Audit Controle

CNAM Audit et Contrle
EXPOSE
REDACTEUR(S) :
FRDRIC MOTHY
APPROBATEUR(S) : REF.INTERNE : VERSION : DATE : STATUT : DIFFUSION :
GLG102_AUDIT_CONTROLE-1_0
1.0 15/12/2008 PRESENTE EXTERNE
N AFFAIRE : 0000000001 SYLIS FRANCE Rgion Nord

251, avenue du Bois 59831 LAMBERSART Cedex Tl. : +33 (0)3 20 30 45 45 Fax : +33 (0)3 20 30 45 00
Reproduction Interdite SYLIS France
1 / 26
Audit et Contrle Expos
REDACTION DU DOCUMENT VERSION ACTION ACTEUR
1.0
Rdig par
Frdric MOTHY
EVOLUTIONS DU DOCUMENT VERSION DATE OBJET DE LA MISE A JOUR
1.0
15/12/08
Version initiale
2 / 26
SOMMAIRE
1 2 3 4 5 6 6.1 6.2 6.3 7 7.1 7.2 8 8.1 Introduction .............................................................................................................................. 4 Dfinition .................................................................................................................................. 4 Principe dun Audit .................................................................................................................... 4 Les Acteurs dun Audit .............................................................................................................. 5 Les Diffrents Type dAudit Informatique................................................................................. 5 Les tapes dun Audit Informatique .......................................................................................... 5 Orientation et Planification .....................................................................................................5 Evaluation............................................................................................................................6 Synthse .............................................................................................................................6 Le Cot dun Audit ..................................................................................................................... 6 Comment est calcul le cot dun audit....................................................................................6 Dure dun audit ...................................................................................................................6 Outils et Rfrentiels................................................................................................................. 7 Outils de lauditeur................................................................................................................7
8.1.1 Les Normes ..................................................................................................................................... 7 8.1.1.1 ISO 27002................................................................................................................................... 7 8.1.1.2 ISO 27001................................................................................................................................... 7 8.1.2 Les Mthodes .................................................................................................................................. 8 8.1.2.1 CRAMM ...................................................................................................................................... 8 8.1.2.2 EBIOS ......................................................................................................................................... 8 8.1.2.3 MEHARI ...................................................................................................................................... 9 8.1.2.4 OCTAVE ..................................................................................................................................... 9
8.2 Les Rfrentiels .................................................................................................................. 10
8.2.1 COBIT.............................................................................................................................................10 8.2.1.1 Prsentation: ..............................................................................................................................10 8.2.1.2 Modle de rfrence: .................................................................................................................10 8.2.2 ITIL .................................................................................................................................................11 8.2.3 CMMI ..............................................................................................................................................12
9 9.1 9.2 9.3 9.4 Contrle et Rapport dAudit..................................................................................................... 13 Comment contrler un projet informatique ? .......................................................................... 13 Les diffrents diagnostiques ................................................................................................. 13 Audit de Code dun projet informatique.................................................................................. 14 Les diffrents outils de contrle dun projet informatique ......................................................... 17
9.4.1 9.4.2 9.4.3 9.4.4 9.4.5

9.5
Les outils daide la ralisation des tests.......................................................................................17 Les outils de gestion de campagne de tests ...................................................................................18 Les outils de test de performance...................................................................................................19 Les outils de gnration de tests fonctionnels (boite noire) ............................................................21 Les outils de gnration de tests structurels (boite blanche) ..........................................................22
Prsentation de Microsoft Visual Studio Team System? ............................................................ 23
9.5.1 Dfinition : Usine Logiciel................................................................................................................23 9.5.2 Composition de Team System........................................................................................................23 9.5.3 Les points forts et les points faibles ................................................................................................23 9.5.4 Les diffrents types de test .............................................................................................................24 A Principales fonctionnalits de ldition Pour testeurs .....................................................................24 A. 1 Test de monte en charge ..............................................................................................................24 A. 2 Gestion des campagnes de test .....................................................................................................24 A. 3 Test manuel ....................................................................................................................................24 A. 4 Test web et test fonctionnel ...........................................................................................................24 B Les types de tests................................................................................................................................24 B. 1 Test de monte en charge avec Visual Studio 2005 Team Test Load Agent .................................24 B. 2 Analyse statique de code................................................................................................................25 B. 3 Tests unitaires ................................................................................................................................25 B. 4 Couverture de code ........................................................................................................................25 B. 5 Analyse dynamique et Profiler de code ..........................................................................................25
10 11 Conclusion............................................................................................................................... 25 Bibliographie ........................................................................................................................... 26
3 / 26
Introduction
Ce document a pour but dapporter un niveau dinformation complet par rapport aux audits et contrles dans les phases dun projet et prsente lensemble des rgles.
Dfinition
Un Audit est : une mesure d'cart, une source permanente de progrs, une occasion de considrer les relations inter-services sous un autre angle et de faon objective, une formation continue la dmarche qualit et son systme de management, une implication concrte de lensemble des services de lentreprise dans la vie du systme de gestion de la qualit. Par contre, il nest pas : un super contrle, une surveillance dguise, une occasion de rgler ses comptes, une expertise technique ou un diagnostic du cur de mtier, une occasion de refaire des contrles.
Principe dun Audit

Le principe d'un audit informatique est de faire analyser, par un expert indpendant, l'infrastructure en place pour : estimer les risques technologiques susceptibles d'impacter les oprations de production dfinir les points amliorer obtenir des recommandations pour faire face aux faiblesses de lentreprise
Laudit Informatique est un terme largement utilis, il couvre donc des ralits souvent diffrentes, et certaines prestations ralises sous le terme d Audit Informatique sont en fait des missions de Conseil.
4 / 26
Les Acteurs dun Audit

Les diffrents acteurs dun audit sont : La direction de lentreprise Le responsable informatique Les contrleurs externes (commissaires aux comptes, administration fiscale, banques)
Les Diffrents Type dAudit Informatique

Les diffrents types daudit informatique sont les suivants : L'audit d'infrastructure informatique : C'est un bilan complet de votre architecture informatique. L'audit de sauvegarde : C'est un bilan complet de vos mthodologies et outils de sauvegarde informatique. L'audit co-nergtique : C'est un audit permettant d'analyser les cots engendrs par vos systmes informatiques et vos systmes d'impression et leur impact sur l'environnement. L'audit "Migration vers des logiciels libres" : Cet audit a pour but de vous aider dans votre migration de parc informatique vers des logiciels codes sources ouverts. L'audit de site web : C'est un audit permettant d'analyser l'ergonomie de votre site web et son impact visuel sur vos visiteurs.
Les tapes dun Audit Informatique

Un audit informatique se dcompose en 6 tapes.
6.1
Orientation et Planification La premire tape consiste prendre connaissance de manire extrmement fine des attentes du client. Il convient de bien comprendre ses besoins et de les reformuler. Avant de faire appel un auditeur, tablissez donc avec prcision ce que vous attendez de laudit. Cette premire tape est particulirement importante dans la mesure o elle plante le contexte prcis dans lequel laudit va tre men : autant dinformations qui seront incluses dans le rapport daudit afin den faciliter linterprtation, mme plusieurs annes aprs sa ralisation. Ensuite, une lettre de mission sera rdige. En plus de dfinir la procdure venir, elle a deux objectifs principaux : elle est le contrat qui lie lentreprise et lauditeur ; elle permettra dinformer les diffrentes personnes impliques de larrive dun audit dans lentreprise. Elle est dans le mme temps -auprs des salaris- une lgitimation de cet audit par la direction.
5 / 26
Troisime phase : le recueil de toutes les informations ncessaires pour prparer la mission. Il sagit de rcolter les lments relatifs la culture de lentreprise, au contexte gnral toujours en corrlation avec le systme dinformation. Ensuite, des rendez-vous sont organiss avec les personnes concernes. En aucun cas il ne doit tre technique : cest l la diffrence entre un audit et une mission dexpertise. 6.2 Evaluation La cinquime tape consiste en la solidification de toutes les informations, soit par le croisement des entretiens, soit ventuellement par des contrles sur le systme avec des logiciels spcifiques. Par exemple, lors dun audit dapplications, un audit par les donnes est efficace pour contrler que les donnes sont bien entres dans les applications, quelles sont bien traites par celles-ci et enfin que les rapports sont gnrs convenablement. 6.3 Synthse Enfin, une runion de synthse est organise entre lauditeur et les personnes intresses. Il sagit de sassurer ensemble : que les questions de lauditeur ont t bien comprises ; que les rponses ont t bien interprtes. Le rapport est ensuite rdig, de plusieurs manires (concis et plus complet), car il sadresse en gnral plusieurs types de publics. Le rapport dtaill expliquera les attentes de dpart, le contexte, les limites, les faiblesses constates, leur importance relative et les solutions. Un rapport daudit doit tre clair et didactique.
7
7.1
Le Cot dun Audit

Comment est calcul le cot dun audit Le cot dun audit se calcule en jours/homme. Un certain nombre de variables entre en compte dans ce calcul, telles que le nombre de sites concerns ou encore la complexit des problmes rencontrs dans le systme dinformation. Avec un prix moyen de la journe environ 1000 euros, le Groupement national des professionnels de linformatique (GPNI) estime le cot global de la procdure entre 500 et 3000 euros.
7.2
Dure dun audit La dure minimum dun audit est de cinq jours.
6 / 26
8
8.1
Outils et Rfrentiels
Outils de lauditeur Les Normes 8.1.1.1 ISO 27002
8.1.1
La norme ISO 27001 a t cre en 2000 (ISO 17799), renomme en 2005. Objet: scurisation de linformation, confidentialit, intgrit, disponibilit Caractre facultatif => guide de recommandations 4 tapes dans la dmarche de scurisation: Liste des biens sensibles protger Nature des menaces Impacts sur le SI
Mesures de protection
8.1.1.2
ISO 27001
La norme ISO 27001 a t cre en 2005. Objet: Politique du Management de la Scurit de lInformation Cette norme tablit un Systme de Management de la Scurit de lInformation : Choix des mesures de scurit Protection des actifs Elle Utilise le modle PDCA
Act
Plan
Check
Do
6 domaines de processus : - Dfinir une politique de scurit - Dfinir le primtre du SMSI - Evaluation des risques - Grer les risques identifis - Choisir et mettre en uvre les contrles - Rdiger Statement Of Applicability (charte du SMSI)
Conditions remplies => certification ISO 27001

Reproduction Interdite SYLIS France 7 / 26
8.1.2
Les Mthodes 8.1.2.1 CRAMM La mthode CRAMM signifie CCTA Risk Analysis and Management Method , elle a t cre en 1986 par Siemens en Angleterre. Cette mthode se dcompose en 3 tapes : Identifier le software/ le hardware/ Les donnes Evaluer les menaces et vulnrabilits Choisir des remdes. Cette mthode est lourde car elle sappuie sur 3000 points de contrle. 8.1.2.2 EBIOS La mthode EBIOS signifie Expression des Besoins et Identification des Objectifs de Scurit , elle a t cre en 1995 par la DCSSI1. Structure :
Etude du Contexte
Expression des besoins de scurit
Etude des Menaces
Identification des Objectifs de Scurit
Dtermination des exigences de scurit
Les intrts de cette mthode sont : - Construction dune politique de scurit base sur une analyse des risques - Lanalyse des risques repose sur lenvironnement et les vulnrabilits du SI
La Direction Centrale de la Scurit des Systmes d'Information

8.1.2.3 MEHARI La mthode MEHARI signifie Mthode Harmonise dAnalyse de Risques , elle a t cre en 1995 par le CLUSIF, remplaant MARION. Les Phases de MEHARI sont les suivantes : Phase 1: Etablissement dun Plan Stratgique de Scurit (Global) Phase 2: Etablissement de Plans Oprationnels de Scurit raliss par les diffrentes units de lentreprise. Phase 3 : Consolidation des plans oprationnels (Global) Structure: Synoptique de la dmarche MEHARI.
P.S.S.
Indicateur Tableaux de Bord
P.O.E.
Objectif Mtriques
Scnarios Plan dActions
P.O.S.
Les intrts de cette mthode sont : - Apprciation des risques aux regards des objectifs de scurit - Contrle et gestion de la scurit 8.1.2.4 OCTAVE La mthode OCTAVE signifie Operationnally Critical Threat, ASSET and Vulnrability Evaluation, elle a t cre en 1999 luniversit aux Etats-Unis. Elle a pour but de permettre une entreprise de raliser par elle-mme lanalyse des risques de leur SI, sans aide extrieure (Consultant). Elle se droule en 3 phases : Vue organisationnelle Technique Stratgie de scurit
9 / 26
8.2 8.2.1
Les Rfrentiels COBIT 8.2.1.1 Prsentation: La mthode Control OBjectives for Information and related Technology a t cre en 1996 par lISACA / AFAI2. Cette mthode contient les lments suivant : Synthse Cadre de rfrence Guide daudit Guide de management Outils de mise en uvre Les Intrts de cette mthode sont : Le lien entre les objectifs de lentreprise et ceux de technologies dinformation Lintgration des partenaires daffaires Luniformisation des mthodes de travail La scurit et le contrle des services informatiques Le systme de gouvernance de lentreprise 8.2.1.2 Modle de rfrence:
L'AFAI, Association Franaise de lAudit et du Conseil Informatiques est le chapitre franais de l'ISACA. Cre en 1982, l'AFAI regroupe aujourd'hui plus de quatre cents membres reprsentant les auditeurs externes, les consultants et diverses fonctions au sein des entreprises : direction de l'informatique, de l'audit, de la finance et du contrle de gestion. L'AFAI a pour objectif de dvelopper les solutions de l'ISACA, en informant les entreprises franaises et en participant des projets tels que l'IGSI.
8.2.2
ITIL ITIL (IT Infrastructure Library) consiste en une srie de livres dfinissant les processus de gestion des services technologiques (IT service management). ITIL a dfini un processus Gestion financire pour les services IT qui a pour but d assurer une administration rentable des biens IT et des ressources financires utilises pour la fourniture des services IT . ITIL propose un exemple de catgorisation des cots informatiques : Matriel (grands systmes, stockage sur disques, rseaux, PC, portables, serveurs locaux) Logiciel (systmes dexploitation, applications, bases de donnes, outils de contrle de gestion) Ressources humaines (salaires, primes, cots de transfert, frais, conseils) Locaux (bureaux, rserve, lieux scuriss) Services externes (services de scurit, de rcupration en cas de sinistre, dapprovisionnement lextrieur) Transfert (dpenses internes provenant dautres centres de cots au sein de lorganisation) ITIL prcise que dautres catgorisations peuvent tre choisies ; limportant est que tous les cots soient identifis. La catgorisation dans un Cost Model doit permettre : danalyser lvolution dans le temps de ses propres dpenses de comparer ses cots avec ceux dautres organisations (internes ou externes). de servir de simple base pour lABC (activity based costing) ITIL dnomme Cost Model ce que nous appelons le Plan de comptes informatiques .
11 / 26
8.2.3
CMMI Initialement labor pour pouvoir modliser le dveloppement logiciel, le CMM (Capability Maturity Model) a t "globalis" par le SEI (Software Engineering Institute) et se nomme dornavant CMM Integration. Il englobe les sous-modles suivant : SE-CMM (pour System Engineering) ; SA-CMM (pour Software Acquisition) ; IPD-CMM (pour Integrated Product Development) ; SS-CMM (pour Supplier Sourcing) SW-CMM (pour Software). Il s'agit du CMM original. People CMM est en train d'tre considr pour le management des ressources humaines; Les bonnes pratiques prconises par le modle sont rassembles en 24 macro-processus eux-mmes regroups en niveaux de maturit au nombre de 5 : Initial : Les facteurs de russite des projets ne sont pas identifis, la russite ne peut donc tre rpte. Pilot : Les projets sont pilots individuellement. Standardis : Les processus de pilotage des projets sont mis en place au niveau de l'organisation. Quantifi : La russite des projets est quantifie. Les causes d'cart peuvent tre analyses. Optimis : La dmarche d'optimisation est continue.
12 / 26
9
9.1
Contrle et Rapport dAudit

Comment contrler un projet informatique ? Laudit informatique se repose sur plusieurs composantes qui sont les suivantes : Lexamen de l'organisation du service, Lexamen des procdures lies au dveloppement, L'examen des procdures lies l'exploitation, L'examen des fonctions techniques, Les contrles sur la protection et la confidentialit des donnes Lors dun audit informatique, plusieurs contrles sont raliss, ceux-ci sont : Le contrle de la fiabilit Le contrle de lenvironnement Le contrle interne de la fonction traite Le contrle de cohrence Le contrle hirarchique Le contrle de la fiabilit, se base sur : des entretiens avec le personnel informatique et certains utilisateurs des contrles de documents ou d'tats, pour validation des rponses. et sur des outils commerciaux btis autour d'un questionnaire d'audit, et dun logiciel dexploitation. Les jeux d'essai sont rarement utiliss dans laudit : lourdeur de mise en uvre teste logiciels, mais pas le contenu des fichiers; manque dexhaustivit ; Dcle rarement des oprations frauduleuses L'examen du contrle de lenvironnement : les procdures de dveloppement et de maintenance; les procdures d'exploitation; les fonctions techniques; l'organisation du service et du projet
9.2
Les diffrents diagnostiques

Les diffrents diagnostiques dun audit informatique sont : Diagnostique technique: architecture, outils, mthodes Diagnostique projet: aspects humains, organisationnels et qualit Diagnostique fonctionnel: ergonomie, cohrence, etc Diagnostique maintenance: volutivit, modularit, dpendances systme Propositions d'amlioration Diagnostique technique: architecture, outils, mthodes
Une application ne peut tre considre comme fiable si, en dpit de logiciels de qualit, elle est utilise en dpit de bon sens.
13 / 26
9.3
Audit de Code dun projet informatique

Un audit de code doit se baser en principe sur un document darchitecture cr lors de ltude du projet. Ce document doit possder une partie concernant les normes de dveloppement et les bonnes pratiques. Celles-ci peuvent spcifier : Les conventions de nommage Les conventions de styles Les commentaires Les types et classes Les constantes et enums La gestion des exceptions Les tableaux et chanes de caractres Les dlgus & events Le cycle de vie des objets Les applications multithread La configuration des projets Visual Studio .NET LOrganisation des fichiers de code source Aprs avoir parcouru le code source de lapplication, lauditeur pourra rdiger un rapport qui dtaillera les problmes rencontrs qui ne respectent pas les normes dcrites dans le dossier darchitecture technique. Exemple de remarques : ces remarques peuvent tre illustres avec des extraits de code.
1.
Il faut penser signer les assembly avec un nom fort.
2. Il faut penser marquer toutes les assembly avec lattribut ClsCompliant true (simplement dans le assemblyinfo global) 3. 4. Il faut penser bien indenter le code. Sastreindre aux rgles de nommage :
private const string stateChecked = "4"; private const string stateUnChecked = "o";
Ou bien :
public IList<InfosRechercheDossier> LDossiersAExporter { get { return lDossiersAExporter; } set { lDossiersAExporter = value; } }

5. Il est indispensable de commenter au format XML les mthodes des interfaces publiques des services.
IList<CreditImpot> GetAllCreditImpot(int familleId); double GetTotalCreditImpot(int familleId);
14 / 26
6. Supprimer toutes les variables locales ou les paramtres inutiles :
private DateTime? convertDateTimeExcelToDateTime(string values) { DateTime dtEtude = DateTime.Now; if (!string.IsNullOrEmpty(values)) { return DateTime.FromOADate(double.Parse(values)); } else { return null; } }
7. De mme, ne pas crer de proprits inutilises, si seule la variable membre prive est utile:
private bool _genereAction; public bool GenereAction { get { return _genereAction; } set { _genereAction = value; } }
8. Utiliser String.IsNullOrEmpty pour les comparaisons de chanes vides :
if (String.IsNullOrEmpty(textBoxPrenomUtilisateur.Text)) { if (messageErreur == "") textBoxPrenomUtilisateur.Focus();

Cest valable aussi si les chanes sont diffrentes :
if (textBoxCodePostal.Text != "") return true;

9. Les variables membres publiques sont interdites :
public partial class CreerDossierForm : Form { #region dfinition des variables prives et accesseurs public Dossier _dossier;
15 / 26
10. Eviter de catcher les exceptions gnriques toujours spcifier une exception spcifique en fonction de ce que peut renvoyer le service concern :
try { total = _dossierService.GetTotalAutresRevenus(idPersonne); } catch (Exception e) { MessageBox.Show(e.Message, "Erreur lors de la recherche du total des autres montants."); }
11. Penser toujours mettre des contrles de surface dans les mthodes publiques des services. Ne jamais prsumer par exemple quun objet est non null, et renvoyer une exception approprie (catche par les contrleurs dans les IHMs) dans ce cas :
public void DeleteDossier(Dossier { // Run within the context of IList<InfosRechercheDossier> GetInfosRechercheByDossierId(dossier.Id,
dossier) a database transaction. listeInfoRecherche = dossier.LoginUtilisateur);
12. Il est plus facile de commenter au fur et mesure que de tout commenter la fin (considrations sur la maquette mises part). Le code des IHMs est souvent celui qui est le plus sioux et le plus difficile apprhender quand on le dcouvre.
Tests Unitaires 13. Les tests doivent tous tre indpendants et ne pas dpendre dun autre ou de lordre dexcution des tests. 14. Les tests unitaires sont assez exhaustifs, mais il faut sastreindre un code coverage de 100% sur les DLL dimplmentation des services (notamment pour lensemble des contrles de surface pour obtenir du code le plus scuris possible). Packaging MSI 15. Rester professionnel et toujours penser bien renseigner les attributs du projet MSI (ProductName, Title, etc) .
16 / 26
Ce rapport qui diagnostique les problmes peut comporter des propositions damliorations. Par exemple : Dans cet exemple, la proposition damlioration concerne un outil intgr Microsoft Visual studio .Net. Rgles non prises en compte dans FxCop Une petite partie des remarques ci-dessus ont t mises en vidence par FxCop. Les rgles suivantes ont t dcoches pour lanalyse de code : Design Rules : CA1020 CA1044 Globalization Rules : CA1300 CA1303 CA1304 CA1305 Naming Rules : CA1705 CA1706 Performance Rules: CA1807 CA1822 Usage Rules: CA2208 CA2209
9.4
Les diffrents outils de contrle dun projet informatique Pour aider contrler ces projets informatiques, il existe diffrents outils sur le march. Des socits se sont spcialises dans la distribution de produits pour le test du logiciel, couvrant certains types de tests en fonction de leur spcialisation.
9.4.1
Les outils daide la ralisation des tests Ces outils sont galement appels automates de tests , et prsentent des fonctionnalits communes Capture et rexcution des scripts raliss via une IHM. Sauvegarde des tests et des rsultats associs. Gnration de scripts de tests en fonction des langages et des plateformes. Liste des outils daide la ralisation des tests : Mercury Winrunner et QuickTest Pro de Mercury Quality Center Mercury Quality Center fournit un ensemble d'outils Web permettant de grer et d'automatiser les tests de qualit logicielle dans un large ventail d'environnements applicatifs. Mercury Quality Center comprend des produits leaders tels que Mercury TestDirector, Mercury QuickTest Professional et Mercury WinRunner. Cette suite permet de crer un ensemble de tests, de le grer en testant l'application tout au long du cycle de dveloppement et de coordonner les rsultats.
17 / 26
QARun de Compuware Les outils de la gamme QACenter permettent aux entreprises de raliser des tests de performances cohrents et fiables. Grce QARun, les programmeurs obtiennent les fonctionnalits d'automatisation dont ils ont besoin pour crer et excuter des scripts de tests rapidement et de faon productive ainsi que pour vrifier les tests et analyser les rsultats. Abbot (Open Source) Cette application permet d'enregistrer des actions via une interface (Costello) sur l'application teste. Ces scenarios de tests peuvent ensuite tre rejous volont. Une API Java est disponible pour automatiser ces tests avec Junit.
9.4.2
Les outils de gestion de campagne de tests Les principales fonctionnalits de ce type doutils sont : La dfinition de campagnes de test. Lhistorisation des rsultats. La gestion des tests de non-rgression. Les outils de gestion des plans et campagnes de test servent dfinir, organiser et conduire les campagnes de tests. Ils doivent donc s'interfacer avec tous les outils qui interviennent dans les tests. Les outils de gestion des tests ne sont donc pas des automates de test. Certains diteurs de logiciels ont sorti des suites intgres comprenant des outils de gestion de test et des automates afin dviter linterfacage entre des outils dditeurs diffrents. (Cf. Microsoft Visual Studio Team System) Liste des outils de gestion de campagne de tests : TestDirector de Mercury Quality Center Cet outil, complet comme ceux de la famille Mercury, prend en charge via une seule application Web l'intgralit de la procdure de test : gestion des besoins, planification, laboration, organisation et excution des tests, gestion des anomalies, analyse de l'tat du projet Dans cette suite, TestDirector est un outil de gestion intgr qui organise et gre les processus de tests. TestDirector devient le point central de l'organisation, de la documentation et la structure dans chaque projet de test. TestDirector peut organiser une combinaison de tests manuels et automatiques, de rgression, de charge, dans le mme plan hirarchique et visuel, ce qui permet de bien analyser la porte de tous les tests.
18 / 26
Salom TMF (Open Source) Salom-TMF est un des rares outils libres de gestion de tests. Les principales fonctionnalits de Salom-TMF sont : o Organisation du plan de tests sous forme d'arbre hirarchique. o Organisation des tests en campagnes, pour l'excution. o Possibilit d'intgrer et d'excuter des tests automatiques (JUnit, Abbot, Beanshell). o Gestion des anomalies via Bugzilla ou Mantis. o Production de documents au format HTML. o Architecture pouvant inclure des plugins (connexion Junit, planification des tests-cronExec-...). Test Manager de Soft Edition.Net Sous forme d'une application intranet Test Manager a pour but daider les managers responsables dquipes de tests crer, planifier et organiser leurs diffrentes sessions. Cest aussi une gestion documentaire et un apport mthodologique pour vos quipes de tests. Liste des fonctions de Test Manager : 1. Aide la cration et lorganisation de vos documents de test 2. Aide la cration de vos plans et stratgies de tests 3. Dimensionne, organise et crez vos campagnes de tests 4. Dlivre des rapports prcis votre Top Management pour le suivi 5. Suivi de la production, des campagnes et de la couverture fonctionnelle 6. Etablit le lien entre vos documents de tests et vos spcifications 7. Donne un statut prcis et en temps rel pour toutes vos campagnes de tests 8. Point dintgration avec vos Demandes de fonctionnalits 9. Point dintgration avec vos Anomalies (Bugs)
9.4.3
Les outils de test de performance Les outils de test de performance proposent souvent : Le test de monte en charge. La simulation d'un environnement spcifique. Lvolution agressive de l'accs aux ressources. Les tests de performances d'une application sont souvent mens pour des sites Web ou Intranet. En effet, lors du dveloppement de sites Web, il y a souvent des exigences quant aux performances daccs au site (afin dviter des temps daccs trop longs). Liste des outils de test de performance : WAPT de SoftLogica WAPT est un outil de test de charge pour applications Web et intranet. Il enregistre des scnarios de tests puis permet de les rejouer volont en faisant varier : le nombre d'utilisateurs, l'intervalle entre chaque test, etc.
19 / 26
Mercury LoadRunner de Mercury Quality Center LoadRunner est le produit de Mercury charg des tests de stress et de monte en charge. LoadRunner permet : Obtenir un tableau prcis des performances systme de bout en bout. Vrifier que les applications nouvelles ou mises niveau rpondent aux besoins de performances spcifis. Identifier et liminer les goulets d'tranglement des performances pendant le cycle de vie du dveloppement. Siege (Open Source) Un outil Open Source permettant de simuler nombre de connexions sur un site web.
20 / 26
JMeter (Open Source) du groupe Apache JMeter est un outil de test de performance pour ressources statiques ou dynamiques. Cet outil peut simuler de lourdes montes en charge sur une application serveur ou sur un rseau. Il est cod 100% en Java, interface graphique en Swing. JMeter permet de mesurer les performances de : Sites Internet Serveurs FTP Bases de donnes (via les drivers JDBC) Scripts Perl Objets JAVA (applets)
9.4.4
Les outils de gnration de tests fonctionnels (boite noire) Lobjectif des outils de gnration de tests fonctionnels est de vrifier la conformit du fonctionnement dun systme vis--vis des exigences de lutilisateur (plus globalement du cahier des charges). Ces outils vitent la cration manuelle de scripts de tests, qui prend du temps et qui nest pas forcment parfaite. Les diteurs proposent donc des outils les plus complets possibles, en offrant un maximum de fonctionnalits automatiques (gnration de scripts de tests, de rapports des rsultats attendus et atteints ou non, etc.) et dindicateurs graphiques pour une utilisation conviviale, aise et rapide. Liste des outils de tests fonctionnels : Leirios Test Generator de LEIROS Cr en 2003, Leirios est un diteur de logiciels de gnration automatique de tests. Prix de la meilleure innovation technologique de Capital-IT 2007 et Prix de lEntreprise dAvenir 2006 pour la Rgion Est, Leirios est un essaimage du Laboratoire Informatique (CNRS/INRIA) de lUniversit de Franche-Comt. Leirios Test Generator (LTG) : 1. Une modlisation fonctionnelle est effectue partir des Spcifications Techniques de Besoins par lutilisateur. 2. Le modle fonctionnel rsultant (B, Statecharts ou UML) est utilis par le gnrateur de tests LTG pour crer les cas de tests. Lutilisateur paramtre simplement ses critres de couverture. 3. Le gnrateur de scripts LTG compose alors les scnarios de tests. 4. Les scripts ainsi crs sont excuts dans lenvironnement ddi (banc de test). Conformiq Test Generator de Conformiq Software Conformiq Test Generator peut tre utilis dans les champs d'application suivants : Test de fonction, de systme et d'acceptance Test de rgression (tests quotidiens automatiques des structures) Test d'intgration (simulation de parties du systme) Interface de test (JPOS, COM, J2EE, HTTP, SQL, OPC) Test de protocole / plate-forme (TCP/IP, IPSec, GSM, Symbian)
21 / 26
Visual WebTester de Softbees Cest un outil de tests automatiss : tests fonctionnels, test de rgression test d'usabilit pour applications Web. eValid de Software Research Il vrifie la conformit aux spcifications fonctionnelles des sites Web. Multiples modes de synchronization possibles. HTTP/HTTPS, JavaScript, XML, Applets Java, Flash, ASP, JSP et ActiveX supports.
9.4.5
Les outils de gnration de tests structurels (boite blanche) Ces outils permettent de valider ce que fait le logiciel test. Ils sont donc complmentaires aux outils de tests fonctionnels qui vrifient, eux, ce que doit faire le logiciel. Cest pourquoi des diteurs ont cr des suites comprenant ces deux types de tests. Rational Test RealTime de IBM Cest une solution multiplateforme permettant de tester les composants et d'analyser l'excution du code C, C++, Java et Ada. Il est totalement compatible avec les outils tiers novateurs (Mathworks Simulink, Microsoft Visual Studio et TI Code Composer Studio). xUnit, JUnit, PHPUnit, CPPUnit, PyUnit, JUnit Le dveloppement pilot par les tests (Test-Driven Developpement ou TDD) est devenu une vidence implacable. Le principe du TDD est donc, avant mme d'crire le code d'une fonctionnalit, d'crire le test pour ce futur code. Une fois le test crit, le code de la fonctionnalit devra toujours passer correctement le test avant de pouvoir valider celle-ci.
22 / 26
9.5 9.5.1
Prsentation de Microsoft Visual Studio Team System? Dfinition : Usine Logiciel Une usine logicielle peut tre dfinie comme l'ensemble des outils mis en uvre dans le cadre d'un dveloppement logiciel, ainsi que les dmarches associes l'utilisation de ces outils. Cela ne se limite pas la production du code source, mais tous les lments qui participent la bonne ralisation du projet (tests, documents, suivis, versions, ..).
9.5.2
Composition de Team System Microsoft Visual Studio Team System comporte : Dune part, les outils ncessaires la cration dapplications : Application Web Form (site web ou client Lger) Application Win Form (programme windows ou client lourd). Dautre part, des outils de test : Tests unitaires Couverture de code Gestionnaire de tests Tests web Tests de monte en charge. Puis, des outils de mesure de qualit : Analyse statique Analyse dynamique (mmoire et temps dexcution) Et enfin des outils pour grer le projet : Gestionnaire de version Fiches de suivi (tches, bugs, etc...) Portail Tableaux de bord.
9.5.3
Les points forts et les points faibles Evidemment, ces outils ne sont pas innovants par eux-mmes car ils existent dj des outils quivalents sur le march de lopen source, du monde java (Junit) et dans le monde .Net (Nunit). Ces diffrents outils peuvent dans certains cas avoir des fonctionnalits plus avances et dune plus grande maturit. Lavantage de Team System se situe dans lintgration de ceux-ci qui permet une prise en main plus rapide et une plus grande intuitivit, qui carte ltape de slection et dintgration doutils divers. Team System met disposition un rfrentiel unique et centralis de toutes les donnes et mtriques lis au projet et permet ainsi de relier celles-ci entre elles (tests, compilation, tches, scnarios de tests, etc..). Cest un outil cl en main . Les outils de gestion de projet ne sont pas limits au monde Microsoft .Net et peuvent tre utiliss par des projets Java. Dailleurs, il existe plusieurs plugins pour Eclipse.
23 / 26
9.5.4
Les diffrents types de test Visual Studio Team Edition for Software Testers propose un ensemble cohrent de fonctionnalits intgres dans Visual Studio pour assurer la qualit des applications ou des services Web : tests manuels, tests dinterfaces Web, tests unitaires, tests de performance, tests gnriques (rutilisation de vos tests existants). Ces tests sont organiss en campagnes qui ciblent des fonctionnalits ou des versions des applications. Les projets de tests sont intgrs dans les solutions de dveloppement et grs en configuration. A Principales fonctionnalits de ldition Pour testeurs A. 1 Test de monte en charge Le test de monte en charge simule des utilisateurs virtuels pour valider la capacit supporter la charge de vos applications web. Les utilisateurs virtuels suivent diffrents scnarios enregistrs directement depuis le navigateur. A. 2 Gestion des campagnes de test On organise les tests (de monte en charge, unitaires, manuels, web) pour dterminer lesquels sont excuts, dans quel ordre et quel moment. Permet de crer des campagnes de tests spcifiques une version et un contexte particuliers. A. 3 Test manuel Il permet de documenter et de suivre lexcution de tests qui ne peuvent tre automatiss. Le scnario est dcrit dans un document Word ou texte. Test web et test fonctionnel Cest lenregistrement dun parcours dans un navigateur pour simuler un utilisateur. Il est possible de variabiliser les donnes, dutiliser des jeux de tests.
A. 4
Les types de tests B. 1 Test de monte en charge avec Visual Studio 2005 Team Test Load Agent Team Test Load Agent permet de faire les tests de monte en charge, en rpartissant les utilisateurs virtuels sur de multiples machines (PC ou serveurs). Avec Visual Studio Team Edition for Testers, vous crez les scnarios de tests et ensuite vous orchestrez vos campagnes de test de monte en charge en pilotant les agents Team Test Load Agent. Les rsultats obtenus sont consolids en un point central, facilitant ainsi lanalyse. Visual Studio Team Test Load Agent est commercialis par processeur, indpendamment du nombre dutilisateurs simuls. Avec cette dition de Visual Studio Team System, les dveloppeurs augmentent la qualit du code quils produisent. Ils peuvent valider le respect des rgles de codage, auditer le fonctionnement de leur application, crer des tests unitaires et connatre la couverture du code. Lensemble de ces fonctionnalits est intgr dans loutil de dveloppement et est trs simple prendre en main en fonction de ses besoins.
B. 2
Analyse statique de code Lanalyse de votre code la compilation permet dassurer le respect des conventions de codage : rgles de nommage, rgles darchitecture, failles de scurit potentielles. Pour le code manag , il sagit dune volution de loutil FxCop ; pour le C++, cest un nouvel outil.
B. 3
Tests unitaires Microsoft Visual Studio Team System gnre automatiquement des tests unitaires qui invoquent les mthodes des classes et vrifient les valeurs de retour. Les outils fournis permettent dinjecter des jeux de donnes. Ces tests sont excuts automatiquement dans Visual Studio ou sur le serveur de compilation.
B. 4
Couverture de code Microsoft Visual Studio Team System dtecte le code parcouru par les tests unitaires. Un taux de couverture minimum doit tre atteint pour que les tests unitaires soient rellement utiles. Les rsultats sont affichs dune part graphiquement dans la mthode analyse, dautre part de faon statistique sur le serveur. Il est possible dexcuter des sries de tests unitaires.
B. 5
Analyse dynamique et Profiler de code Microsoft Visual Studio Team System Analyse les performances des applications pour identifier les goulets dtranglement. Cette analyse est base soit sur un chantillonnage statistique, soit sur une instrumentation complte du code. Cette deuxime mthode complte lchantillonnage par une analyse beaucoup plus fine sur des ensembles plus restreints.
10 Conclusion
La majeure partie des outils de laudit informatique se base sur la structure du Cobit . Laudit informatique sest impos et sinscrit dans lavenir des entreprises. La normalisation est synonyme de dveloppement et de crdibilit. Nous pouvons remarquer un essor de ce mtier. Celui-ci recrute.
25 / 26
11 Bibliographie
Titre Auteur
Editeur
Audit des projets informatiques
Henri Ly
Hermes Science Publications
Audit Comptable Audit Informatique
Hugues Angot
De Boeck
L'audit qualit interne
Christophe Villalonga
Dunod
Les nouvelles pratiques de l'audit qualit interne
G. Krebs, Y. Mougin
AFNOR
Mmento d'audit interne
P. Schick
Dunod
26 / 26

Audit Controle

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Audit Controle

Încărcat de

Drepturi de autor:

Formate disponibile

CNAM Audit et Contrle

APPROBATEUR(S) : REF.INTERNE : VERSION : DATE : STATUT : DIFFUSION :

1.0 15/12/2008 PRESENTE EXTERNE

N AFFAIRE : 0000000001 SYLIS FRANCE Rgion Nord

Reproduction Interdite SYLIS France

Audit et Contrle Expos

REDACTION DU DOCUMENT VERSION ACTION ACTEUR

EVOLUTIONS DU DOCUMENT VERSION DATE OBJET DE LA MISE A JOUR

Reproduction Interdite SYLIS France

Audit et Contrle Expos

9.4.1 9.4.2 9.4.3 9.4.4 9.4.5

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Principe dun Audit

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Les Acteurs dun Audit

Les Diffrents Type dAudit Informatique

Les tapes dun Audit Informatique

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Le Cot dun Audit

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Conditions remplies => certification ISO 27001

Audit et Contrle Expos

Expression des besoins de scurit

Etude des Menaces

Identification des Objectifs de Scurit

Dtermination des exigences de scurit

La Direction Centrale de la Scurit des Systmes d'Information

Audit et Contrle Expos

Indicateur Tableaux de Bord

Scnarios Plan dActions

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Audit et Contrle Expos

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Contrle et Rapport dAudit

Les diffrents diagnostiques

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Audit de Code dun projet informatique

Il faut penser signer les assembly avec un nom fort.

public IList<InfosRechercheDossier> LDossiersAExporter { get { return lDossiersAExporter; } set { lDossiersAExporter = value; } }

IList<CreditImpot> GetAllCreditImpot(int familleId); double GetTotalCreditImpot(int familleId);

Reproduction Interdite SYLIS France

Audit et Contrle Expos

6. Supprimer toutes les variables locales ou les paramtres inutiles :

if (String.IsNullOrEmpty(textBoxPrenomUtilisateur.Text)) { if (messageErreur == "") textBoxPrenomUtilisateur.Focus();

if (textBoxCodePostal.Text != "") return true;

Reproduction Interdite SYLIS France

Audit et Contrle Expos

public void DeleteDossier(Dossier { // Run within the context of IList<InfosRechercheDossier> GetInfosRechercheByDossierId(dossier.Id,

dossier) a database transaction. listeInfoRecherche = dossier.LoginUtilisateur);

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Reproduction Interdite SYLIS France

Audit et Contrle Expos

Reproduction Interdite SYLIS France

Audit et Contrle Expos