques et procdures de
protection de la vie prive?
12. Certaines informations personnelles sont-elles communiques
des tiers?

Vie prive
169
CobiT V4

SE3 Sassurer de la conformit aux obligations externes
PO2.3 Systme de classification des donnes
PO7 Grer les ressources humaines de l'informatique
DS11.4 Mise au rebut
ITIL V3
ITIL nest pas un rfrentiel daudit. Ce sujet nest pas abord
par ce rfrentiel

rfrence
Cadre gnral
ISO 27002
Section 6 Organisation de la scurit de linformation
Questions
(10 minutes)
170
Mot de la fin
171
Corey Anne Bloom

514 393-4835
bloom.coreyanne@rcgt.com
Gilles Savard
514 954-4624
Savard.Gilles@rcgt.com
Olivier Legault
514 954-4685
Legault.Olivier@rcgt.com
Francis LeBlanc-Gervais
514 390-4137
Leblanc-Gervais.Francis@rcgt.com

Guides Pratiques Audit TI Presentation 2012

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guides Pratiques Audit TI Presentation 2012

Încărcat de

Drepturi de autor:

Formate disponibile

GTAG

CPA, CA, CA-TI, PMP,

CPA, CGA, CISA

CPA, CA, CISA

GTAG Pourquoi cette prsentation?

Daprs notre exprience, ils sont peu connus et peu utiliss

GTAG Objectif vis

Contrles des systmes de l'information (GTAG1) Anglais

Contrles de la gestion du changement et des patchs : un

Identit et gestion des accs (GTAG9)

Audit de la gouvernance TI (GTAG17) Anglais seulement

Aider les auditeurs internes devenir plus confortables avec

Plusieurs risques et menaces importants sont en lien avec

Pour un dirigeant daudit interne, il est impratif de bien jauger

Apptence au risque : Degr de risque que la direction dune organisation est

GTAG1 Structure de laudit

Lorsque les responsables de laudit

Jai mon service six honntes

GTAG1 Structure de laudit

Que signifient pour nous les

Pourquoi avons-nous besoin des

GTAG1 Classification des contrles

Le prsent GTAG peut aider les responsables de laudit

Prendre en compte lactivit gnrale de lentreprise et la part

tant donn que le fonctionnement de l'organisation dpend

GTAG11 Actualisation du plan daudit

GTAG11 Processus dlaboration

GTAG11 valuer le risque Impact et

GTAG11 valuer le risque

GTAG11 Audits viss

GTAG11 Cadres de rfrence

ITIL V3 - Conception des services

Pas vraiment pertinent pour un plan daudit TI

Rpondre aux questions stratgiques suivantes :

Des audits sont-ils prvus tous les niveaux de

La dotation en personnel pour les audits informatiques est-elle

Dpendance des entreprises face aux SI 2 consquences :

GTAG4 tapes dun audit SI

Tenir compte de chaque couche

Management des SI (CGTI)

valuer les risques lis aux SI (Prioriser)

Normes et cadres de rfrence

Grer la fonction daudit des SI (Efficacit)

GTAG4 Dfinir les SI

Illustration des 4 couches :

GTAG4 valuer les risques

Disponibilit : Le systme nest pas disponible pour utilisation.

Lunivers daudit pour lanne doit porter sur toutes les

GTAG4 Cadres de rfrence

Les cadres de rfrence Contrle interne et

Connaissances opportunes sur des problmes critiques

Automatisation de certains tests

Processus de rvision plus efficace

GTAG3 Avantages de laudit continu

valuation intervalles rapprochs

GTAG3 Inconvnients de laudit continu

Linformation auditer doit provenir de systmes fiables

GTAG3 Phases cls

Objectifs de laudit continu

GTAG3 Exemples dvaluation de contrles

Contrles financiers : Carte de crdit dentreprise

GTAG3 Cadres de rfrence

Cadre de rfrence (Enterprise Risk Management

Avoir des approches daudit utilisant les outils danalyse des