Scribd
Importer
50 vues4 pages

Audit SI : Enjeux, Risques et Solutions

Le document traite de l'audit des systèmes d'information, en mettant l'accent sur la gestion des risques, la sécurité des données et l'importance de la gouvernance. Il aborde également des concepts clés tels que le schéma directeur, les politiques de sécurité, et les référentiels comme COBIT et ITIL. Enfin, il souligne les enjeux liés à la séparation des rôles et à l'importance de l'implication de la direction dans la gestion des systèmes d'information.

Transféré par

chouiekhanas
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
50 vues4 pages

Audit SI : Enjeux, Risques et Solutions

Le document traite de l'audit des systèmes d'information, en mettant l'accent sur la gestion des risques, la sécurité des données et l'importance de la gouvernance. Il aborde également des concepts clés tels que le schéma directeur, les politiques de sécurité, et les référentiels comme COBIT et ITIL. Enfin, il souligne les enjeux liés à la séparation des rôles et à l'importance de l'implication de la direction dans la gestion des systèmes d'information.

Transféré par

chouiekhanas
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Prise de notes AUDIT SI

Chapitre 1 : L’entreprise en crise et audit


Direction des Systèmes d'Information (DSI) : Dirige la gestion globale des systèmes
d'information au sein de l'organisation, jouant un rôle clé dans la coordination et la mise en
œuvre des solutions informatiques.
Responsable de la Sécurité des Systèmes d'Information (RSSI) : Chargé de la sécurité
informatique, ce professionnel est responsable de la protection des données et des systèmes
d'information contre les risques potentiels.
Le schéma directeur est un plan informatique élaboré en réponse aux exigences du directeur,
jouant un rôle essentiel dans l'alignement stratégique en traduisant la stratégie de l'entreprise
en un plan informatique cohérent.

Chapitre 2 : LES SYSTEMES D’INFORMATION : ENJEUX ET RISQUES


Site miroir : Représente une sauvegarde externe garantie, située dans un lieu sécurisé.
Site de secours : Correspond à un Plan de Continuité d'Activité (PCA), permettant de maintenir
les opérations en cas d'incident.
Il existe deux types de risques : le risque physique, lié à des événements naturels tels que les
tremblements de terre ou les inondations, et le risque logique de malveillance, qu'elle soit
interne (provenant des employés) ou externe.
Il est essentiel de soumettre les applications à des tests conformes à un cahier des charges
défini pour garantir leur bon fonctionnement.
La charte d'organisation est un document organisationnel regroupant un ensemble de règles
facilitant le fonctionnement de l'organisation.
La conception, également appelée modélisation, consiste en la création d'un schéma directeur
permettant la construction de l'application informatique.
Le PGI (Progiciel de Gestion Intégré) repose sur une seule base de données principale (base
donnée maîtresse), les autres bases étant des copies.
Le PSI (Politique de Sécurité Informatique) est un document détaillant l'ensemble des
mesures de sécurité mises en place pour garantir la sécurité des informations.
L'implication de la direction est cruciale pour le bon fonctionnement du système d'information,
assurant une vision stratégique et un soutien adéquat.

Etude de cas Audit SI -Corrigé Indicatif


Problème de séparation des rôles : M. Aloé assume à la fois les fonctions de directeur financier
et de directeur informatique, ce qui constitue un problème de niveau 3.
Les utilisateurs ont un accès à distance depuis n'importe quel ordinateur, ce qui pose un
problème. Le système d'information devrait être intégré uniquement aux ordinateurs de
travail.
L'antivirus est mis à jour tous les trois mois, ce qui est insuffisant. Il devrait être actualisé
chaque semaine.
Un seul serveur ne suffit pas ; il est nécessaire de créer une copie de sauvegarde ou d'avoir au
moins un site miroir.
Il est essentiel de définir une politique de gestion des droits d'accès. Toutes les personnes ne
devraient pas avoir un accès indiscriminé.
Pour assurer la sécurité, les sauvegardes doivent être stockées dans un lieu sécurisé et
climatisé.
Traitement informatique, peut être en temps réel (immédiat) ou en temps différé (ultérieur).
Une entreprise possédant cinq interfaces automatisées et une seule manuelle expose certains
risques, tels que des erreurs humaines, des problèmes de sécurité des données et un manque de
traçabilité.
Problème de sous-traitance : Il est nécessaire de renégocier les contrats.
Procédures de sauvegardes correctes, cependant, les sauvegardes ne sont pas effectuées en
double ni régulièrement. Il est également nécessaire d'établir des fichiers logs pour détecter les
personnes qui se sont connectées.
Quatre applications interfacées entre elles (système spaghetti) présentent des risques, une
architecture complexe. Il serait préférable d'opter pour un ERP.
La gouvernance et la DSI sont deux concepts différents.

Chapitre 3 : Concepts de base en informatique


Le Cloud implique la location et le stockage des données à distance.
Carte réseau : Facilite l'accès au réseau, permettant à un appareil de se connecter et de
communiquer avec d'autres dispositifs.
Serveur : Son rôle principal est de partager des ressources entre plusieurs utilisateurs, assurant
ainsi des fonctionnalités centralisées.
Serveur de base de données : Répond à des requêtes textuelles, permettant aux utilisateurs
d'interagir avec la base de données en envoyant des commandes textuelles pour récupérer,
insérer, mettre à jour ou supprimer des données.

Chapitre 4 : Concepts de base sur les SI à auditer


Urbanisme : Similaire à l'architecture dans le domaine des systèmes, il s'attache à concevoir
la structure globale d'un système.
Interopérabilité : Capacité de deux applications distinctes à communiquer efficacement entre
elles, permettant l'échange de données et assurant une collaboration fluide même si elles ont
des origines différentes.
Les documents à auditer comprennent le schéma directeur, le cahier des charges, les contrats
de sous-traitance et le Plan de Continuité d'Activité (PCA).
Lors de l'audit SI, l'auditeur évalue le matériel, les logiciels, les ressources humaines (y compris
la DSI, la MOA et la MOE) ainsi que l'aspect organisationnel. Cette évaluation est basée sur
ses connaissances et sur le référentiel en vigueur, tel que COBIT.

Chapitre 5 : Typologie d’Audit d’un SI


Les besoins métiers sont les spécifications fonctionnelles.
La différence entre propriétaire et administrateur est que le propriétaire connaît l'application
et son historique, mais ne sait pas comment programmer, tandis que l'administrateur est un
paramétreur.
La position optimale pour la DSI est de se placer directement sous la direction générale.
Le meilleur schéma dépend de la taille de l'entreprise. Par exemple, dans de grandes entreprises,
la direction générale supervise à la fois la Maîtrise d'Ouvrage (MOA) et la Maîtrise d'Œuvre
(MOE), comme illustré dans le schéma à la diapositive 10.

LES REFERENTIELS
L'une des responsabilités de la DSI est d'auditer les processus informatiques en fonction de
COBIT.
Comment la gouvernance du SI impacte-t-elle le fonctionnement d'un SI ? En alignant les
objectifs informatiques sur la stratégie globale de l’entreprise. (Alignement stratégique =>j’ai
donc un schéma directeur)
COBIT a 4 domaines (PO, DS, AI, SE) et 34 processus au total :
- Planifier et Organiser (PO)
- Délivrer et Supporter (DS)
- Acquérir et Implémenter (AI) - Trouver une solution informatique
- Surveiller et Évaluer (SE)
Notion RACI (Responsabilité, Autorité, Consulter, Informer) : Un cadre pour clarifier les rôles
et responsabilités de chaque partie prenante.
Le référentiel ITIL (Information Technology Infrastructure Library) s'adresse aux spécialistes.
Dans ITIL, le cycle de vie des services est composé de cinq phases :
1. Service Strategy SS dans ITIL est similaire à Planifier et Organiser (PO) dans COBIT.
2. Service Design SD (La Conception de Services dans ITIL, qui ne se trouve pas dans
COBIT)
3. Service Transition ST
4. Service Operation SO
5. Continual Service Improvement CSI

Vous aimerez peut-être aussi