SIE 2
description
Transcript of SIE 2
Lic
en
ce L
3 -
SIE
2 –
An
né
e 2
00
6
SIE 2
SIE 2SIE 2
De l’analyse de situation au TFf
Du TFf aux FRAP
SIE
2 -
Séa
nce
6
Place et forme de l’AuditPlace et forme de l’Audit
Propositions
Historique
Audit deContrôle
Audit deContrôle
MISE EN ŒUVRE & SUIVI
Futur
AuditOpérationnel
AuditOpérationnel
Norme / Optimum
Réalisable
Existant
Actuel
Audit dePrescription
Audit dePrescription
Bilan
SIE
2 -
Séa
nce
6
Mission d’audit : préparationMission d’audit : préparation
Ordre de Mission(OM)
Plan d’Approche(PdA)Reconnaissance
Analyse des risquesTableau des Forces etfaiblesses apparentes
(TFfA)
Choix des objectifs Rapport d’orientation(RdO)
Détermination des tâchesProgramme de
Vérification (PdeV)
PlanificationBudget, Allocation,
Planning, Suivi(BAPS)
SIE
2 -
Séa
nce
6
Mission d’Audit : réalisationMission d’Audit : réalisation
Feuille de CouvertureFdeC
Feuille de Révélation et d’Analyse de Problème(FRAP) – 1 par section
PHASES TERRAIN
Papier de travailPdT
Constats directsBBK
Tableau des Forces et faiblesses Constatées (TFf)
SIE
2 -
Séa
nce
6
Mission d’Audit : FinalisationMission d’Audit : Finalisation
FRAPFRAPFRAPSynthèse
(au service d’audit)Ossature de Rapport
(OR)
RestitutionCompte Rendu Final
au Site (CRFS)
Rédaction etValidation
Rapport : en 3 tempsProjet, Validation,
Définitif (Rapp)
Suivi desrecommandations
État des Actions de Progrès (EAP)
SIE
2 -
Séa
nce
6
Axes d‘audit et d’analyse informatiqueAxes d‘audit et d’analyse informatique
• Efficacité des mesures de sécurité• Connaissance et appréciation de la Fonction informatique• Optimisation efficacité de la fonction informatique• Optimisation performances et config.
• Garantie de pérennité des données• Garantie de continuité d'exploitation
• Efficacité des mesures de sécurité• Connaissance et appréciation de la Fonction informatique• Optimisation efficacité de la fonction informatique• Optimisation performances et config.
• Garantie de pérennité des données• Garantie de continuité d'exploitation
• Fiabilité et sécurité des travaux• Respect obligations légales et réglem.• Délivrance d'une attestation de conformité à certaines normes• Respect des normes «développement»• Optimisation des coûts et des performances• Vérification des générations et des paramétrages• Fiabilités des données, traitements
• Fiabilité et sécurité des travaux• Respect obligations légales et réglem.• Délivrance d'une attestation de conformité à certaines normes• Respect des normes «développement»• Optimisation des coûts et des performances• Vérification des générations et des paramétrages• Fiabilités des données, traitements
• Audit de sécurité• Audit de la fonction informatique• Audit opérationnel de la fonction informatique• Audit des performances• Audit du plan de sauve -garde et de reprise
• Audit de sécurité• Audit de la fonction informatique• Audit opérationnel de la fonction informatique• Audit des performances• Audit du plan de sauve -garde et de reprise
FONCTIONINFORMATIQUE
FONCTIONINFORMATIQUE
• Audit des applications
• Certification d'applic.
• Audit des projets
• Audit de l'exploitation
• Audit des applications
• Certification d'applic.
• Audit des projets
• Audit de l'exploitation
APPLICATIONSINFORMATIQUES
APPLICATIONSINFORMATIQUES
• Fiabilité, exactitude, exhaustivité [DIPC]• Fiabilité, exactitude, exhaustivité [DIPC]RAO (Révision)RAO (Révision)DONNEESINFORMATIQUES
DONNEESINFORMATIQUES
SIE
2 -
Séa
nce
6
ENTRE-PRISE
Niveaux de Contrôles InformatiquesNiveaux de Contrôles Informatiques
NIVEAU DE LAFONCTION, DU
SERVICE ET DESPERSONNELS
NIVEAU DES MATERIELSDES APPLICATIONS
et DES DONNES
Schéma directeur et Plan informatiqueAudit Interne et Fonction d'AuditNormalisation et Réglementation
Sécurité Générale et QualificationsCirculation des informationsProcédures et Formalismes
Projets et DéveloppementMéthodes et TechniquesFormation et Assistance
Organisation et MaintenanceSous-Traitance et Fournisseurs
Matériels et RéseauxCommunications externes
Applications spécifiquesApplications standards
Bases de données
CONCEPTSCONCEPTSetet
MODELESMODELES
TECHNIQUESTECHNIQUES
ORGANISATIONORGANISATIONet SOCIALet SOCIAL
SIE
2 -
Séa
nce
6
Place des « BBK » et du « TFf »Place des « BBK » et du « TFf »
Vérifications"RAPIDES"
Vérifications"RAPIDES"
Vérifications"DETAILLEES"
Vérifications"DETAILLEES" NONNON
Points de REVUE(PR)
Points de REVUE(PR) Confirmation ?Confirmation ?
ANALYSE etDEPOUILLEMENT
ANALYSE etDEPOUILLEMENT OUIOUI
BBK sûrs ?TFf complet ?
BBK sûrs ?TFf complet ? NONNON
OUI
La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes.
Ceux-ci trouvés, la phase Vérification DETAILLLEEva analyser les causes, les incidents, les rapports,...
de ces problèmes recensés
La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes.
Ceux-ci trouvés, la phase Vérification DETAILLLEEva analyser les causes, les incidents, les rapports,...
de ces problèmes recensés
SIE
2 -
Séa
nce
6
Place des « BBK » et du « TFf »Place des « BBK » et du « TFf »Interviews préliminaires
Plan d'approche
Plan de vérification
Phase de vérification
– Vérification Rapide
– Vérification détaillée
– « Certification » des BBKS« Certification » des BBKS
– Mise en forme du TFfMise en forme du TFf
– Dépouillement final & synthèseDépouillement final & synthèse
Préparation des contrôles :
Quelles preuves rechercher
Quels moyens de certitude
Réalisation de la vérification
Lister les problèmes
Vérifier chaque point
S'assurer de leur véracité
Rechercher des parades
SIE
2 -
Séa
nce
6
BBK, TFf et PRBBK, TFf et PRLes BBK (Blue Black Keys) représentent :
Les problèmes et incidents, critiques, dysfonctionnements, etc. constatés : les POINTS NOIRS (Blacks)
Les points qui semblent corrects et fonctionnels : les POINTS BLEUS (Blue)
Il y a donc une répartition en 2 classes des points analysés
Chaque BK est vérifié pour savoir :si un point noir est réel et ne cache pas un problème plus important
si un point bleu est réel et n'est pas simplement une apparence de fonctionnement correct
En cas d'incertitude on effectue un Point de REVUE (pour "revoir") des BBK contestés.
Les BBK sont classés au sein d’un Tableau des Forces et faiblesses apparentes (TFf)
SIE
2 -
Séa
nce
6
Séparation BBK et ManquesSéparation BBK et Manques
Black KeyProblèmes constatés
• Pannes• Incidents• Dysfonctions• Erreurs et bugs• Malveillance• Etc.
Risques recensés• Techniques• Humains• Naturels• Financiers• Qualité• Etc.
Manques
– Manques expriméspar le personnel lors des interviews et réunions
– Manques constatés lors de la RAO, des analyses de circulations de doc, des procédures, etc.
Non usages
– Moyens existants et non utilisés (mais utilisables) au sein du SI
– Moyens existants et non connus du personnel (mais utilisables) au sein du SI
Blue Key Éléments positifs primordiaux et à conserver problématique de la conservation et réutilisation au sein des propositions futures
SIE
2 -
Séa
nce
6
Etude des BBK : ThèmesEtude des BBK : ThèmesOrganisation
Circuit et traitements
Humain / Social / Relationnel
Informations
Informatique StructurelleSchéma directeur et plansMatérielLogiciels / OS / ToolsBase de données / FichiersEnergie et associésLocaux et mobiliersDocumentationsCommunications & RéseauxProjets en cours et futursBudgets
Informatique OrganisationnelleService informatiquePersonnel informatiqueExploitationHot line et assistanceDéveloppementMaintenance, FormationContrats et doc légauxSous-traitance, régie, fournisseursProjets en cours et futursBudgets
SécuritéAccès, personnel, locaux, moyens mat et log., budgetsScénarios et processAssurances
SIE
2 -
Séa
nce
6
Tableau des Forces & FaiblessesTableau des Forces & FaiblessesL’existant opérationnel
Fonctionnel (opérationnel, technique, etc.)
Gains
Avancée
Certifiés et contrôlés
Savoir-faire et savoirs
Reconnaissance
Les maîtrisesMaîtrise d’œuvre et d’ouvrages formalisés et contrôlés
Projet en cours en situation de validité
Certifications et normalisations
Tableaux de bords
Outils de contrôles et de validation
Les acquis et avoirs pérennes
Transmission de savoir-faire et de savoirs
Historique exploitable
Biens et produits (informatiques)
RH pérennisées
Relations et contrats pérennisés
LES FORCESLES FORCESLES FORCESLES FORCES
SIE
2 -
Séa
nce
6
Tableau des Forces & FaiblessesTableau des Forces & FaiblessesL’existant opérationnel
Incidents
Pannes
Dysfonctions
Erreurs
Retards
Pertes
Conflits
L’existant non opérationnel
Non maîtrisé
Inutile
Non connuSous-utilisé
Les risques (problèmes potentiels)
Risque technique
Risque humain
Risque économique et/ou financier
Les manques et besoinsManque constaté
Manque exprimé
Les faiblessesLes faiblessesLes faiblessesLes faiblesses
SIE
2 -
Séa
nce
6
Analyse des BBKAnalyse des BBK
AUDITAUDITInterview Réunions RAO Documents Processus
• Code et intitulé du point
• Constat (et preuves du constat)
• si Point Noir :– Cause(s) du problème– PreuveS– Thème(s) de rattachement et Acteurs (Services, Sites, …) concernés– Impacts et conséquences (directes & indirectes, techniques & financières)– Pondération (importance) et Seuil de confiance
SI SEUIL INSUFFISANT SI SEUIL INSUFFISANT LANCEMENT DE LANCEMENT DE P.R.P.R. SUR CE BBK SUR CE BBK– Dépendances– Préconisation de correction / suppression ou Solution (temporaire ou immédiate)– Documents associés …
Manques(exprimés/constatés)
Manques(exprimés/constatés) Blue KeysBlue Keys Black KeysBlack Keys
SIE
2 -
Séa
nce
6
Description d’une clef …Description d’une clef …• N° ou code de référence
• Définition sommaire
• Détail du BBK
• Type– incident ponctuel, problème
récurant, risque, erreur technique, erreur humaine, etc.
• Source de la découverte– personne, groupe, documents,
RAO, élément externe, étude directe, etc.
• Origine, cause
• Conséquence– technique, organisationnelle– financière, etc.
• Niveau de confiance et justification de ce niveau
• Importance relative, coefficient de pondération et justifications
• Interdépendance avec d’autres BBK– regroupement (thèmes et
familles), séquence, etc.
• Solutions possibles– technique, organisationnelle,
financière, etc.
• Indicateur de suivi– outil et process de suivi
– process de réaction et correction sur incident
SIE
2 -
Séa
nce
6
DémarcheDémarche
BBK bruts …(tels que recensés)
BBK bruts …(tels que recensés)
BBK classés1 - par causalité
2 – par dépendance3 – par thèmes
BBK classés1 - par causalité
2 – par dépendance3 – par thèmes
BBK d’exploitationsimplifiés pour lisibilité
au sein du rapport(points clefs des BBK classés
au seind’1 fonction, process,
domaine, sous-système,etc.
BBK d’exploitationsimplifiés pour lisibilité
au sein du rapport(points clefs des BBK classés
au seind’1 fonction, process,
domaine, sous-système,etc.
Préconisations pour chaque groupe
de BBK d’exploitation.
Préparation des FRAPassociées.
Préconisations pour chaque groupe
de BBK d’exploitation.
Préparation des FRAPassociées.
SIE
2 -
Séa
nce
6
Présentation des FRAPPrésentation des FRAP
FRAP n° xxxx en date du xx/xx/xxxx réalisé par xxxxxDOMAINE xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxProblème : description (la plus précise possible du problème)
tenir compte des POINTS DE VUE
Constat : expliquer comment à été constaté le problèmeet comment sa réalité a été vérifiée et prouvéesi besoin par quels outils et quelles mesures
Causes : origines et causes REELLES du problèmes
Impact : impacts et conséquences du problèmes (directs et indirectes,techniques, organisationnelles, humaines et financières)
Acteurs : acteurs concernés par le problème
Préconisations (recommandation, conseils) – voire Solutions préconiséesxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxdont acteurs devant appliquer et gérer la préconisation
FRAP n° xxxx en date du xx/xx/xxxx réalisé par xxxxxDOMAINE xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxProblème : description (la plus précise possible du problème)
tenir compte des POINTS DE VUE
Constat : expliquer comment à été constaté le problèmeet comment sa réalité a été vérifiée et prouvéesi besoin par quels outils et quelles mesures
Causes : origines et causes REELLES du problèmes
Impact : impacts et conséquences du problèmes (directs et indirectes,techniques, organisationnelles, humaines et financières)
Acteurs : acteurs concernés par le problème
Préconisations (recommandation, conseils) – voire Solutions préconiséesxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxdont acteurs devant appliquer et gérer la préconisation