[PDF] GUIDE DAUDIT DES SYSTEMES DINFORMATION

View - Download GUIDE DAUDIT DES SYSTEMES DINFORMATION

Previous PDF

Next PDF

Guide systèmes

Version 1.0 - juin 2014

IȇMXGLP GHV 6Ζ ¢ OȇRŃŃMVLRQ GH PLVVLRQV m J"Q"UMOLVPHV } IȇaXGLP GX SLORPMJH GHV V\VPªPHV GȇLQIRUPMPLRQ

Iȇaudit de sécurité

Iȇaudit de la production informatique

Iȇaudit des applications informatiques en service Iȇaudit du support utilisateurs et de la gestion du parc

Iȇaudit de la fonction " Étude »

Iȇaudit des projets

Iȇaudit des marchés spécifiques au domaine informatique p. 19 p. 37 p. 43 p. 51 p. 59 p. 67 p. 69 p. 73 p. 91 Parmi les thèmes daudit abordés dans ce guide :

Guide pratique du CHAI

PrĠcaution concernant lutilisation du prĠsent document

Le prĠsent guide a ĠtĠ ĠlaborĠ par un groupe de traǀail interministĠriel, sous lĠgide du ComitĠ dharmonisation de laudit interne (CHAI). Il est

le fruit de plusieurs mois de travaux collectifs, de partage d'expériences et de mise en commun des meilleures pratiques ayant cours dans les

corps de contrôle ou les missions ministĠrielles daudit interne. Son objet est au premier chef de faciliter lharmonisation de la méthodologie

de travail des auditeurs internes et il se rapporte à ce titre à la partie " dispositions recommandées ͩ du cadre de rĠfĠrence de laudit interne

Ce document est une première version, actuellement en cours dexpérimentation par les praticiens de laudit interne en fonction dans les

différents ministères.

comme le seul référentiel à la lumière duquel les auditeurs auront à former leur opinion globale et porter leur jugement professionnel dans le

domaine considéré.

Ce document a été produit dans le cadre dun groupe de traǀail du ComitĠ dharmonisation de laudit interne

(CHAI) animé par Marcel DAVID (CGA) composé de :

™ Anne AUBURTIN (IGAS),

™ Patrick BADARD (SAE),

™ Simon BARRY (CGEFI),

™ Philippe BELLOSTA (DGFIP),

™ Pierre BOURGEOIS (IGA),

™ Luc CHARRIÉ (CHAI),

™ Jean-Pierre DALLE (IGA),

™ Nicole DARRAS (CGEDD),

™ Rémy MAZZOCCHI (DISIC),

™ Hervé PEREZ (CHAI),

™ Philippe PERREY (IGAENR),

™ Jean-François PICQ (IGAENR),

™ Clément REMARS (CGA).

1

SOMMAIRE

Introduction ............................................................................................................................................................................................................... 5

1. Les systèmes informatiques : enjeux et risques ............................................................................................................................................. 7

1.1. Le système informatique .............................................................................................................................................................................................. 7

1.1.1. Définition ...................................................................................................................................................................................................................................... 7

1.1.1.1. ȱȱȱȱȱȂ ................................................................................................................................................................................................... 7

1.1.1.2. ȱȱȱȂȱȱ ........................................................................................................................................................................................ 9

1.2. Les risques informatiques.......................................................................................................................................................................................... 13

1.2.1. Généralités .................................................................................................................................................................................................................................. 13

1.2.2. Les principaux risques informatiques ..................................................................................................................................................................................... 13

2. ȱȱȱȱȂ ............................................................................................................................................................ 19

2.1. ȂȱȱȱȱȂȱȱȱȍ généralistes »....................................................................................................................................... 19

2.1.1. ȂȱȂȱ ....................................................................................................................................................................................................... 19

2.1.2. Les audits de processus ............................................................................................................................................................................................................. 21

2.1.3. Les audits de régularité ............................................................................................................................................................................................................. 23

2.1.4. Les audits des fonctions externalisées ..................................................................................................................................................................................... 25

2.1.5. Les audits de projets non SI ...................................................................................................................................................................................................... 27

2.2. ȱȱȂȱȱȂȱȱȱȱȱȱ ..................................................................................................... 29

2.2.1. ȱȱȂ ............................................................................................................................................................................................................ 29

2.2.2. Les audits de projets informatiques ........................................................................................................................................................................................ 30

2.2.3. Les audits de sécurité ................................................................................................................................................................................................................ 31

2.2.4. Les audits de qualité des données ........................................................................................................................................................................................... 32

2.2.5. Les audits de régularité spécifiques ........................................................................................................................................................................................ 34

3. ȱȱȱȱȱȱȱȂȱȱ .......................................................................................... 35

3.1. ȱȱȱȱȱȂ ...................................................................................................................................................... 37

2

3.2. Audit de sécurité .......................................................................................................................................................................................................... 43

3.3. Audit de la production informatique ...................................................................................................................................................................... 51

3.4. Audit des applications informatiques en service .................................................................................................................................................. 59

3.5. Audit du support utilisateurs et de la gestion du parc ......................................................................................................................................... 67

3.6. Audit de la fonction Étude ......................................................................................................................................................................................... 69

3.7. Audit des projets ......................................................................................................................................................................................................... 73

3.7.1. Objectifs et enjeux du projet ..................................................................................................................................................................................................... 73

3.7.2. ȱȂȱȱȱȱ ..................................................................................................................................................................... 74

3.7.3. Planification ................................................................................................................................................................................................................................ 75

3.7.4. Instances de pilotage ................................................................................................................................................................................................................. 76

3.7.5. Méthodes et outils ...................................................................................................................................................................................................................... 78

3.7.6. Plan assurance qualité ............................................................................................................................................................................................................... 79

3.7.7. Conception générale et analyse ................................................................................................................................................................................................ 80

3.7.8. Conception détaillée .................................................................................................................................................................................................................. 81

3.7.9. Développement, réalisation ou paramétrage ......................................................................................................................................................................... 82

3.7.10. Qualification : test/recette ......................................................................................................................................................................................................... 83

3.7.11. ȱȱȱȱȱȱ........................................................................................................................................................................... 85

3.7.12. Documentation ........................................................................................................................................................................................................................... 87

3.7.13. Rôles et responsabilités ............................................................................................................................................................................................................. 88

3.7.14. Gestion des évolutions .............................................................................................................................................................................................................. 89

3.7.15. Mise en production .................................................................................................................................................................................................................... 90

3.8. Audit des marchés spécifiques au domaine informatique .................................................................................................................................. 91

3.8.1. ȱȱȱȂȱ ............................................................................................................................................................................. 92

3.8.2. Étude des ȱȂȱȱȱȱȱȱȱȂȱ ................................................................................................. 94

3.8.3. ȱȱȱȂȱȱȱȱȱȱȱȂȱȱ .................................................................................... 95

3.8.4. ȱȱȱȂȱȱȱȱȱȱǻǼ .............................................................................................................. 96

3.8.5. Étude des marchés ayant pour objet la fourniturȱȂȱȱ ............................................................................................................... 97

4. Dictionnaire des expressions spécifiques et acronymes ............................................................................................................................. 99

4.1. Dictionnaire des expressions spécifiques du domaine ........................................................................................................................................ 99

3

4.1.1. Gouvernance du SI .................................................................................................................................................................................................................... 99

4.1.2. Schéma directeur et plan stratégique informatique .............................................................................................................................................................. 99

4.1.3. ȱȂȱȱȱǻǼ ............................................................................................................................................................................................. 99

4.1.4. ȱȂȱǻǼȱȱȱȂ .................................................................................................................................................................. 100

4.1.5. Propriétaire (business ownerǼȱȂȱȱȱȱ ......................................................................................................................................... 101

4.1.6. Base de données maîtresse ...................................................................................................................................................................................................... 101

4.1.7. Politique de sécurité ................................................................................................................................................................................................................ 102

4.1.8. ȱȂ .................................................................................................................................................................................................................. 102

4.1.9. ȱȱȱǻǼǰȱȂȱȱȱuction (exploitation)....................................................................................... 103

4.1.10. Recette........................................................................................................................................................................................................................................ 104

4.1.11. Convention et contrats de service (SLA / OLA) ................................................................................................................................................................... 104

4.1.12. ȱȱȱȱȂȱȱȱȱȱȱȂ .......................................................................................................................................... 104

4.1.13. Infogérance et outsourcing ..................................................................................................................................................................................................... 105

4.1.14. Informatique en nuage, ou Cloud Computing .................................................................................................................................................................... 105

4.1.15. Datacenter ................................................................................................................................................................................................................................. 106

4.1.16. Maintenance applicative ou corrective, TMA, TME ........................................................................................................................................................... 106

4.1.17. Progiciel de gestion intégrée Ȯ PGI (ERP) ............................................................................................................................................................................. 107

4.2. Dictionnaire des acronymes .................................................................................................................................................................................... 109

ȱȂȱȱȱȂȱȱȱȂ .............................................................................................................................. 111

4 5

INTRODUCTION

Lessentiel des traǀaudž daudit relatifs au systğme dinformation ne nécessite pas de connaissances très approfondies en informatique mais Ce guide sadresse toutefois ă des auditeurs a minima aǀertis, cest-à-dire ayant suivi une session de sensibilisation ou ayant déjà effectué une ou deux missions daudit dans le domaine en compagnie dun auditeur spécialisé dans le domaine des SI. La sensibilisation pourra, notamment, sappuyer sur des guides de formation mis ă disposition par le CHAI. Il propose dans une première partie une information générale sur les facteurs clĠs permettant damĠliorer la performance de la fonction et du système informatique, en les articulant avec les principaux risques du domaine. Il décrit en deuxième partie, dune part, la dimension informatique des principaux audits généralistes (audit en organisation, audits de processus, etc.) et, dautre part, les aspects plus gĠnĠraudž des audits ǀisant informatique, des projets, etc.). Il présente en troisième partie les points ă aborder en fonction de laspect identifiant les principaux points de contrôle correspondant. Ce tableau doit permettre à un auditeur non spécialiste des SI de percevoir le contenu dun thğme daudit donnĠ, et ă un auditeur spĠcialisĠ de ne rien oublier. Cependant, ce guide est orientĠ ǀers laudit de structures de taille attentes à la taille et audž moyens de lorganisation auditĠe, en particulier Enfin, un dictionnaire permet de revenir sur certaines notions important de veiller à la clarté des termes et notions utilisés dans les documents contractuels. En complément de ce guide, il est à noter que les auditeurs ministériels peuǀent sappuyer en matiğre daudit des SI sur la direction des systğmes informatiques est, en effet, lune de ses missions essentielles. 6 7

1. LES SYSTEMES INFORMATIQUES :

ENJEUX ET RISQUES

1.1. LE SYSTEME INFORMATIQUE

1.1.1. DEFINITION

représente l'ensemble des logiciels et matériels participant au stockage, à la gestion, au traitement, au transport et à la diffusion de l'information au sein de l'organisation. La fonction informatique ǀise ă fournir ă ces ressources lorganisation. Elle comprend donc, outre le système informatique, les personnes, processus, ressources financières et informationnelles qui y contribuent. externes à lorganisation, afin que tous ceux qui ont à prendre des décisions disposent des éléments leur permettant de choisir laction la plus appropriée au moment adéquat. sur des ressources informatiques. En raison de la confusion fréquente entre ces notions, les commanditaires attendent parfois des auditeurs SI Un système informatique est constitué de ressources matérielles et logicielles organisées pour collecter, stocker, traiter et communiquer les informations. Les ressources humaines nécessaires à son fonctionnement (par exemple les administrateurs) sont parfois incluses dans ce périmètre. Le système informatique ne doit pas être conçu comme une fin en soi : il fondamental : désormais, un système informatique est un facteur déterminant de la performance (efficacité, efficience, maîtrise des inadapté ou mal maîtrisé peut être une source inépuisable de difficultés. Les développements suivants exposent, de manière synthétique, les principaux facteurs clés de la performance du SI et les risques spécifiques qui pèsent sur son fonctionnement.

1.1.1.1. LA PERFORMANCE DU SI DE LTAT

Le dĠǀeloppement de serǀices pertinents pour le citoyen et lentreprise, la modernisation des outils mis ă disposition des agents, louǀerture des circulaire, le 7 mars 2013, le cadre stratégique commun du système dinformation de ltat ĠlaborĠ par la direction interministĠrielle des 8 portĠe par les systğmes dinformation ministĠriels et interministĠriels. Cette ambition se décline en trois axes stratégiques :

1. Le SI doit créer une valeur croissante pour ses utilisateurs. À cet

effet, les directions métiers doivent mieudž sappuyer sur les de celle-ci et la qualité du service rendu par les agents publics. Le systğme dinformation doit ġtre mieudž structuré et utilisé pour développer les relations numériques entre les métiers et les usagers.

2. Le SI de ltat doit ġtre construit de faĕon efficiente.

des composantes de ce SI doivent être réduits.

3. La fonction SI de ltat doit ġtre pilotĠe. Les ǀisions ministĠrielles

des SI, et particulièrement leur alignement avec la stratégie des mĠtiers, doiǀent sappuyer sur une ǀision transversale du système dinformation de ltat afin de concilier enjeudž mĠtiers et enjeudž globaux des politiques publiques. En particulier, certains enjeux des chantiers essentiels pour la rĠussite de lĠǀolution du systğme ministérielles. Lurbanisation du SI de ltat est loutil pour le pilotage du patrimoine SI et une aide à la décision pour toutes les actions de transformation. Le cadre commun durbanisation (CCU) du SI de ltat constitue un des éléments du corpus réglementaire applicable pour la construction, la gestion, ledžploitation et la transformation du SI de ltat, ă tous les niveaux. Ce corpus se compose de documents de politique globale applicables ă lensemble du SI de ltat ͗ de SI, la politique de sécurité, définissant les règles générales de sécurité, le cadre commun durbanisation dĠfinissant la démarche durbanisation, le cadre commun dinteropérabilité. Ce corpus comprend également des documents réglementaires territoriales, organismes de la sphère sécurité et protection sociale), dĠfinis par lordonnance nΣ2005-1516 du 8 décembre 2005 : le référentiel gĠnĠral dinteropérabilité, le référentiel général de sécurité, le référentiel gĠnĠral daccessibilitĠ pour ladministration. Il comprend également des documents à portée ministérielle : un cadre stratégique ministériel (ou schéma directeur), déclinant ministère ; un cadre de cohérence technique : normes, standards et règles darchitecture applicables localement ; 9 une méthode de conduite de projet qui définit et structure les le pilotage des projets de transformation du SI pour un ministère (ou une administration) ;

1.1.1.2. LES FACTEURS CLEFS DUN SI PERFORMANT

Un SI idéal :

objectifs des métiers ; est en conformité avec les obligations légales ; est sécurisé ; est facile à utiliser ; est fiable ; est adaptatif ; est pérenne ; est disponible ; est efficient ; respecte le plan durbanisme ; pratiques de la commande publique. Les principaudž facteurs clefs dun SI performant sont les suivants : une forte implication de la direction dans la gestion du SI. Elle doit notamment superviser la gestion du SI par la mise en place des outils de pilotage suivants : un schéma directeur informatique (SDI), qui définit la stratégie informatique pluriannuelle, dont la validation informatique et la stratĠgie de lentitĠ ; des documents dorganisation de la gouvernance du SI, mis à jour régulièrement ; des comités de pilotage informatiques réguliers (suivi des incidents, suivi des projets, suivi des budgets, etc.), au sein desquels la direction doit être représentée à bon niveau ; un portefeuille des projets SI et des analyses de la valeur des systğmes dinformation ; une politique de sécurité (voir ci-après), approuvée au plus haut niveau de la direction ; des comités de sécurité réguliers, au sein desquels la direction doit être représentée à bon niveau ; une cartographie des applications et systèmes informatiques à jour, incluse dans une politique 10quotesdbs_dbs11.pdfusesText_17

[PDF] fiche produit alimentaire cap

[PDF] fiche produit alimentaire exemple

[PDF] fiche produit bac pro vente

[PDF] fiche produit cap vente

[PDF] fiche produit commerce

[PDF] fiche produit cosmétique exemple

[PDF] fiche produit exemple bac pro commerce

[PDF] fiche produit exemple bac pro vente

[PDF] fiche produit exemple pdf

[PDF] fiche produit exemple word

[PDF] fiche produit forever pdf

[PDF] fiche produit marketing

[PDF] fiche produit marketing exemple

[PDF] fiche produit vente

[PDF] fiche produit vierge