Documente Academic
Documente Profesional
Documente Cultură
1
Audit et Sécurité des Systèmes d’Informations
Un audit :
Un passage en revu critique
Un entretien qui doit aboutir à une évaluation, une
appréciation.
4 objectifs permanents :
2
Audit et Sécurité des Systèmes d’Informations
La Direction de l'entreprise
Pour vérifier le respect des orientations qu‘elle a définis
Le responsable informatique
l'opinion motivée de spécialistes sur sa propre organisation
3
Audit et Sécurité des Systèmes d’Informations
Les méthodes :
4
Les principales méthodes d'audit de sécurité
Nom Signification Origine Caractéristiques
5
Les principales méthodes d'audit de sécurité
Nom Signification Origine Caractéristiques
Pas une méthode à
proprement parler mais
un document permettant
Fiche
à une autorité donnée
d'Expression
(secteur secret défense
Feros Rationnelle des SCSSI
notamment) de définir le
Objectifs de
niveau d'engagement de
Sécurité
sa responsabilité dans
l'application d'une
politique de sécurité.
6
Les principales méthodes d'audit de sécurité
Nom Signification Origine Caractéristiques
Succède à la
méthode Marion.
S'articule autour de
Méthode 3 plans. Permet
Harmonisée désormais
Mehari CLUSIF
d'Analyse de d'apprécier les
Risques risques au regard
des objectifs
"business" de
l'entreprise.
7
Introduction
Introduction
Approche générale :
8
Introduction
Introduction
9
Introduction
Introduction
10
L‘audit : dans quels buts ?
1-l'audit du besoin ;
1-L‘Audit du Besoin :
L'audit du besoin comporte deux
parties :
• 1.1- l'analyse de l'existant ;
• 1.2- la détermination de la cible.
11
L‘audit : dans quels buts ?
1-L‘Audit du Besoin :
L‘Audit du Besoin :
12
L‘audit : dans quels buts ?
13
L‘audit : dans quels buts ?
14
Les niveaux de l‘Audit
15
Les règles de l‘audit
Règle 1 :
16
Les règles de l‘audit
• Règle 2 :
17
Les règles de l‘audit
Règle 3 :
l‘audit est toujours faisable.
(la non-faisabilité est un argument poubelle utilisé
par l‘auditeur incompétent).
18
Les règles de l‘audit
Règle 4 :
Les moyens et actions de l‘auditeur doivent être
adaptés exclusivement mais exhaustivement au sujet
de l‘audit.
19
les différents audit SI (liste non exhaustive)
L'audit de la planification :
des responsabilités.
20
les différents audit SI (liste non exhaustive)
charges.
21
les différents audit SI (liste non exhaustive)
L'audit de la micro-informatique :
Contrôle de l'auto-développement.
L'audit de l'exploitation :
22
les différents audit SI, suite (liste non exhaustive)
L'audit de la sécurité :
objectifs.
23
les différents audit SI, suite (liste non exhaustive)
4-10 ...
24
Audit et Sécurité des Systèmes d’Informations
Diagnostic
– Fonctionnel – Technique
25
Audit et Sécurité des Systèmes d’Informations
Diagnostic fonctionnel :
Diagnostic fonctionnel :
26
Audit et Sécurité des Systèmes d’Informations
Diagnostic technique :
27
Audit et Sécurité des Systèmes d’Informations
Diagnostic technique :
Représentation des :
– divers composants du système avec
leurs couplages,
– regroupés en sous-systèmes
– dont l'évolution est indépendante .
28
Audit et Sécurité des Systèmes d’Informations
29
Audit et Sécurité des Systèmes d’Informations
30
Audit et Sécurité des Systèmes d’Informations
31
Audit et Sécurité des Systèmes d’Informations
A vérifier :
32
Audit et Sécurité des Systèmes d’Informations
Capacité d’évolution
A vérifier :
– L’existence d’un suivi périodique de la planification
– L’existence d’un système d’évaluation de la politique
informatique.
– Le document de planification doit être périodiquement
mis à jour à l’aide d’un processus régulier
– La capacité à faire évoluer les règles et à saisir les
opportunités qui se présentent
33
Audit et Sécurité des Systèmes d’Informations
Travail à faire :
– S’assurer que orientations connues des dirigeants
– Analyser le SD et le document de stratégie
– Avoir des entretiens avec les principaux dirigeants
Le processus de validation du SD
Travail à faire :
– Analyser les comptes-rendus des réunions des groupes
de travail et du comité de pilotage
– Faire des entretiens avec quelques participants au
processus
34
Audit et Sécurité des Systèmes d’Informations
Le dispositif de pilotage du SD
Travail à faire :
– Examiner le document définissant les modalités de
pilotage
– S’assurer que la mise en œuvre du SD se fait
conformément à ce qui a été prévu
– Analyser les décisions prises par le comité de pilotage
Travail à faire :
– Examiner le document définissant la méthode ou la
démarche d’évaluation du schéma directeur
– Vérifier l’application de cette méthode
– Avoir des entretiens avec quelques informaticiens,
utilisateurs et décideurs pour appréciation du suivi du SD
35
Audit et Sécurité des Systèmes d’Informations
Travail à faire :
– Examiner les différents documents de mise à jour du schéma
directeur
– Apprécier leur pertinence
– Détecter s’il n’y a pas une dérive des objectifs ou une fuite
en avant
36
Audit et Sécurité des Systèmes d’Informations
37
Audit et Sécurité des Systèmes d’Informations
Un sujet difficile
38
Audit et Sécurité des Systèmes d’Informations
39
Audit et Sécurité des Systèmes d’Informations
40
Audit et Sécurité des Systèmes d’Informations
41
Audit et Sécurité des Systèmes d’Informations
42
Audit et Sécurité des Systèmes d’Informations
Plan
43
Audit et Sécurité des Systèmes d’Informations
44
Audit et Sécurité des Systèmes d’Informations
45
Audit et Sécurité des Systèmes d’Informations
Plan
46
Audit et Sécurité des Systèmes d’Informations
47
Audit et Sécurité des Systèmes d’Informations
48
Audit et Sécurité des Systèmes d’Informations
49
Audit et Sécurité des Systèmes d’Informations
50
Audit et Sécurité des Systèmes d’Informations
Plan
51
Audit et Sécurité des Systèmes d’Informations
52
Audit et Sécurité des Systèmes d’Informations
53
Audit et Sécurité des Systèmes d’Informations
54
Audit et Sécurité des Systèmes d’Informations
55
Audit et Sécurité des Systèmes d’Informations
56
Audit et Sécurité des Systèmes d’Informations
L'audit de la refacturation
57
Audit et Sécurité des Systèmes d’Informations
Plan
58
Audit et Sécurité des Systèmes d’Informations
Le diagnostic de l'organisation
59
Audit et Sécurité des Systèmes d’Informations
60
Audit et Sécurité des Systèmes d’Informations
A B C D E
Processus A
Processus B
Processus C
Processus D
61
Audit et Sécurité des Systèmes d’Informations
62
Audit et Sécurité des Systèmes d’Informations
Centraliser ou décentraliser
63
Audit et Sécurité des Systèmes d’Informations
2 - Les compétences
64
Audit et Sécurité des Systèmes d’Informations
3 - Le degré de motivation
65
Audit et Sécurité des Systèmes d’Informations
66
Audit et Sécurité des Systèmes d’Informations
67
Audit et Sécurité des Systèmes d’Informations
68
Audit et Sécurité des Systèmes d’Informations
69
Audit et Sécurité des Systèmes d’Informations
Organigram
70
Audit et Sécurité des Systèmes d’Informations
71
Audit et Sécurité des Systèmes d’Informations
Tableau de bord
72
Audit et Sécurité des Systèmes d’Informations
73
Audit et Sécurité des Systèmes d’Informations
74
Audit et Sécurité des Systèmes d’Informations
75
Audit et Sécurité des Systèmes d’Informations
76
Audit et Sécurité des Systèmes d’Informations
77
Audit et Sécurité des Systèmes d’Informations
78
Audit et Sécurité des Systèmes d’Informations
79
Audit et Sécurité des Systèmes d’Informations
80
Audit et Sécurité des Systèmes d’Informations
81
Audit et Sécurité des Systèmes d’Informations
82
Audit et Sécurité des Systèmes d’Informations
83
Audit et Sécurité des Systèmes d’Informations
84
Audit et Sécurité des Systèmes d’Informations
85
Audit et Sécurité des Systèmes d’Informations
3 - L’amélioration de l’informatisation
86
Audit et Sécurité des Systèmes d’Informations
87
Audit et Sécurité des Systèmes d’Informations
88
Audit et Sécurité des Systèmes d’Informations
89