Overview

Feuil1
Feuil2

Sheet 1: Feuil1
Ref.

Etendue/Objectif
A

A1

Gouvernance et stratgie du SI
Cadre de gouvernance

A2

Alignement stratgique du SI sur les mtiers

A3

Planification stratgique et oprationnelle

Gestion des risques informatiques

B1

Cadre de gestion des risques informatiques

B2

Identification et valuation des risques informatiques

B3

Gestion des risques informatiques

Gestion du portefeuille des projets

C1

Alignement stratgique, laboration et optimisation du portefeuille des projets informatiques

C2

Gestion des risques des projets en cours

C3

Pilotage, suivi et mesures du portefeuille des projets

C4

Gestion des contrats de services avec des tiers

Mesure de la performance, Reporting et Tableau de bord

D1

Mesure de la performance

D2

Reporting et Tableau de bord

Gestion des identits et des droits d'accs

E1

Politiques gnrales

E2

Politiques d'attribution des droits d'accs

E3

Politiques de modification des droits d'accs

E4

Politiques de retrait des droits d'accs

E5

Politiques de scurit des accs

Sheet 2: Feuil2
Ref. Etendue/Objectif

Tests
Risque
Gouvernance et Stratgie du
SI
A1 Cadre de gouvernance
1- Vrifier si un cadre de gouvernance du SI existe, qu'il est mis Absence du cadre de

Dtails

en place, jour et qu'il dcoule des bonnes pratiques de

gouvernance du SI align sur la
gouvernance des rfrentiels et normes internationales.
gouvernance globale de
2- Vrifier que ce cadre s'aligne avec la gouvernance globale de l'entreprise :
l'entreprise.
-) exposition de l'entreprise
3- Vrifier que ce cadre prend en considration tous les besoins diffrents risques
des parties prenantes concernes (DG, DSI, Mtiers, les
et une mauvaise gestion des
diffrents collaborateurs du SI ...) en favorisant l'objectif de
ressources
l'entreprise celui de la "cration de la valeur".
informatiques
4- Vrifier que les structures de gouvernance et de management -) SI en dphasage avec les
sont bien spares, et que les rles et responsabilits sont
besoins des parties
clairement dfinies pour chaqu'une.
prenantes
5- Vrifier que ce cadre permet de garantir l'efficacit, la
-) non-conformit aux
performance et la transparence du SI (en soulignant la ncessit dispositions lgales et
d'avoir
rglementaires en vigueur
un reporting continuel et le besoin de maintenir un tableau de -) l'optimisation des ressources
bord de synthse jour).
est limit
6- Vrifier que ce cadre permet de garantir la conformit du SI l'optimisation des cots
avec les lois, les normes et les rglementations en vigueur (lois
des
Absence d'une politique de
nouvelles technologies en vigueur, ainsi que les diffrentes lois gestion des capacits et des
spcifiques aux logiciels ou autres lments de SI) et qu'il dfinit comptences :
une structure type du contrat informatique.
-) dparts de collaborateurs cls
7- Vrifier que l'organisation de la DSI est base sur les 3 axes et planification
suivants : pilotage, gestion des projets, exploitation/gestion des inadquate de leur
services et support.
remplacement
8- Vrifier si les rles et responsabilits (associs au volet
-) dmotivation du personnel
management du SI) sont bien dfinis (existence des fiches de
(obsolescence des
poste
comptences)
formalises) et communiqus en interne, et qu'une politique de
gestion des capacits et des comptences est tablie.
Absence de communication et
9- Vrifier que ce cadre dfinit une charte d'thique informatique d'un tableau de bord (en
(code de dontologie) et qu'elle est communique tous les
matire de gouvernance du SI)
utilisateurs du SI.
:
10- Vrifier si un tableau de bord pour la gouvernance est
-) non-respect des bonnes
maintenu et que des mesures sont prises continuellement pour pratiques de
valuer
gouvernance des SI
les carts entre les bonnes pratiques de gouvernance tablies et -) dcisions htives, nonles relles pratiques.
justifies et qui ne
11- Vrifier si les bonnes pratiques de gouvernance sont bien
prennent pas en considration
communiques aux diffrents parties prenantes (DSI, Mtiers et les carts entre
collaborateurs).
les relles et les bonnes
pratiques de
Quelques principes pour une bonne gouvernance du SI :
gouvernance
- Aligner la gouvernance du SI sur les objectifs et les stratgies
d'affaire de l'entreprise.

Un cadre de gouvernance du SI est l'ensemble

des processus, structures, fonctions
(responsabilits), principes, politiques et pratiques
(procds) de gouvernance qu'une organisation
met en uvre pour diriger et grer ses services et
ses activits informatiques. Il vise assurer la
cration de la valeur tout en maintenant un
quilibre entre la ralisation des bnfices et
l'optimisation des ressources et des risques.
Exemples de rfrentiels et normes
internationales :
- Cobit 5 - Val IT 2.0 - Risk IT - ITIL V3 - PMBOK PRINC2 - CMMi - ISO 9001
- ISO 27001:2013
Lois des nouvelles technologies :
- Loi n 2007-13 relative l'tablissement de
l'conomie numrique
- Loi n 2000-0083 relative aux changes et au
commerce lectronique
- Loi n 2000-84 relative aux Brevets
- Loi n 2004-5 relative la scurit informatique
Le processus de pilotage est un processus de
contrle (reporting) et d'action il concerne
principalement :
- la comprhension des liens d'alignement
- l'identification des objectifs
- l'identification des priorits
- l'identification des indicateurs et les rgles de
contrle
- l'analyse (la mesure et le contrle)
- la prise de dcision
Charte d'thique informatique :
Ce document recense lensemble des rgles
fondamentales de bon comportement que doit
adopter tout utilisateur en matire dutilisation
des ressources informatiques et de
communication lectronique et, par l mme,
leurs droits. Sa mise en place permet d'viter
toute forme d'abus de l'usage des outils
informatiques et constitue une rgle de rfrence
en cas de conflit si elle est correctement
dploye. (suite)

- Promouvoir une thique et une culture de gouvernance du SI

dans l'entreprise.
- Mettre en place un organe de gouvernance du SI.
- Dfinir diffrents niveaux hirarchiques de gouvernance (ds la
prise de dcision jusqu' son implmentation).
- Impliquer et intgrer la DSI et les responsables mtiers
l'laboration de la gouvernance du SI.
- Responsabiliser la DSI dans la prise, l'implmentation et la
mesure de la performance des dcisions.
- Offrir un bon systme de rcompenses pour mieux motiver le
personnel SI. (suite)
- Avoir une vision claire des objectifs mtiers afin de mieux
dcider et arbitrer entre les diffrentes alternatives en cas de
conflits.
- Mettre en place un processus de gestion des exceptions (en cas
des risques techniques) et des changements (pour intgrer les
nouvelles technologies mergentes) afin de garantir une grande
flexibilit du SI.
- Assurer la transparence des choix, des dcisions et des activits
ralises (Reporting, Tableaux de bord, communication).

Modle d'un contrat informatique :

- Prambule et objectif du contrat
- Langue du contrat
- Attribution de comptence et loi applicable
- Dfinitions des termes cls
- Rglement amiable
- Arbitrage
- Clauses de limitation et d'exonration des
responsabilits
- Dommages directs / dommages indirects
- Rsiliation
- Force majeure, cause d'exonration
- Garanties de base, garanties de la titularit des
droits, garantie de non-contrefaon et autres
garanties contractuelles
- Conformit

A2 Alignement stratgique du SI 1- Vrifier si la stratgie informatique s'intgre bien dans la

sur les mtiers
stratgie d'affaire de l'entreprise et qu'elle s'aligne avec les

Absence de plan stratgique

Plan stratgique (plan long terme de 3 5 ans)
align sur les mtiers (absence : il trace les grandes lignes pour une stratgie
besoins de communication avec les
informatique aligne avec la stratgie globale de
des mtiers.
mtiers propos de leurs
l'entreprise.
2- Vrifier que les diffrentes parties prenantes du SI sont
besoins en informatique) :
Exemples de stratgies :
identifies, qu'elles sont impliques et que leurs attentes sont
-) stratgies inadquates avec - Supporter les activits des Mtiers
prises en
les enjeux des
- Moderniser et accroitre les performances
compte dans la dfinition de la stratgie informatique.
mtiers
- Amliorer la qualit des services informatiques
3- Vrifie que la DSI est associe aux projets de transformation -) non-prise en considration
offerts
de l'entreprise.
des contraintes et
- Optimiser lutilisation des ressources
4- Vrifier si la stratgie informatique est axe sur la notion de des opportunits de
- Matriser la gouvernance des SI
cration de la valeur (la performance conomique) et qu'elle
l'informatique dans la
-
prend
stratgie d'affaire de l'entreprise
en considration les facteurs externes (positionnement
-) passer ct d'opportunits
stratgique, concurrence ...).
de nature
Exemples de modle d'alignement stratgique :
5- Vrifier si des volutions stratgiques de nature informatiques technologique (impacts ngatifs - Modle Scott Morton
et organisationnelles sont prvues. (Veille stratgique, nouveaux sur la
- Modle de Ross
avantages concurrentiels)
comptitivit de l'entreprise)
- Modle de Henderson et Venkatraman
6- Vrifier si un modle d'alignement stratgique est adopt.
-) ne pas tirer le meilleur parti - Modle de Luftman
7- Vrifier si la stratgie informatique est communique de faon des investissements
- Modle de Zachman
approprie aux parties prenantes concernes.
en SI par rapport aux objectifs - Modle Besoins-Capacit
8- Vrifier que des indicateurs de mesure de l'atteinte des
stratgiques de
objectifs stratgiques sont dfinis, msurs priodiquement et
l'entreprise (gaspillage des
qu'un
ressources)
reporting est relev la DG.
-) lenteur du processus de
dcision
-) perte de comptitivit

A3 Planification stratgique et
oprationnelle

1- Vrifier si la stratgie dfinie se dcline en diffrents plans

Absence de plan tactique et de
d'action et qu'une dmarche "TopDown" est suivie pour
schma directeur (absence
l'implmenter.
d'une vision des investissements
2- Vrifier si un plan tactique (annuel), un schma directeur, un informatiques cohrente et
plan d'urbanisation et un plan d'architecture existent et
axe sur les mtiers) :
soutiennent
-) ne pas planifier les ressources
les exigences et les besoins des mtiers.
ncessaires l'excution des
3- Vrifier si les plans d'action proposs pour atteindre les
projets
objectifs comportent une description claire des moyens
informatiques
Plan stratgique (plan long terme de 3 5 ans)
(ressources)
-) ne pas supporter
mettre en uvre pour les atteindre, des dlais (chances), ainsi convenablement les besoins
Plans d'action (plans moyen-terme) :
que les responsables chargs de les atteindre.
des mtiers
- Plan tactique : gnralement s'tend sur une
4- Vrifier que le budget annuel informatique dcoule du plan -) risque d'induire des surcots priode ne dpassant pas une anne, il permet
tactique, qu'il est dtaill et qu'il dfinit les ressources
de dlimiter les ressources alloues et les budgets
ncessaires
Absence de plan d'urbanisation sur un nombre de projets prioritaires raliss
l'excution des projets informatiques planifis et les prvisions -) architecture applicative et
(parmi les projets formaliss dans le schma
(des bnfices et des diffrents cots directs et imputables).
technique inadquate
directeur).
5- Vrifier si la DSI s'appuie pour industrialiser sa dmarche sur aux descriptions des processus
une mthodologie outille pour traduire les besoins des mtiers mtiers
- Schma directeur : c'est une feuille de route qui
en
traduit la planification stratgique tablie (par la
processus SI associs (Exemple : le standard UML).
DSI, les mtiers et la DG) et cela en formalisant
6- Vrifier si une dfinition des macro-processus de la DSI
des projets (rpondant aux exigences et aux
distingue notamment les processus de pilotage, d'exploitation
besoins des mtiers) conduire selon un
(de
calendrier pluriannuel prvisionnel afin de faire
cration de valeur) et de support.
voluer les plans d'urbanisation et d'architecture.
7- Vrifier qu'une cartographie des processus de l'entreprise et les
C'est une vision partage et volutive du
applications/systmes et services informatiques associs
portefeuille des projets et qui peut inclure la
existe, jour, qu'elle dcoule des choix stratgiques, rpond aux
planification des retraits des solutions
besoins des utilisateurs et qu'elle est volutive.
informatiques existantes.
8- Vrifier que cette cartographie mentionne par processus, les
tches et les acteurs, les principaux applications/systmes et
- Plan d'urbanisation du SI : il permet de
services utiliss et les flux qui les parcourent.
structurer, rorganiser, et atteindre l'architecture
9- Vrifier qu'une analyse des processus existants est effectue
informatique cible (processus mtiers, services,
priodiquement (identification des processus qui ont trop
applications/systmes, infrastructure technique
d'applications ou qui sont dficitaires) et qu'un plan
(quipements matriels, serveurs ...)). Il consiste
d'urbanisation cible est tabli sur la lumire de cette analyse et
tablir les liens entre :
en rponse
- les processus mtiers de l'entreprise (vue mtier)
aux choix stratgiques et le schma directeur qui en dcoule.
- les fonctions informatiques supportant ces
10- Vrifier que la DSI a mis en place une architecture oriente
processus (plan d'occupation des sols
services qui dfinit les services, les composants de services et les
fonctionnel du SI (POS)) (vue fonctionnelle)
donnes d'change ainsi que les services qui feront objet de
- les applications automatisant ces fonctions et
contrats d'externalisation (outsourcing).
l'infrastructure sur laquelle sont dployes
11- Vrifier si des contrats de service internes (ou "Service Level
les applications (vue applicative et technique)
Agreement" (SLA)) sont formaliss en procdures (approuves
Le plan d'urbanisation permet ainsi d'avoir une
par toutes les parties : la DSI et l'entit concerne) et qu'ils font
meilleure connaissance du SI (des processus aux
l'objet d'un suivi rgulier et d'un reporting sur la base
applications), d'assurer la cohrence du SI avec
d'indicateurs clairement dfinis.
la stratgie informatique de l'entreprise et sa
12- Vrifier si une documentation clairement formalise et
contribution l'atteinte des objectifs des mtiers.
approuve par tous les intervenants existe, qu'elle prsente pour
Il permet aussi d'identifier la synergie entre les
chaque
projets (afin de mieux matriser les risques), les
application les fonctionnalits, les donnes et les interfaces,
redondances, la mutualisation de fonction, les

qu'elle est volutive (en rponse aux volutions de l'architecture

applicative et des fonctionnalits des applications existantes) et
qu'elle est diffuse (selon les rgles de scurit et de
confidentialits de l'entreprise). (Dictionnaire des donnes de
toutes les applications)
13- Vrifier si les ressources informatiques (applicatives,
matrielles et d'infrastructure) sont partages l'chelle de
l'entreprise et
que des bonnes pratiques managriales sont tablies dans la
gestion des ces ressources.
14- Vrifier si des mesures de l'atteinte des objectifs des plans
d'actions sont prises rgulirement et qu'une organisation de
pilotage existe pour assurer la dclinaison de la stratgie et la
remonte de l'information aux dcideurs. (suite)
15- Vrifier si des rvisions ventuelles sont faites et apportes
aux diffrents plans d'action en fonction des mesures prises.
Gestion des risques
informatiques
B1 Cadre de gestion des
risques informatiques

simplifications de l'architecture...
- Plan d'architecture : il dfinit la totalit des
processus, des applications/systmes, des services,
l'infrastructure technique (quipements matriels
et serveurs) et les outils dploys pour supporter
la stratgie informatique labore et les objectifs
des mtiers.

B2 Identification et valuation
des risques informatiques

B3 Gestion des risques

informatiques

Gestion du portefeuille des

1- Vrifier qu'un cadre de gestion des risques informatiques (pour

identifier, analyser, rduire, grer, surveiller et communiquer les
risques lis aux SI de l'entreprise) existe.
2- Vrifier que ce cadre est mis en place, oprationnel, jour et
qu'il dcoule des rfrentiels et normes internationales en la
matire.
3- Vrifier que ce cadre s'aligne avec la politique de gestion de
risque globale de l'entreprise.
4- Vrifier que ce cadre dfinit l'apptence pour les risques
informatiques et que cette apptence est dans le primtre de
l'apptence globale pour les risques de l'entreprise.
5- Vrifier que les exigences contractuelles, lgales et
rglementaires de conformit sont abordes travers ce cadre.
6- Vrifier que des politiques et des procdures de gestion des
risques informatiques sont labores et communiques au
moyen
d'un programme de sensibilisation et de formation associ.
7- Vrifier si un dispositif de veille est mis en place afin
d'anticiper les risques mergents.
8- Vrifier si des indicateurs de mesure sont dfinis pour mesurer
les risques et leurs impacts et qu'un reporting est effectu
continuellement.

Absence d'un cadre de gestion

des risques informatiques :
-) risques informatiques non
couverts
-) dispositif de contrle
insuffisant, surestim ou
sous-estim
-) impacts ngatifs sur l'activit
de l'entreprise
(disponibilit, fiabilit, intgrit
et confidentialit
des informations financires et
commerciales)

1- Vrifier s'il existe une mthode objective pour mesurer et

classifier les ressources informatiques (systmes, applications,
processus, services, serveurs, infrastructure, quipements...) selon
leurs criticits.
2- Vrifier qu'une dmarche d'identification et d'valuation des
risques informatiques est mise en place, qu'elle implique les
diffrentes parties prenantes (Mtiers et DSI) et qu'elle se rfre
au seuil de tolrance au risque dfini.
3- Vrifier qu'un inventaire des risques informatiques est tabli et
consolid annuellement avec les mtiers (cet inventaire peut
s'appuyer sur des rfrentiels de risques reconnus (exemple Risk
IT)).
5- Vrifier que les risques identifis sont groups en familles
homognes (tout en considrant la classification faite des
ressources
critiques) et qu'ils sont numrs par ordre de criticit.
6- Vrifier si une cartographie des risques informatiques est
dresse et qu'elle offre une synthse de la situation des SI de
l'entreprise en matire de risque.

Absence d'une mthode

d'identification et d'valuation
des risques informatiques :
-) incapacit de dtecter les
risques lis
l'exploitation du SI, tels que :
- dfaillances matrielles et
logicielles
- matrise insuffisante de
certaines
technologies
- cots trs levs d'exploitation
ou de
maintenance

1- Vrifier que les procdures de gestion de risque sont tablies

sur la base d'un rfrentiel ou norme internationale.
2- Vrifier que les procdures tablies (de gestion de risque)
permettent d'identifier les facteurs de risques inhrents
l'utilisation
des SI et de les rduire si possible.
3- Vrifier que des plans d'action d'attnuation des risques
identifis sont prvus et qu'ils sont oprationnels.
4- Vrifier que les procdures tablies (de gestion de risque)
permettent de dtecter les vnements dclencheurs de risques,
les
enregistrer et de les communiquer en temps opportun aux
niveaux de management appropris.
5- Vrifier que les procdures tablies (de gestion de risque)
permettent d'apporter des rponses adaptes (prvention,
rduction,
transfert, acceptation) aux risques signals.
6- Vrifier qu'un plan de continuit des services (internes et
externaliss) est prvu, mis en place et oprationnel.
7- Vrifier si des outils de pilotage et de suivi des principaux
risques et des prises de dcisions sont mises en place et qu'un
reporting priodique est effectu.

Absence des procdures de

gestion de risque :
-) risques informatiques nontraits ou dbordant
le seuil de l'apptence pour les
risques dfini
par le cadre de gestion des
risques
informatiques

Exemples de rfrentiel de gestion des risques

informatiques :
- Cobit5
- Risk IT
- ISO 31000
Apptence pour les risque : c'est le degr de
tolrance au risque (niveau de risque
acceptable), elle dfinit la nature et la quantit
de risques que lentreprise est prte accepter ou
tolrer afin daccomplir sa mission et ses objectifs
stratgiques, en tenant compte des attentes des
parties prenantes.

Absence d'une politique de

Documents demander :
gestion des risques et absence - Cadre interne de gestion des risques
de communication :
- Politiques de gestion des risques
-) non implication des
utilisateurs dans le
processus de gestion des risques
iformatiques
Documents demander :
- Classification des systmes et processus selon
criticit, exemples de systmes ou applications
fort degr de criticit :
- les applications supportant des flux financiers
majeurs (systmes comptable,
consolidation et reporting)
- les systmes de facturation (gestion des achats,
des commandes et des stocks)
- les applications de gestion des documents
transverses (clients, contrats, ...)
- les application de gestion des accs
- les applications critiques en terme de
confidentialit
- les applications considres comme "cur de
mtier"
- Cartographie des risques informatiques,
exemples de risques informatiques :
-) fraude
-) dysfonctionnement applicatif, virus, ...
-) accs illicite des informations confidentielles,
absence de sparation de fonctions (ERP)
-) utilisation non adquate du systme
-) panne d'un composant actif du rseau
-) incendie, inondation ...
-) intrusion d'un pirate et destruction des bases de
donnes
-) plan de secours n'ayant pas suivi les volutions
rcentes des systmes
-) ...

Documents demander :
-) Base de donnes des incidents dtects
-) Les plans daction dattnuation des risques
consistent en la mise en place des contrles
complmentaires ou ajustement des contrles
existants.

-) Le plan de continuit des services peut dfinir :

- les politiques de sauvegarde (hors site) et de
Absence ou obsolescence des restauration des donnes.
plans d'action d'attnuation des - un planning des actions en cas de crise
risques et du plan de continuit - les politiques de conservation et archivage des
des services :
donnes ...
-) lourdes pertes seront causes - les mesures de redmarrage de l'activit selon
par les risques
la gravit de sinistre
et les sinistres
-) plans de continuit et antisinistre inadquats
(ne permettant pas de faire face
une
dfaillance majeur du SI)

projets
C1 Alignement stratgique,
laboration et optimisation
du portefeuille des projets
informatiques

C2 Gestion des risques des

projets en cours

1- Vrifier l'existence d'une liste des projets informatiques dj Absence de gestion du

raliss, que des retours d'exprience sont capitaliss et que des portefeuille :
enseignements pour une bonne gestion des projets informatiques -) redondance
sont tirs.
-) gaspillage des ressources
2- Vrifier que le portefeuille des projets (en cours) dcoule du -) incohrence des projets
schma directeur, qu'il est cohrent avec le plan d'urbanisation -) ne pas dvelopper les projets
du
les plus
SI, qu'il s'aligne avec les choix informatiques stratgiques de
importants
l'entreprise et les besoins des mtiers et qu'il tient compte du
budget annuel de l'entreprise.
3- Vrifier que les entits mtiers commanditaires du projet sont
responsabilises la fois sur l'atteinte du ROI et sur une gestion
optimale des risques.
4- Vrifier si le portefeuille des projets intgre des projets de
recherche et de dveloppement (R&D) et qu'il offre un avantage
concurrentiel l'entreprise.
5- Vrifier que pour chaque projet un "Business Case" est ralis,
qu'il prsente tous les lments ncessaires pour valuer,
piloter et suivre le projet en question et qu'il est approuv par les
dcideurs.
6- Vrifier qu'un quilibre entre la cration de la valeur et
l'optimisation des risques inhrents (aux projets) est maintenu
pour
chaque projet.
7- Vrifier l'impact de l'interdpendance et la cohrence des
projets sur l'optimisation de la performance de l'entreprise.
8- Vrifier que les projets retenus dans le portefeuille des projets
sont slectionns sur la base des "Business Case" tablis, qu'ils
sont cohrents, que l'autorisation de lancement des projets tient
compte des contraintes oprationnelles, financires, techniques
... et que les rgles de conduite pour lancer, arrter, annuler,
ralentir ou acclrer les projets sont fixs.
9- Vrifier que les ressources en disposition sont alloues pour les
projets les plus propices (les projets aux opportunits les plus
valorisantes).
1- Vrifier si une base de connaissance des risques (de projets) Absence d'une mthode
les plus courants existe et rsulte de l'accumulation des
d'valuation des risques de
expriences en matire de gestion des projets informatiques.
projets :
2- Vrifier qu'une mthode d'identification et d'analyse des
-) engagement dans des projets
risques propres aux projets existe et qu'elle est considre lors de hauts risques
l'laboration du "Business Case" d'un projet et tout le long du
-) dgradation des
cycle de vie d'un projet.
fonctionnalits livres par
3- Vrifier l'impact des dcisions prises concernant la gestion du rapport celles ayant justifi le
portefeuille sur les risques inhrents des projets.
lancement du
4- Vrifier l'impact de l'interdpendance et la cohrence des
projet
projets sur les risques inhrents.
5- Vrifier si des plans d'action correctifs sont mis en place en cas Risques de drapage
de drapage (fonctionnel, technique, du planning et du budget). fonctionnel, technique, du
6- Vrifier que les projets haut niveau de confidentialit sont planning ou du budget
bien scuriss.
Risque de ne pas faire
Espionnage industriel

C3 Pilotage, suivi et mesures

du portefeuille des projets

1- Vrifier si un rfrentiel ou une mthode de gestion des

Absence du Business Case
projets informatiques est adopte.
- risque d'empreinter la
2- Vrifier si une structure de pilotage oprationnel est en place mauvaise direction
et que les responsabilits sont bien dfinies.
3- Vrifier si les projets informatiques suivent les tapes de
conduite d'un projet suivantes :
Absence de planning :
- laboration du "Business Case" (objectifs, primtre, enjeux) - surcharges / sous-charges pour
qui doit tre suivi, rviser, ajuster tout le long du projet :o
les
- tude de faisabilit technique, organisationnelle et budgtaire quipes de la DSI
(estimation des cots et du ROI, dmarche)
- embouteillages pour la
- Analyse et gestion des risques de projet (faire ou ne pas faire?) formation et
- Planning du projet (jalons respecter)
l'accompagnement
- Indicateurs de mesure (de cot, des risques, de l'avancement du - surcharges / sous-charges sur
projet, des rsultats, de qualit)
certaines
- Spcifications fonctionnelles (spcifications des besoins)
ressources partageables
- Conception et dveloppement
- Implmentation et test
Absence d'indicateurs de
- Documentation et formation
mesure :
- Maintenance corrective et volutive
- dpassement des budgets
4- Vrifier que les comptences techniques des quipes
prvus
informatiques rpondent aux exigences des projets et que des - dpassement des dlais
plans de
mise niveau et de formation sont prvus pour les consolider.
Comptences techniques
5- Vrifier que la gestion des projets suit la dmarche
inadquats (ne rpondent pas
d'amlioration continue PDCA et que des maintenances
aux besoins et exigences des
correctives et
projets raliser)
volutives sont faites cycliquement.
6- Vrifier que des outils standars sont utiliss tout le long du
cycle de vie d'un projet (ds le choix du projet jusqu' sa mise en
uvre et son exploitation).
7- Vrifier que des mesures de cots, de qualit, des dlais et
des risques sont prises (tout le long de cycle de vie du projet),
values et compares aux prvisions et aux dlais fixs par le
"Business Case" et que des corrections sont apportes ce

Exemples de rfrentiels de gestion des projets :

- CMMi
- PMBOK
- PRINC2
Exemples de projets informatiques :
- Acquisition du matriel
- Dveloppement des services en interne
- Dploiement des nouvelles solutions
applicatives (ERP)
- Changement majeur (au niveau de
linfrastructure informatique)
- Projets de maintenance
- externalisation des services (outsourcing)
- ...
Les lments du Business Case :
- Objectifs, primtre et enjeux
- Raisons d'investissement (ralisabilit,
rentabilit et importance du projet)
- Ressources ncessaires
- chances
- Risques inhrents au projet
- Budget prvisionnel (retour sur investissement
(ROI))
- Bnfices attendus
- Cots prvisibles (de production et
d'exploitation)

Les drapages pouvant tre rencontrs durant la

gestion d'un projet peuvent se classer en 4
catgories:
- Drapage fonctionnel : manque d'coute entre
les mtiers (matre d'ouvrage) et la DSI (matre
d'uvre) sur les besoins et exigences
fonctionnels, ou si le matre d'ouvrage refuse de
s'impliquer dans la dfinition des fonctionnalits
et de leurs applications.
- Drapage technique : exemple ne pas identifier
assez tt les contraintes techniques.
- Drapage du planning : lors de l'laboration du
planning, il arrive souvent que les dlais soit fixs
de tel faon qu'il est pratiquement impossible de
les respecter. Cependant, on peut avoir un
drapage plus important si le matre d'uvre
manque de ractivit, et qu'il n'a pas identifi
assez tt les risques de dviation.
- Drapage du budget : gnralement le cot fix
au dpart est sous-estim, ou qu'il sera dpass
suite des variations induites par des facteurs
exognes (devis...). Exemples des cots :
- cot du matriel
- cot des licences
- cot des prestations externes
- cot d'intgration
- cot de maintenace
- cot de retrait des systmes abandonns
- ...
Indicateurs de mesure pour un projet :
- Cots | Qualit | Dlais | Risques
Documents demander :
- Gestion budgtaire du portefeuille des projets
- Rapport et cart cots/bnfices
- tats d'avancement des projets en cours
- Outils utiliss
Outils de conduite des projets :
- "Business Case", qui doit comprendre les tapes
suivantes :
1) La construction d'une fiche de donnes qui
comporte toutes les donnes ncessaires
pour analyser (tout le long de cycle de vie
conomique du projet) :
2) Alignement stratgique
3) Rsultats financiers
4) Rsultats non-finaciers
5) Les risques
6) Optimisation des risques et des retours sur
investissement
7) La documentation du "Business Case" et
l'enregistrement de tous les rsultats des
tapes prcdentes
8) La revue et la mise jour du "Business Case"
tout le long du cycle de vie du projet
- Mthode d'analyse et de gestion des risques (en
continu)
- Mthode S.M.A.R.T (tude de faisabilit)
- Diagramme de GANTT (planification)
- Diagramme de PERT (ordonnancement)
- Cahier de charges
- Mthodes de conception : UML - Merise

C4 Gestion des contrats de

services avec des tiers

dernier.
7.1- Vrifier que les budgets tablis sont bien respects, que les
projets sont crateurs de valeur et que le ROI est ractualis
pour chaque tape de cycle de vie d'un projet.
7.2- Vrifier que les carts budgtaires sont mesurs et analyss,
que leurs causes sont identifies et que de enseignements
sont tirs afin d'alimenter la base de connaissance en matire de
gestion des projets.
7.3- Vrifier qu'un suivi continuel des tats d'avancement des
projets en cours est maintenu, que les jalons (rgles de passage
d'une phase une autre) sont respects.
7.4- Vrifier que les plans d'action correctifs sont suivis par le
management (en cas de drapage fonctionnel, technique, du
planning ou du budget) et que des mesures de rorganisation
des ressources et/ou d'ajustement du planning et du budget
sont prises. (suite)
8- Vrifier si une mthode d'valuation globale du portefeuille
des projets existe afin d'alimenter la base de connaissance en
matire de gestion des projets informatiques.
1- Vrifier que d'valuations des fournisseurs et des contrats de
services sont tablies sur la base des critres suivants :
importance, criticit et performance attendue. (Benchmarking)
2- Vrifier que les fournisseurs et les contrats sont enregistrs et
classs dans une base de donnes, et qu'un registre dtaill
des fournisseurs les plus privilgis (des fournisseurs fiables et
comptitifs grer avec soin) est maintenu jour.
3- Vrifier que les conditions des contrats dfinissent en dtaille
les droits et les obligations de toutes les parties.
4- Vrifier que les contrats font objet d'un examen juridique
spcifique, qu'ils sont conformes aux normes et exigences
rglementaires et juridiques de l'entreprise..
5- Vrifier que les risques associs aux services (faisant objet de
contrats de service) sont identifis, et grs au niveau des
conditions des contrats (contraintes de confidentialit, de
scurit, rglementaires, conventions d'entretien et de
maintenance,
des clauses de ddommagement ...), ou que des solutions
alternatives (fournisseurs alternatifs) sont prvues.
6- Vrifier que des examens priodiques de la qualit, la
scurit, la performance des services offerts pars des fournisseurs
sont
tablis, et que des mises au point en rsultent si ncessaire.

- Dmarche PDCA : Plan - Do - Check - Act

Exemples de jalons (rgles de passage d'une
phase une autre) :
- chance atteinte (suite)
- ralisation concrte (production de livrables)
- contrat sign ...
La mthode d'valuation globale du portefeuille
consiste mesurer les indicateurs suivants :
- taux de russite/mortalit des projets
- taux de rentabilit par projet
- niveau de risque total (du portefeuille) / de
risque moyen par projet
- cart entre dlai effectif et dlai prvu
- taux d'utilisation des ressources
- niveau de couverture stratgique / de couverture
par domaine
Risques associs
l'externalisation des services :
-) perte de contrle sur les
services externaliss
-) trs forte dpendance aux
tiers
-) services offerts peu efficaces,
non fiables
et risque de rupture de services
-) surcots par rapport ce qui
avait t prvu
-) fuite d'information /
espionnage industriel

Contrats de service :
- contrats de maintenance
- outsourcing

Absence des mesures de

performance:
-) non connaissance sur l'tat
rel du SI
-) invisibilit et obsolescence
des moyens de
pilotage
-) mauvaises dcisions
-) manque de transparence

Les 4 volets du Balanced Scorecard :

- Orientation clients
- Performance des processus
- Comptences
- Prparation du futur

Exemples de droits et obligations de contrats :

-) la proprit et les licences
-) les garanties
-) les modalits d'entretien
-) la scurit et le contrle d'accs
-) la qualit de service
-) les dispositions d'examen de site fournisseurs
par la DSI ou des tiers indpendants
-) les procdures d'arbitrage

Mesure de la performance,
Reporting et Tableau de bord

D1 Mesure de la performance

1- Vrifier si une culture de transparence et de mesure de la

performance du SI existe et considre dans les diffrentes
phases
de management.
2- Vrifier si des objectifs de performance sont dfinis et
communiqus en interne (parties prenantes et collaborateurs
internes) et
en externe (sous-traitants).
3- Vrifier que des indicateurs de mesure prcis et quantifis sont
tablis (sur la base de l'approche de Balanced Scorecard)
permettant de vrifier la ralisation des objectifs de performance
dfinis.
Exemples d'indicateurs de performance (KPI) :
- Dpenses informatiques en % des dpenses totales
administratives
- Cot de l'informatique en % du CA
- Cot de la maintenance corrective
- Cot de la maintenance volutive
- Cot moyen par projet informatique
- Investissements informatiques en % de l'investissement total de
l'entreprise
- Cots dtaills (Matriel, Software, Consommable, Formation,
Sous traitance, Masse salariale)
- Nombre d'incidents par priode
- Violation de la politique de scurit informatique en % des
incidents totaux
- Temps moyen sans systme disponible
- Temps moyen sans serveur disponible
- Frquence des dfaillances
- Nombre des plaintes en % du nombre des utilisateurs
- Nombre des plaintes en % du nombre d'employs du helpdesk
- Dlai moyen de rsolution des plaintes des utilisateurs
- Cot moyen de dveloppement informatique interne (par
fonctionnalit)
- Temps moyen de dveloppement informatique interne (par
fonctionnalit)
- Fiabilit du budget (cout rel / cout initial)
- Pourcentage des serveurs centraux internes
- Dlai moyen de connexion au serveur
- Dlai moyen de remplacement des quipements
- Nombre des composants informatiques obsoltes
- Nombre d'heures de formation par employ en DSI
-

D2 Reporting et Tableau de bord 1- Vrifier que des mesures des rsultats et de la performance du Absence de Help Desk et de

SI sont prises priodiquement et qu'elles sont values sur la

reporting des incidents :
base d'un barme dfini.
-) rupture des services
2- Vrifier que des mesures concernant les risques et les incidents -) pertes financires
sont prises et values.
-) perte du temps de travail
3- Vrifier que des mesures de la performance du personnel sont -) base de donnes des
prises et values.
incidents manquante
4- Vrifier que des mesures portant sur les attentes et la
satisfaction des utilisateurs par rapport aux processus et aux
Absence de reporting de la
services
performance du personnel :

Les objectifs de performance doivent tre de type

SMART :
- Spcifiques
- Mesurables
- Atteignables
- Ralistes
- Temporellement dfinis
Exemple d'indicateurs de mesure :
-) des indicateurs propres aux contrats de service
(ou "Service Level Agreement" (SLA)) tablis
entre les mtiers et la DSI (concernant les
principaux processus de l'entreprise), tels que : la
qualit et disponibilit des services, dlais des
rponses, la satisfaction client ...
-) des indicateurs propres aux projets permettant
d'valuer les lments suivants : les cots, les
carts budgtaires
-) le pourcentage des applications critiques ayant
un plan de continuit d'activit
-) indicateurs propres aux risques et incidents

Exemples de rapports :
- Rapport de la performance du SI (applications
et services)
- Rapport de la performance du personnel de la
DSI
- Rapport des pannes et problmes enregistrs
(matriels et logiciels)
- Rapport de la satisfaction des utilisateurs du SI
(service Help Desk)

sont prises et values rgulirement au moyen de

-) Comptences techniques
Exemples d'indicateurs de performance du
questionnaires annuels.
manquantes ou
personnel :
5- Vrifier qu'un centre d'appel (Help Desk) est mis en place,
inadquates aux besoins de la - bien-tre au travail
oprationnel et qu'il rpond en temps optimal aux rclamations DSI
- absentisme
des
- mobilit interne
utilisateurs et efficacement aux incidents signals.
Absence de Reporting de la
- ...
6- Vrifier l'existence d'une base de donnes d'incidents
performance du SI
importants (ainsi que leurs causes et consquences) et qu'elle
-) applications et services non Remarque :
intgre
fiables ou non
- le reporting peut tre annuel ou priodique (en
des indicateurs d'impact de ceux-ci sur l'activit financire de
efficaces
cadence avec les services dlivrs par exemple).
l'entreprise.
- le tableau de bord est un vritable outil de
7- Vrifier que les mesures sont communiques aux dcideurs Absence de tableau de bord ou communication et de pilotage pour la DSI, il
(DG ou les entits concernes par quelques indices de
obsolescence des indicateurs de permet (d'un exercice un autre) de mesurer
monitoring)
mesure
l'volution du niveau de maturit du SI et de ces
au moyen d'un reporting continuel (de la performance, des
-) perte dorientation
diffrents lments.
comptences, des incidents et de la satisfaction clients) assur dcisionnelle
par
-) absence de surveillance
un tableau de bord, afin de recalibrer les choix et les dcisions rgulire
stratgiques et de management.
-) manque de transparence
8- Vrifier que le tableau de bord est dot d'lments graphiques -) indicateurs de mesure mal
de synthse permettant d'apprcier facilement le niveau
positionns ou
d'atteinte
inefficaces
des objectifs de la performance dfinis et le niveau de maturit
du SI.
9- Vrifie si le tableau de bord de la DSI est intgr et consolid
aux tableaux de bord de l'entreprise (sur la base de l'approche
de
Balanced Scorecard) afin de bien valuer l'alignement des
objectifs de la DSI sur ceux des mtiers.
E

Gestion des identits et des

droits d'accs
E1 Politiques gnrales
1- Vrifier si une politique globale et cohrente de gestion des

E2 Politiques d'attribution des

droits d'accs

Absence d'une politique

La gestion des identits et les droits d'accs
identits et des droits d'accs est mise en place et que cette
globale de gestion des identits consiste grer le cycle de vie des personnes au
politique
et des droits d'accs :
sein de l'entreprise et les impacts induits sur le SI
est supervise, valide et revue par la DG.
-) non-respect des contraintes (cration de comptes utilisateurs, attributions des
2- Vrifier que les politiques de gestion des droits d'accs se
lgales et/ou
profils utilisateurs, mise en uvre du contrle
conforment aux besoins des mtiers en accs aux applications et rglementaires (risque
d'accs ...).
services, et que ces besoins sont identifis et documents.
juridique)
Une gestion centralise des accs consiste avoir
(Rfrentiel des rles, responsabilits, privilges)
-) non-respect du principe de
une interface (rfrentiel central) qui permet
3- Vrifier que les normes, les lois et les rglementations en
sparation des
d'ajouter, de modifier ou de supprimer des droits
matire de gestion des identits et des droits d'accs sont
tches
d'accs d'un utilisateur tout en synchronisant
respectes.
-) perte de temps et de
l'action dans tous les annuaires et les bases de
4- Vrifier si une politique de scurit associe la gestion des productivit due une
scurit.
droits d'accs existe et qu'elle est rvise continuellement.
multiplicit des actions de
5- Vrifier si des sessions de formations priodiques ou des lettres rfrencement pour
Exemple de rfrencement d'un nouvel
d'information sont programmes ou communiques aux
un nouvel utilisateur ou pour la utilisateur dans le SI :
diffrents utilisateurs du SI pour les responsabiliser et leurs
modification des
- Rfrencement dans le systme de gestion de la
apprendre suivre des mesures de prvention lors de leurs accs droits d'accs existants
paie
aux diffrentes ressources du SI.
-) incohrence due la
- Rfrencement dans la base de service
6- Vrifier qu'un systme de gestion centralise des accs permet multiplicit des annuaires
logistique (attribution d'un bureau)
aux administrateurs d'effectuer les oprations suivantes :
incompatibles et non
- Rfrencement dans l'annuaire tlphonique
- la gestion des identits et des habilitations
synchroniss
- Rfrencement dans le systme bureautique
- la gestion des utilisateurs (cration, modification, suppression) -) risque d'erreur
(accs systmes et rseaux)
- la dclaration des gestionnaires fonctionnels (qui auront
d'administration (failles de
- Rfrencement dans l'ERP de l'entreprise
comme tche d'identifier les accs selon profils et rles)
scurit)
- Rfrencement dans le systme de gestion des
- la dclaration des domaines d'administration (primtre de
-) charge importante
badges
travail des administrateurs)
d'administration (cot lev
- ...
- l'administration du rfrentiel de scurit :
d'administration)
- dfinition des niveaux hirarchiques d'administration
Rfrentiel d'habilitation (d'autorisation) : c'est un
- dfinition des procdures de dlgation des droits
rfrentiel mis jour lors de la gestion des
d'administration entre administrateurs
Absence d'une documentation utilisateurs, des habilitations et des mots de
- dclaration des ressources applicatives ou services exploiter claire des rles et activits des passe.
- dclaration des rles, profils, groupes et primtres (des
utilisateurs :
utilisateurs possibles)
-) non-identification des droits Les annuaires de scurit : utiliss par les services
- la mise en uvre des rgles de gestion de mots de passe
d'accs
d'authentification et d'autorisation telsque :
(longueur, dure de validit, exigences de scurit ...)
convenables aux utilisateurs
- systmes d'exploitation
- la cration d'un systme de "work flow" pour la gestion des
selon leurs profils
- sous-systmes de gestion des droits
profils, des rles, des groupes et des habilitations aux
et rles
- LDAP (Microsoft Active Directory)
utilisateurs selon les rgles prtablies.
-) perte du temps (les
- NOS (Network Operating Systems) et systmes
- la gestion des mots de passe (cration, rinitialisation,
gestionnaires passeront
de partage des fichiers
changement, contrle, destruction ...)
des longs moments identifier - Messageries et systmes collaboratifs
- l'allocation des ressources associes aux applications/services les approbations
(provisioning)
appropries)
Types des autorisations :
- l'administration du systme de gestion centralise des accs
- autorisation en entre du rseau (accs
- le contrle des accs et l'valuation des droits (le systme doit
l'ensemble de services d'une application)
garantir les oprations suivantes : le contrle du service de
- autorisation de type Rle / Ressource /
l'authentification des utilisateurs, le contrle des autorisations et
Application (accs ou non au service)
droits d'accs)
- autorisation Environnement (accs aux
- la rconciliation des comptes et des personnes, la recherche
ressources rseaux et ressources partageables)
des comptes obsoltes.
- autorisation externe (accs extranet)
7- Vrifier que toute opration d'enregistrement ou de
suppression d'utilisateur ainsi que toute opration d'attribution,
de
changement ou de retrait des droits d'accs doit suivre une
procdure formelle qui sera valide par une structure de contrle
(la DG) et que les personnes concernes doivent tre informes.
(suite)
8- Vrifier que les tches des administrateurs seront suivis
(traabilit et audibilit) et que tous les accs des utilisateurs
ainsi que
les signes d'alarme peuvent tre gnrs en cas d'vnements
suspects ou d'anomalies et qu'un reporting est prvu.
9- Vrifier que des audits rguliers des identits et des droits des
accs sont effectus et qu'un rapport d'audit est gnr.
1- Vrifier que les profils utilisateurs crs prsentent les
Dlais de cration de compte Les Couple "Profils/Rles" permettent d'attribuer
lments suivants :
utilisateur et d'attribution des des habilitations aux utilisateurs du SI en fonction
- un identifiant unique
droits d'accs sont trop longs
de leurs "postes oprationnels"/"rles applicatifs"
- un tat (actif ou passif)
dans l'entreprise (ensemble des droits d'accs

- nom, prnom, fonction, ... (donnes personnelles de

l'utilisateur)
- une dure de validit
- les primtres d'accs autoriss
- le niveau de confidentialit par domaine
- les habilitations/autorisations (les couples "Profils/Rles")
- les groupes (dont chaque utilisateur appartient)
2- Vrifier si un "profil gnral" (pour dcrire l'accs standard
messagerie, annuaires ...) et un "profil mtier" (qui dcrit
l'ensemble
des applications/services accds par une personne appartenant
un mtier) sont attribus chaque utilisateur pour viter
une ressaisie des donnes d'accs inutiles.
3- Vrifier que pour chaque compte d'accs utilisateur
(autorisation d'accs) les lments suivants sont prsents :
- un identifiant d'accs
- un mot de passe
- la politique de mot de passe associe (dlai de changement du
mot de passe, exigences de scurit ...)
- les modes d'authentification autoriss
- type de compte (administrateur ou pas)
- autorisation ou non d'accs externe
- une dure de validit
- un tat (actif ou passif)
4- Vrifier que chaque utilisateur ne dispose que des droits
d'accs qui lui sont ncessaires pour accomplir son travail
(principe
de privilge minimum).
5- Vrifier que la sparation des pouvoirs est garanti et que les
rgles de gestion de conflits d'intrts sont respectes (exclusion
mutuelle de certains rles, contraintes de non cumul des
pouvoirs).
6- Vrifier que les dlais d'attribution des droits d'accs sont
optimaux.

Non vrification de l'unicit des une seule fonction dans une application/ un
identifiants des utilisateurs
service (qui grent les ressources) ou directement
- redondance d'identifiant
aux ressource).
- conflits d'accs
Exemples de "rles applicatifs" :
- administrateur - administrateur dlgu utilisateur standard - ...
un "rle applicatif" est associ les lments
suivants :
- les modes d'authentification autoriss
- les primtres d'accs autoriss
- la cardinalit (nombre d'occupants maximum
autoriss)
- la sparation statique des pouvoirs (rles interdis
de cohabitation)
Diffrents modles existent pour attribuer des
rles un utilisateur :
- Modle RBAC (Roule Based Access Control)
- Modle RBAC Hirarchique
- Modle RBAC avec contraintes
Le profil utilisateur : permet d'identifier
l'ensemble des "rles applicatifs" associs un
utilisateur pour l'utilisation d'une application/
d'un service, d'une ressource ou de
l'environnement (visibilit mtier des utilisateurs).
Un profil fonctionnel regroupe l'ensemble des
"rles applicatifs" ncessaires l'excution d'une
fonction mtier, c'est un package des rles
attribus un seul utilisateur.
Remarque : un utilisateur peut avoir plusieurs
profils fonctionnels
Les primtres d'accs autoriss peuvent tre
temporels, gographiques ou fonctionnels.
La sparation des pouvoirs permet de s'assurer
que l'utilisateur ne dispose pas des droits associs
des rles incompatibles. (Exclusion mutuelle de
certains rles).

E3 Politiques de modification
des droits d'accs

E4 Politiques de retrait des

droits d'accs

E5 Politiques de scurit des

accs

1- Vrifier que les profils, les rles et les droits d'accs d'un
employ sont mis jour en cas de changement de fonction.
2- Vrifier que les comptes utilisateurs et les droits d'accs sont
rviss priodiquement en fonction d'un inventaire rgulier des
donnes et des documents sensibles.
3- Vrifier que les mots de passe utilisateurs sont modifis selon
une cadence bien dtermine (3 mois pour les privilges
sensibles et 6 mois pour les privilges ordinaires).
1- Vrifier qu'aucune donne n'est associe au compte
utilisateur supprimer (impossibilit de supprimer
automatiquement un
compte utilisateur une fois qu'il a saisi des donnes que suite
une procdure formelle approuve par la DG.
2- Vrifier que les administrateurs (seuls) ont tous les droits pour
bloquer l'accs un utilisateur et/ou dsactiver un compte.
3- Vrifier que la suppression du compte utilisateur et des droits
d'accs s'effectue manuellement et que des rgles de
contrle et de confirmation existent pour chaque tape.
4- Vrifier que tous les droits d'accs d'un employ partant sont
bien supprims.
5- Vrifier qu'un inventaire priodique des profils et des comptes
utilisateurs est effectu afin d'identifier et d'liminer ceux qui
sont
obsoltes ou qui ne correspondent plus un employ ou son
titre et sa fonction actuels.
1- Vrifier que les exigences de scurit associes aux accs
(l'authentification, l'autorisation, la traabilit, l'audibilit, la
confidentialit, l'intgrit et la disponibilit) sont communiques
et bien respectes par les utilisateurs du SI.
2- Vrifier que les utilisateurs sont invits personnaliser les
paramtres d'authentification (qui leurs sont envoys par les
administrateurs) lors du premier accs.
3- Vrifier si une dclaration de confidentialit de mot de passe
est signe par les utilisateurs.
4- Vrifier qu'un service pour le changement / la rinitialisation
de mot de passe (self-service) est accessible depuis le rseau
pour
les ressources non critiques (tout en s'assurant d'abord de
l'identit de l'utilisateur en demandant son ancien mot de
passe).
Vrifier que ce service est contrl par l'administrateur.
5- Vrifier qu'une procdure formelle est suivie pour le
changement des mots de passe pour toute ressource sensible.
6- Vrifier que des lignes directrices sont tablies et
communiques aux utilisateurs afin de les aider choisir et
maintenir des mots
de passe scurises (qui rpondent la politique de scurit
dveloppe).
7- Vrifier que les systmes et les rseaux sensibles sont protger
par des environnements informatiques isols.
8- Vrifier que les accs aux ressources sensibles ne sont
possibles que suite une authentification scuris et que les
donnes
critiques sont sauvegardes en mode cryptage.
9- Vrifier si des outils (centraliss) de contrle et de limitation
des accs ainsi que de filtrage du trafic sont dploys au niveau

Systme encombr de comptes

fantmes (prims)

Systme encombr de comptes

fantmes (prims)

Absence des politiques de

scurit des accs :
- le SI de l'entreprise fera face
des risques de
scurit normes et potentiels.
- comptes utilisateurs avec des
droits d'accs non
autoriss.
- erreurs d'administration
rsultant des fautes
humaines ou manque de
vigilance.
Politiques de scurit non
adquates ou trop compliques
:
- accs lent des utilisateurs
- perte du temps et de
productivit
Absence d'une plateforme
scurise de rinitialisation des
mots de passe :
- surcharge d'activit pour les
administrateurs
Absence des contrles sur les
actions des administrateurs
(absence des fichiers "log") :
-) impossibilit de maintenir
une traabilit et une

Fichier "log" doit indiquer :

- l'heure exacte
- la date
- l'administrateur / l'utilisateur
- la tche / l'anomalie

des quipements et rseaux informatiques, tels que : proxy, parefeu, anti-spyware, anti-malware, antivirus ...
10- Vrifier si des automates (contrles automatiss) de scurit
sont dvelopps pour scuriser les accs. (Exemples :
identification automatique des utilisateurs, dconnexion
automatique des sessions, forcer le chemin aux services autoriss
par
utilisateur, masquer les mots de passe lors de saisie, bloquer
l'accs simultan avec un seul compte utilisateur...)
11- Vrifier si les bonnes pratiques de scurit d'utilisation des
ressources et des accs aux rseaux de l'entreprise sont bien
communiques aux utilisateurs. (Exemples : fermeture de session
en fin de session, charte d'utilisation des rseaux, des
services, des ressources partages et de l'internet, ...)
12- Vrifier que la scurit des accs externes et des transferts
des donnes sensibles est renforce par des moyens tels que :
la cryptographie, les certificats numriques, ...
13- Vrifier que les politiques de scurit prennent en
considration les risques engendres par l'utilisation des
quipements tels
que : les ordinateurs portables, les tablettes et tout autre
quipement mobile, que des formations de sensibilisation des
utilisateurs sont planifies et que des mesures d'attnuation des
risques sont mis en uvre (limitation des accs).
14- Vrifier que des procdures de dtection des vnements
suspects (Exemple : dpassement d'un nombre d'essai limite de
ressaisie de mot de passe erron, ...) sont mise en place et que
des signaux d'alarme seront mis instantanment.
15- Vrifier que des fichiers "log" traant les activits des
administrateurs, les accs aux donnes de haute sensibilit, les
exceptions, les anomalies et tout vnement suspect signal par
les utilisateurs, sont enregistrs pour une priode (suite)
convenue afin d'tre un support pour des ventuels contrles et
audits des accs.
16- Vrifier que les serveurs de sauvegarde des fichiers "log" sont
synchroniss sur une horloge atomique de rfrence (par le
biais d'un protocole NTP (Network Time Protocol)).
17- Vrifier que les accs aux sites sensibles (salles des serveurs
ou emplacements critiques) sont bien scuriss par des
moyens tels que : portes verrouilles par des mots de passe,
cartes magntiques, badges, ... en fonction des rles et
responsabilits des employs.

audibilit des actions

d'administration
Antivirus, anti-malware et/ ou
pare-feu obsoltes (risques
d'intrusion, accs externes non
autoris)