GUIDE DAUDIT DES SYSTEMES DINFORMATION PDF

CARTOGRAPHIE DU SYSTÈME DINFORMATION - lANSSI

Applicatif regroupant les données sur les utilisateurs ou équipements informatiques de l'entreprise et permettant leur administration. SIEM. Security

Urbanisation dun système dinformation et intégration des données

8 nov. 2017 ... informatique CNAM a été réalisé au sein du Pôle Applicatif ... (cartographie des processus cartographie fonctionnelle

Plan Stratégique Informatique

1 sept. 2011 Une cartographie applicative pour mieux maîtriser les évolutions du SI. Une trajectoire d'évolutions applicatives alignée sur l'arrivée des.

Chapitre 4

Architecture applicative existante : Bilan. Cette cartographie applicative montre: Les différents applicatifs composant le système informatique actuel. Sa

La cartographie outil de pilotage de lévolution des systèmes d

Elle répond à la question « quoi ? » sans tenir compte de la dynamique des processus. Cartographie applicative : Elle décrit les applications informatiques

FRN-MEGA Architecture.indd

informatique. Présentation de MEGA Architecture. MEGA Architecture assure la • Cartographie du parc applicatif avec répartition géographique des.

Centre Hospitalier de Rouffach - Schéma directeur du système d

7 janv. 2016 Le schéma ci-dessous représente la cartographie applicative en place par grands domaines ... informatique. 5.1 PRINCIPES D'URBANISATION. L ...

Cartographie des processus et urbanisation des SI

Le Système Informatique (I.T.) est l'ensemble des actifs matériels et Urbanisation Applicative : ex. la formation. Direction du Numérique. Page 21 ...

Conception architecture et urbanisation des systèmes dinformation

18 nov. 2014 Cartographie de l'architecture applicative (Figure. 15c). L'architecture applicative est une vue informatique et dynamique du système d ...

Rémy Courdier Urbanisation des Systèmes dinformations

données très bien définis. Page 42. SI & Urbanisme des SI. 42. Rémy Courdier. Exemple de cartographie applicative - Source : J. LASSAUX Urbanisation d'un SI

CARTOGRAPHIE DU SYSTÈME DINFORMATION - lANSSI

Néanmoins les plus flexibles peuvent s'interfacer avec des outils de collecte informatique (outil de gestion de parc

Conception architecture et urbanisation des systèmes dinformation

d'information / Informatique (applications + architecture technique) L'architecture applicative est décrite par la cartographie de.

Urbanisation dun système dinformation et intégration des données

Nov 8 2017 Cartographie applicative : c'est la description des applications informatiques et leur organisation. Cette cartographie cherche à répondre à ...

Guide méthodologique pour lauditabilité des systèmes dinformation

exemple de cartographie applicative est fourni dans la fiche de prise de La prise en compte de l'environnement informatique lors de l'audit des comptes ...

La cartographie outil de pilotage de lévolution des systèmes d

Elle répond à la question « quoi ? » sans tenir compte de la dynamique des processus. Cartographie applicative : Elle décrit les applications informatiques

Plan Stratégique Informatique

Sep 1 2011 1.1 Une cartographie applicative pour mieux maîtriser les évolutions du SI. ... Contexte et objectifs du Plan Stratégique Informatique.

NFE107 - Vision Informatique Logique - Architecture Applicative - v1.0

Cours U&ARSI 5 - Vision Informatique Logique -. Architecture Applicative - v1. La cartographie applicative des flux donne une vision statique du système.

Rémy Courdier Urbanisation des Systèmes dinformations

Rupture de la chaîne informatique : les échanges entre applications ne sont Exemple de cartographie applicative - Source : J. LASSAUX Urbanisation ...

GUIDE DAUDIT DES SYSTEMES DINFORMATION

Jul 3 2015 une cartographie des applications et systèmes informatiques à jour

Annexe 3 - Description du système informatique de production

rubrique Systèmes d'Information (en particulier la Cartographie applicative). D'autres informations sont disponibles sur le site ainsi que sur le site de

Guide systèmes

Version 1.0 - juin 2014

IȇMXGLP GHV 6Ζ ¢ OȇRŃŃMVLRQ GH PLVVLRQV m J"Q"UMOLVPHV } IȇaXGLP GX SLORPMJH GHV V\VPªPHV GȇLQIRUPMPLRQ

Iȇaudit de sécurité

Iȇaudit de la production informatique

Iȇaudit des applications informatiques en service Iȇaudit du support utilisateurs et de la gestion du parc

Iȇaudit de la fonction " Étude »

Iȇaudit des projets

Iȇaudit des marchés spécifiques au domaine informatique p. 19 p. 37 p. 43 p. 51 p. 59 p. 67 p. 69 p. 73 p. 91 Parmi les thèmes d'audit abordés dans ce guide :

Guide pratique du CHAI

PrĠcaution concernant l'utilisation du prĠsent document

Le prĠsent guide a ĠtĠ ĠlaborĠ par un groupe de traǀail interministĠriel, sous l'Ġgide du ComitĠ d'harmonisation de l'audit interne (CHAI). Il est

le fruit de plusieurs mois de travaux collectifs, de partage d'expériences et de mise en commun des meilleures pratiques ayant cours dans les

corps de contrôle ou les missions ministĠrielles d'audit interne. Son objet est au premier chef de faciliter l'harmonisation de la méthodologie

de travail des auditeurs internes et il se rapporte à ce titre à la partie " dispositions recommandées ͩ du cadre de rĠfĠrence de l'audit interne

Ce document est une première version, actuellement en cours d'expérimentation par les praticiens de l'audit interne en fonction dans les

différents ministères.

comme le seul référentiel à la lumière duquel les auditeurs auront à former leur opinion globale et porter leur jugement professionnel dans le

domaine considéré.

Ce document a été produit dans le cadre d'un groupe de traǀail du ComitĠ d'harmonisation de l'audit interne

(CHAI) animé par Marcel DAVID (CGA) composé de :

Anne AUBURTIN (IGAS),

Patrick BADARD (SAE),

Simon BARRY (CGEFI),

Philippe BELLOSTA (DGFIP),

Pierre BOURGEOIS (IGA),

Luc CHARRIÉ (CHAI),

Jean-Pierre DALLE (IGA),

Nicole DARRAS (CGEDD),

Rémy MAZZOCCHI (DISIC),

Hervé PEREZ (CHAI),

Philippe PERREY (IGAENR),

Jean-François PICQ (IGAENR),

Clément REMARS (CGA).

SOMMAIRE

Introduction ............................................................................................................................................................................................................... 5

1. Les systèmes informatiques : enjeux et risques ............................................................................................................................................. 7

1.1. Le système informatique .............................................................................................................................................................................................. 7

1.1.1. Définition ...................................................................................................................................................................................................................................... 7

1.1.1.1. ȱȱȱȱȱȂ ................................................................................................................................................................................................... 7

1.1.1.2. ȱȱȱȂȱȱ ........................................................................................................................................................................................ 9

1.2. Les risques informatiques.......................................................................................................................................................................................... 13

1.2.1. Généralités .................................................................................................................................................................................................................................. 13

1.2.2. Les principaux risques informatiques ..................................................................................................................................................................................... 13

2. ȱȱȱȱȂ ............................................................................................................................................................ 19

2.1. ȂȱȱȱȱȂȱȱȱȍ généralistes »....................................................................................................................................... 19

2.1.1. ȂȱȂȱ ....................................................................................................................................................................................................... 19

2.1.2. Les audits de processus ............................................................................................................................................................................................................. 21

2.1.3. Les audits de régularité ............................................................................................................................................................................................................. 23

2.1.4. Les audits des fonctions externalisées ..................................................................................................................................................................................... 25

2.1.5. Les audits de projets non SI ...................................................................................................................................................................................................... 27

2.2. ȱȱȂȱȱȂȱȱȱȱȱȱ ..................................................................................................... 29

2.2.1. ȱȱȂ ............................................................................................................................................................................................................ 29

2.2.2. Les audits de projets informatiques ........................................................................................................................................................................................ 30

2.2.3. Les audits de sécurité ................................................................................................................................................................................................................ 31

2.2.4. Les audits de qualité des données ........................................................................................................................................................................................... 32

2.2.5. Les audits de régularité spécifiques ........................................................................................................................................................................................ 34

3. ȱȱȱȱȱȱȱȂȱȱ .......................................................................................... 35

3.1. ȱȱȱȱȱȂ ...................................................................................................................................................... 37

3.2. Audit de sécurité .......................................................................................................................................................................................................... 43

3.3. Audit de la production informatique ...................................................................................................................................................................... 51

3.4. Audit des applications informatiques en service .................................................................................................................................................. 59

3.5. Audit du support utilisateurs et de la gestion du parc ......................................................................................................................................... 67

3.6. Audit de la fonction Étude ......................................................................................................................................................................................... 69

3.7. Audit des projets ......................................................................................................................................................................................................... 73

3.7.1. Objectifs et enjeux du projet ..................................................................................................................................................................................................... 73

3.7.2. ȱȂȱȱȱȱ ..................................................................................................................................................................... 74

3.7.3. Planification ................................................................................................................................................................................................................................ 75

3.7.4. Instances de pilotage ................................................................................................................................................................................................................. 76

3.7.5. Méthodes et outils ...................................................................................................................................................................................................................... 78

3.7.6. Plan assurance qualité ............................................................................................................................................................................................................... 79

3.7.7. Conception générale et analyse ................................................................................................................................................................................................ 80

3.7.8. Conception détaillée .................................................................................................................................................................................................................. 81

3.7.9. Développement, réalisation ou paramétrage ......................................................................................................................................................................... 82

3.7.10. Qualification : test/recette ......................................................................................................................................................................................................... 83

3.7.11. ȱȱȱȱȱȱ........................................................................................................................................................................... 85

3.7.12. Documentation ........................................................................................................................................................................................................................... 87

3.7.13. Rôles et responsabilités ............................................................................................................................................................................................................. 88

3.7.14. Gestion des évolutions .............................................................................................................................................................................................................. 89

3.7.15. Mise en production .................................................................................................................................................................................................................... 90

3.8. Audit des marchés spécifiques au domaine informatique .................................................................................................................................. 91

3.8.1. ȱȱȱȂȱ ............................................................................................................................................................................. 92

3.8.2. Étude des ȱȂȱȱȱȱȱȱȱȂȱ ................................................................................................. 94

3.8.3. ȱȱȱȂȱȱȱȱȱȱȱȂȱȱ .................................................................................... 95

3.8.4. ȱȱȱȂȱȱȱȱȱȱǻǼ .............................................................................................................. 96

3.8.5. Étude des marchés ayant pour objet la fourniturȱȂȱȱ ............................................................................................................... 97

4. Dictionnaire des expressions spécifiques et acronymes ............................................................................................................................. 99

4.1. Dictionnaire des expressions spécifiques du domaine ........................................................................................................................................ 99

4.1.1. Gouvernance du SI .................................................................................................................................................................................................................... 99

4.1.2. Schéma directeur et plan stratégique informatique .............................................................................................................................................................. 99

4.1.3. ȱȂȱȱȱǻǼ ............................................................................................................................................................................................. 99

4.1.4. ȱȂȱǻǼȱȱȱȂ .................................................................................................................................................................. 100

4.1.5. Propriétaire (business ownerǼȱȂȱȱȱȱ ......................................................................................................................................... 101

4.1.6. Base de données maîtresse ...................................................................................................................................................................................................... 101

4.1.7. Politique de sécurité ................................................................................................................................................................................................................ 102

4.1.8. ȱȂ .................................................................................................................................................................................................................. 102

4.1.9. ȱȱȱǻǼǰȱȂȱȱȱuction (exploitation)....................................................................................... 103

4.1.10. Recette........................................................................................................................................................................................................................................ 104

4.1.11. Convention et contrats de service (SLA / OLA) ................................................................................................................................................................... 104

4.1.12. ȱȱȱȱȂȱȱȱȱȱȱȂ .......................................................................................................................................... 104

4.1.13. Infogérance et outsourcing ..................................................................................................................................................................................................... 105

4.1.14. Informatique en nuage, ou Cloud Computing .................................................................................................................................................................... 105

4.1.15. Datacenter ................................................................................................................................................................................................................................. 106

4.1.16. Maintenance applicative ou corrective, TMA, TME ........................................................................................................................................................... 106

4.1.17. Progiciel de gestion intégrée Ȯ PGI (ERP) ............................................................................................................................................................................. 107

4.2. Dictionnaire des acronymes .................................................................................................................................................................................... 109

ȱȂȱȱȱȂȱȱȱȂ .............................................................................................................................. 111

4 5

INTRODUCTION

L'essentiel des traǀauǆ d'audit relatifs au systğme d'information ne nécessite pas de connaissances très approfondies en informatique mais Ce guide s'adresse toutefois ă des auditeurs a minima aǀertis, c'est-à-dire ayant suivi une session de sensibilisation ou ayant déjà effectué une ou deux missions d'audit dans le domaine en compagnie d'un auditeur spécialisé dans le domaine des SI. La sensibilisation pourra, notamment, s'appuyer sur des guides de formation mis ă disposition par le CHAI. Il propose dans une première partie une information générale sur les facteurs clĠs permettant d'amĠliorer la performance de la fonction et du système informatique, en les articulant avec les principaux risques du domaine. Il décrit en deuxième partie, d'une part, la dimension informatique des principaux audits généralistes (audit en organisation, audits de processus, etc.) et, d'autre part, les aspects plus gĠnĠrauǆ des audits ǀisant informatique, des projets, etc.). Il présente en troisième partie les points ă aborder en fonction de l'aspect identifiant les principaux points de contrôle correspondant. Ce tableau doit permettre à un auditeur non spécialiste des SI de percevoir le contenu d'un thğme d'audit donnĠ, et ă un auditeur spĠcialisĠ de ne rien oublier. Cependant, ce guide est orientĠ ǀers l'audit de structures de taille attentes à la taille et auǆ moyens de l'organisation auditĠe, en particulier Enfin, un dictionnaire permet de revenir sur certaines notions important de veiller à la clarté des termes et notions utilisés dans les documents contractuels. En complément de ce guide, il est à noter que les auditeurs ministériels peuǀent s'appuyer en matiğre d'audit des SI sur la direction des systğmes informatiques est, en effet, l'une de ses missions essentielles. 6 7

1. LES SYSTEMES INFORMATIQUES :

ENJEUX ET RISQUES

1.1. LE SYSTEME INFORMATIQUE

1.1.1. DEFINITION

représente l'ensemble des logiciels et matériels participant au stockage, à la gestion, au traitement, au transport et à la diffusion de l'information au sein de l'organisation. La fonction informatique ǀise ă fournir ă ces ressources l'organisation. Elle comprend donc, outre le système informatique, les personnes, processus, ressources financières et informationnelles qui y contribuent. externes à l'organisation, afin que tous ceux qui ont à prendre des décisions disposent des éléments leur permettant de choisir l'action la plus appropriée au moment adéquat. sur des ressources informatiques. En raison de la confusion fréquente entre ces notions, les commanditaires attendent parfois des auditeurs SI Un système informatique est constitué de ressources matérielles et logicielles organisées pour collecter, stocker, traiter et communiquer les informations. Les ressources humaines nécessaires à son fonctionnement (par exemple les administrateurs) sont parfois incluses dans ce périmètre. Le système informatique ne doit pas être conçu comme une fin en soi : il fondamental : désormais, un système informatique est un facteur déterminant de la performance (efficacité, efficience, maîtrise des inadapté ou mal maîtrisé peut être une source inépuisable de difficultés. Les développements suivants exposent, de manière synthétique, lesquotesdbs_dbs4.pdfusesText_7

[PDF] GUIDE DAUDIT DES SYSTEMES DINFORMATION