http://www.institut.capgemini.fr/index.php?

p_id=30 LAudit Informatique en 2013

> dmarches, mthodes, concepts, outils, pratiques actuelles, mise en uvre de CobiT

Laudit informatique est un outil cl de la gouvernance informatique de lentreprise, notamment grce ladoption de rfren tiels largement reconnus comme CobiT. Et au-del, il y a la gouvernance des systmes dinformation. Ce sminaire dresse ltat de lart actuel dans le domaine de laudit informatique et vous aide construire une dmarche permettant de rpondre aux principales questions qui se posent en la matire :

comment valuer la fonction informatique dune entreprise ? peut-on rellement auditer une stratgie informatique ? la gestion de projets mise en uvre applique-t-elle les bonnes pratiques connues ? comment se prmunir contre les risques de drives fonctionnelles ? peut-on dtecter rapidement dventuels drapages ? comment auditer des centaines, voire des milliers de postes de travail dissmins dans lentreprise ? comment piloter efficacement la production informatique ? quelles sont les principales procdures (tudes, exploitation, etc.) mettre sous contrle ? peut-on se prmunir contre les risques de fraude et les dfauts de scurit ? faut-il effectuer des audits dapplications, quelle priodicit et comment sy prendre ? Bas sur de nombreux exemples pratiques, ce sminaire est destin aux professionnels de linformatique dsirant comprendre et mettre en uvre la dmarche daudit et son application linformatique. Il sadresse galement aux managers et aux auditeurs gnralistes qui souhaitent effectuer ou piloter des audits informatiques. Un sminaire-conseil prpar et anim par Claude Salzman.

Les concepts de base de l'audit informatique

La notion de contrle dans lentreprise et son application linformatique. Le concept gnral daudit et ses grands principes. La dmarche de laudit. Diffrence entre laudit, le contrle interne et le contrle de gestion. Ne pas confondre laudit, lexpertise et le conseil. Audit et qualit. Audit appliqu linformatique : points communs et diffrences avec les autres types daudits. Audit interne ou audit externe. Exemples daudits informatiques. Partir des proccupations des demandeurs daudit, les domaines daudit. Les trois grands types daudits. Rle des rfrentiels et notamment de CobiT (Control Objectives for Information and related Technology). Le cadre conceptuel de CobiT. Les processus et les objectifs de contrle. Le rle des bonnes pratiques.

L'audit de la planification informatique

Ltat de lart en matire de planification informatique : plan, schma directeur, master plan, etc. Les trois dimensions des schmas directeurs : architectures, cots, budgets et dispositif de travail. Les dmarches plus limites. Les bonnes pratiques observes en matire de planification informatique :

o o o o o o o o o o o o

existence dun document de rfrence ; fixation dorientations ; capacit dvolution ; lier le moyen terme et le court terme. Les objectifs et points de contrles : cohrence entre les objectifs du schma directeur et la stratgie de lentreprise ; processus d'tablissement et de validation du schma directeur ; analyse de lexistant ; dispositif de pilotage du schma directeur ; mthodes de suivi du schma directeur ; procdures dactualisation du schma directeur. Points de contrle CobiT PO 1 : dfinir un plan informatique stratgique. Exemples de missions daudit : audit dun schma directeur mi-parcours ; audit pralable un schma directeur.

L'audit de la fonction informatique

Ltat de lart : questions usuelles des demandeurs d'audit concernant la fonction informatique. Positionnement et structure de la fonction informatique. Dimension hommes et structures. Ncessit de cibler laudit.

o o o o o o o o o o o o

Les bonnes pratiques : relations entre la direction gnrale, la DSI et les utilisateurs ; clart des structures et des responsabilits ; existence de dispositifs de mesures ; comptences et qualifications du personnel. Les objectifs et points de contrles : rle des directions dans le pilotage des systmes dinformation ; ncessit davoir des politiques, des normes et des procdures ; responsabilit du service informatique : relations matrise duvre - matrise douvrage ; existence dune comptabilit analytique ou dun mcanisme de refacturation ; respect des dispositifs de contrle interne. Points de contrle CobiT PO 4 : dfinir les processus, lorganisation et les relations de travail. Exemples de missions : audit de lefficacit dun service informatique ; audit pour amliorer les relations avec les utilisateurs ; audit de la procdure de suivi des cots informatiques.

L'audit des projets informatiques

o o o o o o o o o o o o o o o o

Ltat de lart en matire de projets informatiques : la notion de projet, particularits des projets informatiques, valuation des risques lis aux projets informatiques, mettre en place un dispositif de management adapt, lutter contre le drapage des cots et des dlais, avoir un systme de pilotage efficace. Les bonnes pratiques : existence dune mthodologie de conduite des projets ; dcoupage efficace des projets ; respect des tapes et des phases du projet ; pilotage du dveloppement ; conformit des projets aux objectifs gnraux de lentreprise ; mettre en place une note de cadrage ; qualit des tudes amont : expression des besoins, cahier des charges ; importance des tests, notamment des tests utilisateurs. Les objectifs et points de contrles : valuation du processus de dveloppement ; existence de procdures, de mthodes et de standards ; intgration de la gestion de projet dans la gestion de portefeuille ; vrification de lapplication de la mthodologie ; validation du primtre fonctionnel ; grer les risques du projet. Points de contrle CobiT PO 10 : grer les projets. Exemples de missions daudit : audit dun grand projet la fin du cahier des charges ; audit dun projet de taille moyenne.

L'audit des tudes informatiques

Ltat de lart. Laudit des tudes informatiques nest pas laudit des projets. Un domaine dactivit htrogne. Les diffrents domaines possibles daudit des tudes.

o o o o o o o o o o o

Les bonnes pratiques : organisation de la fonction tudes ; mise en place doutils et de mthodes ; contrle de lactivit hors plan ; mise sous contrle de la maintenance ; suivi de lactivit dtudes. Les objectifs et points de contrles : valuer lorganisation de la fonction tudes ; respect des normes en matire de documentation ; contrle de la sous-traitance ; valuation de la qualit des livrables. Exemples de missions daudit : audit dun service dtudes de taille moyenne ; audit de la politique de maintenance.

L'audit de l'informatique des utilisateurs

Ltat de lart en matire dinformatique des utilisateurs. Un domaine trs vaste. Risques lis la dcentralisation. Particularits : le suivi des matriels et des logiciels. Procdures dacquisition et de gestion de parc. Respect des rgles de scurit. Les bonnes pratiques :

o o o o o o o o o o o o

instruction des demandes particulires ; suivi de lutilisation des logiciels ; formation des utilisateurs ; contrle de lauto-dveloppement. Les objectifs et points de contrles : qualit de larchitecture technique ; gestion des configurations ; analyse des demandes arrivant au help desk (incidents, difficults, assistances, etc.) ; existence de procdures dachats et dinventaires ; mesure du TCO ; apprciation de la qualit de service. Exemples de missions daudit : audit du cot de possession et recherche damliorations ; audit de la qualit de service.

L'audit de la production informatique

Ltat de lart. Domaine de linformatique de production. Missions et enjeux. Les particularits de la production. Le systme dinformation de la production. Impact de ces particularits sur son systme dinformation. Existence doutils de suivi de la production.

o o o o o o o o o o o o

Les bonnes pratiques : clart de lorganisation ; existence dun systme dinformation ddi la production ; mesure de lefficacit et de la qualit de service de la fonction production. Les objectifs et points de contrles : qualit de la planification de la production ; gestion des ressources ; existence de procdures permettant de fonctionner en mode dgrad ; gestion des incidents ; procdures de scurit et de continuit de service ; matrise des cots de la production. Points de contrle CobiT DS 13 (grer lexploitation) et DS 3 (grer la performance et la capacit). Exemples de missions daudit : audit de la gestion des incidents de gestion ; audit de la qualit de service de la production ; audit de loutsourcing dune application.

L'audit de la scurit informatique

Ltat de lart. Les risques lis la scurit des systmes dinformation, notamment sous Internet. Les risques particuliers lis Internet. Quatre notions fondamentales en matire de scurit : la menace, le facteur de risque, la manifestation du risque, la matrise du risque. Les facteurs de limitation des risques :

o o o o o o o o o o

existence dune politique du systme dinformation ; implication des utilisateurs ; comptence du personnel ; mthodes de travail et outils adapts aux objectifs ; outils efficaces dadministration et de gestion. Les objectifs et points de contrles : reprer les actifs informationnels de lentreprise ; identifier les risques ; valuer les menaces ; mesurer les impacts ; dfinir les parades. Points de contrle CobiT DS 5 : assurer la scurit des systmes. Rfrentiels spcifiques la scurit ISO 27002 et aussi ISO 27001.

o o

Exemples de missions daudit : audit de la scurit dune application ; audit de la scurit dun centre de production.

L'audit des applications oprationnelles

Ltat de lart. Ncessit dvaluer priodiquement les applications oprationnelles. Respecter les rgles de contrle interne. Apprciation de la contribution de lapplication lefficacit de l'entreprise. La traabilit des oprations. Une dmarche danalyse rigoureuse : les tests daudits. Lanalyse des donnes. Les bonnes pratiques :

o o o o o o o o o o o o o

conformit aux besoins et la documentation ; apprciation des performances de lapplication ; intgrit des donnes ; fiabilit des traitements ; respect de la confidentialit ; contrle de la disponibilit. Les objectifs et points de contrles : analyse de la conformit ; vrification des dispositifs de contrle des entres, des stockages, des sorties et des traitements ; analyse des erreurs ou des anomalies, valuation de la fiabilit des traitements ; mesure des performances ; valuation de la prennit de lapplication. Exemples de missions daudit : audit dune application comptable dans le cadre de la rvision des comptes ; audit dune application oprationnelle mi-vie.

La conduite d'une mission d'audit informatique

Prparation de la mission daudit informatique. Dfinition de la mission : rle et importance de lordre de mission. Les questions poses par les demandeurs daudit : rpondre objectivement aux questions poses.

o o o o o o

Les six phases de la mission daudit : ltablissement de la lettre de mission ; la planification de la mission : le choix de la dmarche ; la collecte des faits, la ralisation des tests, limportance des vrifications, se mfier des opinions ; les entretiens avec les audits. Les rgles de conduite de lauditeur. La tentation dlargir la mission. Le rle des faits, limportance des vrifications ; la rdaction du rapport daudit : contenu, plan, conseils concernant la rdaction. Proposer des recommandations oprationnelles ; la prsentation et la discussion du rapport. Btir un plan daction. Le suivi des recommandations et du plan daction.