Sie sind auf Seite 1von 28

Master: Management Stratégique et Logistique

Module: Système d’information

Contrôle et Audit des systèmes


informations

Réalisé par: ESSADIK Kawtar Sous la direction de:


EL YOUNSI Soukaina Pr. AJERAM Malika
INTRODUCTION
PLAN
AXE 1
Le cadre conceptuel

AXE 2
La sécurité du système d’information

AXE 3
La démarche de l’audit SI

AXE 4
Les référentiels de l’audit SI
AXE 1
Le cadre conceptuel
Qu’est ce qu’un système d’information ?

• « Un système d’information est un ensemble organisé de ressources


(matériel, logiciel, personnel, données, procédures), permettant d’acq
uérir, de traiter, de stocker, de communiquer des informations dans d
es organisations »

-Reix
Contrôle vs Audit:
• L’audit des systèmes d’information consiste à une intervention réalisée par une
personne indépendante et extérieure au service audité, qui permet d’analyser
tout ou une partie d’une organisation informatique, d’établir un constat des
points forts et des points faibles et dégager ainsi les recommandations
d’amélioration.

• Le contrôle des systèmes d’information est une procédure ou une politique qui f
ournit une assurance raisonnable que le système d’information utilisé par une org
anisation fonctionne comme prévu, que les données sont fiables et que l'organisa
tion est conforme aux lois et aux réglementations applicables.
Objectifs:
• Le plus souvent, les objectifs de l'audit SI visent à prouver que les cont
rôles internes existent et fonctionnent comme prévu pour minimiser l
es risques métier.

• Ces objectifs d'audit comprennent la garantie du respect des exigence


s légales et réglementaires, ainsi que la confidentialité, l'intégrité et la
disponibilité des systèmes d'information et des données.
AXE 02
La sécurité des systèmes d’information
Qu’est ce que la sécurité d’un système d’inform
ation ?

• «  la sécurité d’un système d’information est sa non-vulnérabilité à d


es accidents ou à des attaques volontaires, c’est-à-dire l’impossibilité
que ces agressions produisent des conséquences graves à l’état du sy
stème ou son fonctionnement. »

-Jean Pierre Magnier


Les critères de la sécurité des systèmes d’info
rmation

Confidentialité Intégrité Disponibilité Traçabilité Règlementation


Le processus de la sécurité des systèmes d’in
formation
• la sécurité informatique est un processus en perpétuelle évolution.

• En général, la sécurité informatique s’appuie sur le principe de la roue de Demin


g ou la méthode PDCA pour instaurer une méthode de management de risques
informatiques au sein d’un organisme.

• Il permet de définir la démarche suivie pour l’implémentation d’une politique d


e sécurité efficace et l’inscrire dans un contexte d’amélioration continue afin de
garantir une évolution sereine et maîtrisée d’un système d’information donné.
• Identifier les • Mise en place
risques et des mesures de
élaborer les sécurité
objectifs à
atteindre en
terme de
sécurité
Plan Do

Act Check
• Analyser et • Surveiller et
améliorer la vérifier
sécurité l’efficacité de la
sécurité en
place
AXE 03
La démarche de l’Audit SI
La démarche de l’audit SI

• Une mission d'audit informatique se prépare. Il convient de déterminer un domai


ne d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'e
ffectuer un pré-diagnostic afin de préciser les questions dont l'audit va traiter. Cel
a se traduit par l'établissement d'une lettre de mission détaillant les principaux p
oints à auditer. Pour mener à bien l'audit informatique il est recommandé de suiv
re les six étape suivantes :
• Définition de la mission : Établissement de la lettre de mission
1

• La planification de la mission
2

• La collecte des faits, la réalisation de tests,...


3

• Entretiens avec les audités


4

• Rédaction du rapport final


5

• Présentation et discussion de ce rapport


6
1- Établissement de la lettre de mission:

Ce document est rédigé et signé par le demandeur d'audit et permet de mandat


er l'auditeur. Il sert à identifier la liste des questions que se posent le demandeu
r d'audit. Très souvent l'auditeur participe à sa rédaction.

2- La planification de la mission :

 Permet de définir la démarche détaillée qui sera suivie. Elle va se traduire par un
plan d'audit ou une proposition commerciale. Ce document est rédigé par
l'auditeur et il est soumis à la validation du demandeur d'audit. Une fois le
consensus obtenu il est possible de passer à la troisième étape.
3- La collecte des faits, la réalisation de tests:

Dans la plupart des audits c'est une partie importante du travail effectué par les a
uditeurs. Il est important d'arriver à dégager un certain nombre de faits indiscuta
bles.

4- les entretiens avec les audités :

Permettent de compléter les faits collectés grâce à la prise en compte des


informations détenues par les opérationnels. Cette étape peut être délicate et
compliquée. Souvent, les informations collectées auprès des opérationnels
ressemblent plus à des opinions qu'à un apport sur les faits recherchés.
5- la rédaction du rapport d'audit :

C’est un long travail qui permet de mettre en avant des constatations faites par l'a
uditeur et les recommandations qu'il propose.

6- Présentation et discussion de ce rapport :

La présentation et la discussion du rapport d'audit au demandeur d'audit, au


management de l'entreprise ou au management de la fonction informatique.
• Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments fon
damentaux pour le déroulement de sa mission mais celle-ci est encore plus béné
fique pour l'organisation.
En effet, les acteurs audités ne sont pas passifs. Ils sont amenés à porter une réfle
xion sur leurs méthodes de travail et à s’intéresser au travail des autres acteurs d
e l'entité. Cela conduit à une cohésion d'équipe et à un apprentissage organisatio
nnel. Il s'agit d'un facteur positif car en cas de changement les acteurs seront moi
ns réticents.
AXE 04
Les référentiels de l’Audit SI
Les référentiels d’Audit SI :

Le référentiel La norme ISO,


Le référentiel COBIT Le référentiel ITIL
CMMI 27002

« Control Objectives «  Information


for Information and Technology
related Technology Infrastructure
», ou « objectifs de Capability Maturity Library » ou
Un code pratique
contrôle de Model Integration. « Bibliothèque pour
l'information et des l'infrastructure des
technologies technologies de
associées » l'information » 
le référentiel COBIT:
• COBIT fournit aux gestionnaires, auditeurs et utilisateurs de Technologies de l’Info
rmation (TI), des indicateurs, des processus et des meilleures pratiques pour les ai
der à maximiser les avantages issus du recours à des technologies de l'informatio
n et à l'élaboration de la gouvernance et du contrôle d'une entreprise.
• Il les aide à comprendre leurs systèmes de TI et à déterminer le niveau de sécurit
é et de contrôle qui est nécessaire pour protéger leur entreprise, et ceci par le bia
is du développement d’un modèle de gouvernance IT tel que CobiT.
• Ainsi, CobiT fournit des indicateurs clés de performance et des facteurs clés de su
ccès pour chacun de ses processus.
• Le modèle CobiT se focalise sur ce que l’entreprise a besoin de faire et non sur la f
açon dont elle doit le faire.
le référentiel CMMI:
• CMMI est un référentiel d’évaluation pour le développement de systèmes, de produits matériels
et/ ou logiciels.
• Ce référentiel a été développé en 1987 et mis au point par le SEI (Software Engineering Institute)
C’est un référentiel de bonnes pratiques orienté vers le développement logiciel et la gestion de pr
ojet afférente. Il représente une avancée importante dans le monde de l’ingénierie des systèmes
d’information.

• CMMI vise à :
 Améliorer la qualité du produit livré et la productivité du projet
 Augmenter la satisfaction du client en répondant mieux à ses exigences
 Réduire les cout et respecter les délais
 Une meilleur gestion des risques
le référentiel ITIL:
• ITIL est un référentiel de bonnes pratiques qui permet au sein d’une entreprise à
améliorer l’organisation des SI en :
Facilitant le dialogue entre les différentes acteur
Réutilisant les pratique ayant déjà été testées
Gérant les fonctions qui constitue l’ensemble de l’entreprise par la meilleure prati
que
Répondant aux besoins d’un utilisateur dans la réalisation de ses activités propre
à son métier
Favorisant l’efficacité dans l’utilisation des SI
La norme ISO,27002:
• ISO / IEC 27002 est plus un code de pratique, Elle présente une série de contrôles qui sug
gèrent de tenir compte des risques de sécurité des informations relatives à la confidential
ité, l'intégrité et les aspects de disponibilité.
• Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de séc
urité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour ori
enter l’entreprise.
CONCLUSION
Bibliographie:
• GTAG 2ème édition, Les contrôles et le risques des systèmes d'informations
• REIX, Système d’information et management des organisations Ed 6
• RAPHAEL Yende, Support de cours de l’Audit des SI 2018
MERCI POUR VOTRE
ATTENTION

Das könnte Ihnen auch gefallen