Lic

en

ce L

3 -

SIE

2 –

An

né

e 2

00

5

SIE 2

Séance 12

SIE 2SIE 2

Missions d’auditFormes et types

SIE

2 -

Séa

nce

12

Types de missionsTypes de missions

Techniquement, une mission d’audit informatique peut toucher tous les domaines d’un SI

On trouvera donc des missions orientées : Audit des logiciels

Audit du Service Informatique

Audit des contrats

Audit de la sous-traitance

Audit réseau

Etc.

L’un des audits les plus importants actuellement est l’audit de la sécurité informatique et de la qualité

Lic

en

ce L

3 -

SIE

2 –

An

né

e 2

00

5

SIE 2

Séance 12

Exemples de missions d’auditExemples de missions d’audit

1- Service informatique

2- Développement et maintenance logicielle

3- MPAQ (Méthode et plan assurance qualité)

4- Maintenance

SIE

2 -

Séa

nce

12

1 - Service informatique1 - Service informatique

Toute entreprise informatisée (partiellement ou totalement) se trouve dans l’une ou plusieurs de ces situations  absence des services et de compétences ;

absence des services mais compétences internes ;

utilisation de service(s) informatique(s) interne(s).

Dans ce dernier cas, les axes d’études touchent : rôle du service et des membres ;

activité et relations avec les utilisateurs et décideurs ;

politique informatique de la direction et stratégie associée ;

budgets et finances.

SIE

2 -

Séa

nce

12

1.2 - Rôle du service1.2 - Rôle du service

Ils existent 4 pôles qui gravitent autour du service : la direction : résoudre et anticiper les attentes, besoins et

problèmes informatiques ;

les utilisateurs actuels : fournir les moyens, résoudre les problèmes,former et assister ;

les utilisateurs potentiels : répondre aux attentes et besoins ;

les prestataires : fournir des demandes claires et réalistes, assister et fournir les moyens nécessaires.

Ces 4 catégories de personnes en relation avec le service informatique, ayant des besoins différents, sont des sources de conflits et de tensions.

SIE

2 -

Séa

nce

12

1.3 - Exemple de questionnement1.3 - Exemple de questionnement

Existe-t-il une définition des missions du service?

Existe-t-il un organisme du service informatique et de sa position dans l’entreprise ? SI oui est-il à jour ? Quelles en sont les responsabilités et dépendances hiérarchiques connues - reconnues?

Existe-t-il une définition formelle des rôles et fonctions ?

Existe-t-il un organe de contrôle du service et de son activité ? Quel est son rôle exact ?

Existe-t-il une (ou des) règle(s) de remplacement et d’évolution dans les rôles et fonctions ?Ce pour faire face aux cas de figures tels que : absence, départ, évolution des missions, évolution des compétences, évolution des outils et moyens, etc.

SIE

2 -

Séa

nce

12

1.4 - Activités du service (extraits)1.4 - Activités du service (extraits)

Génie logiciel : veille technologique, spécification, production, tests, implémentation ;

Matériel : administration, investissement (recherche, sélection, proposition,

achat, ...), mise en oeuvre, évolution et remplacement / suivi des

performances ;

Maintenance : logiciel / matériel, préventive/curative, moyens internes (outils, locaux, personnes,

câblage, etc.) ;

Relation avec les utilisateurs : formation (des informaticiens et des utilisateurs) recueil des expressions de besoins, recherche des

besoins, etc. assistance, conseil recherches des compétences, définition des rôles

utilisateurs, mise en place de correspondants ;

Relation avec la direction : compte rendu et gestion du service, schéma directeur, politique informatique, politique sociale au sein du service

informatique ;

Relation avec les fournisseurs : recherche/sélection, contrat et cahier des charges, suivi et utilisation, gestions des conflits / légalisation ;

Sécurité : données, humaine, matérielle, logicielle, locaux, maintenance, communication.

Administration données, réseau, communication, serveurs, etc.

Références législatives

SIE

2 -

Séa

nce

12

2 – Développement logiciel2 – Développement logiciel

Exemple d’analyse du formalisme et des méthodes de développement : Cahier des charges

Cahier des spécifications techniques

Méthodes et outils de développement

Méthodes et protocoles de tests et recettes

Protocoles de maintenance, de contrôle et de suivi des logiciels

Protocoles d’installation et diffusion

Protocoles de formation des utilisateurs, des informations

Mise en expérience

Prise en compte des expressions de besoin, échanges avec les utilisateurs, demandeurs et décideurs

Etc.

SIE

2 -

Séa

nce

12

2.2 - Moyens matériels2.2 - Moyens matériels

Adaptation des moyens par rapport aux contraintes du cahier des charges (performances, délai,...) ;

Adaptation des moyens de développement à ceux d’exploitation ;

Pérennité du matériel par rapport aux développement à effectuer (évolution matériel et ses contraintes,...) ;

Contraintes imposées pour le matériel, prises en compte dans les développements ;

Intégrations des : coûts,

charges supportées/supportables,

assurance,

maintenance matérielle ;

Sécurité matérielle de développement

SIE

2 -

Séa

nce

12

2.3 - Moyens logiciels 2.3 - Moyens logiciels

AGL,

SGBD,

O/S traités et supportés,

Langages (L3G,L4G,L5G)

Outils spécifiques / internes,

Progiciels associées à des langages de développements,

Bibliothèques de développement,

Outils de maquettage,

Outils de prototypage,

Outils de documentation.

Etc.

Couverture par chaque outil de l’ensemble des besoins ?

Maîtrise de l’utilisabilité (utilisé, suivi,

évoluant,...) ; la maintenabilité (facilité

d’évolution, centre de réutilisabilité, portabilité ou adaptabilité,...) ;

la lisibilité (lecture de la fonctionnalité, des dépendances, du squelette, etc.)

la documentation (utilisateurs, maintenance, conception - programmation) à jour, archivée, accessible, lisible ;

l’adéquation qualité, Etc.

SIE

2 -

Séa

nce

12

3 – Assurance qualité informatique3 – Assurance qualité informatique

On s’inquiète dans cette phase d’audit des points suivants : Inscription de l’informatique au PAQ et au MAQ

Utilisation de méthodes et normes internes / externes ;

Formation, information et documentation;

Procédures de MOQ pour toute nouvelle activité, règle, version logicielle ou matérielle, etc.

SIE

2 -

Séa

nce

12

3.2 – Exemples de questionnement3.2 – Exemples de questionnement

Existe-t-il des méthodes ? Pour quels acteurs ? Pour quelle couverture de l’activité informatique (du cycle de vie système/logiciel) ?

Existe-t-il un nombre réduit de méthodes et outils employés (UML, OMT, M/2, POO, etc.) ?

Couverture avec recouvrement : les méthodes recouvrent plusieurs secteurs et / ou disposent de points de jonctions et d’échanges.

Existe-t-il des documents de synthèse d’utilisation de ces méthodes ?

Existe-t-il des outils informatiques ? (facilité/rapidité de réalisation, attrait, cadre obligatoire)

Existe-t-il des formations (sur les méthodes) ?

Utilise-t-on des méthodes connues et utilisées ?

Dans une entreprise, si des méthodes sont utilisées, on peut avoir : obligation d’usage (2 objectifs : certitude de forme et certitude de fond) ; simplification la méthode en utilisant des “recettes” (parfois maison) : éléments de

base de communication sans “blocage” de personnel (souvent pour l’extérieur); minimum vital d’étude pour “asseoir” un travail.

SIE

2 -

Séa

nce

12

4. Maintenance4. Maintenance

DEUX aspects de la maintenance : technique et organisationnel.

Sur le plan technique, on distinguera : Les niveaux : préventif, curatif,

Les tranches : matériel, logiciel, communications, sécurité, données.

Sur le plan organisationnel  : remède aux incidents et pannes,

mise à niveau et « conservation » à niveau,

contrôle d’utilisation, de conformité, ...

optimisation, fiabilisation,

suivi des changements et parade aux incidents (actions de prévention)

délai d’intervention et de résolution des problèmes

mise en expérience et partage d’expérience

SIE

2 -

Séa

nce

12

4.2 – Exemple de questionnement4.2 – Exemple de questionnement

Possède-t-on un descriptif complet des éléments à maintenir (liste avec information, rôle,...) et leur état des lieux ?

Existe-t-il et utilise-t-on des règles de maintenance ?

Quels sont les documents de référence ? Comment sont-ils utilisés ? Corrigés ? Diffusés ? Etc.

Existe-t-il une veille technique et technologique ?

Existe-t-il des indicateurs de maintenance préventive ? Des plannings de cette maintenance ? Etc.

Gère-t-on les contrats externes ? Les coûts externes et internes ?

Le service et le domaine maintenance sont-ils inclus dans le PAQ ? Comment et par qui ? Quel service audite cela ?

Etc.

Lic

en

ce L

3 -

SIE

2 –

An

né

e 2

00

5

SIE 2

Séance 12

Cas particulierCas particulier

Audit de la sécurité informatique :

Présentation de la notion de sécurité informatique et des éléments associés

SIE

2 -

Séa

nce

12

SynthèseSynthèse

Revoir le 1° cours d’introduction

Un constat en terme de sécurité informatique est souvent fait ainsi : Les pertes informatiques sont le plus souvent pensées en

terme de « Pertes matérielles, de plus en plus souvent en Pertes de données, etc. », c’est à dire pertes directes

Mais on omet trop souvent les pertes indirectes qui en découlent …

• les pertes de trésorerie, de CA, d’affaires et contrats,

• les conséquences pénales et juridiques (par exemple dans un cas de fiducie de données),

• etc.

SIE

2 -

Séa

nce

12

Un état d’espritUn état d’esprit

La sécurité n’est pas une évidence; il faut étudier et penser aux risques possibles : Besoin de sauvegardes,

Risque d’intrusions, de vols, ou de diffusions,

Risque naturels,

Etc.

Et les pondérer : Tout le monde n’encourt pas les mêmes risques;

Les risques varient en fonction des périodes, de la configuration du système, du personnel, de la zone géographique, du métier, etc.

SIE

2 -

Séa

nce

12

Une réalité des pertesUne réalité des pertes

Coûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments matérielsCoûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments matériels

Coûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments immatérielsCoûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments immatériels

Mesures conservatoires permettant la remise en état dusystème en performances et fonctionnalités nécessaires, …Mesures conservatoires permettant la remise en état dusystème en performances et fonctionnalités nécessaires, …

Pertes de biens physiques (informatiques ou non), de fonds,savoir-faire, informations stratégiques, patrimoine, etc.Pertes de biens physiques (informatiques ou non), de fonds,savoir-faire, informations stratégiques, patrimoine, etc.

Pertes de marché, de marges, de revenus, de clients,d’image de marque, de contrats, etc.Pertes de marché, de marges, de revenus, de clients,d’image de marque, de contrats, etc.

RC suite aux préjudices causés à des tiers dans un cadrejuridique (enceinte géographique, juridique, technique,…)RC suite aux préjudices causés à des tiers dans un cadrejuridique (enceinte géographique, juridique, technique,…)

Qualitatives, réglementaires, normatives, déontologiques,juridiques, etc.Qualitatives, réglementaires, normatives, déontologiques,juridiques, etc.

MatériellesMatérielles

ImmatériellesImmatérielles

Frais suppl.Frais suppl.

Pertes biensPertes biens

Pertes expl.Pertes expl.

Resp. Civ.Resp. Civ.

AutresAutres

DIR

EC

TE

SD

IRE

CT

ES

IND

IRE

CT

ES

IND

IRE

CT

ES

SIE

2 -

Séa

nce

12

RisquesRisques

Risques A E M

Accidents

Erreurs

Malveillances

Conséquences DDP

Détériorations,

Dégâts,

Pertes.

Typologie définie au sein des méthodes MEHARI et

MARION développées par le CLUSIF (Club de la sécurité

informatique français)

SIE

2 -

Séa

nce

12

Sécurité et sûretéSécurité et sûreté

2 concepts liés au même titre que sécurité et qualité

Les informations (éléments essentiels du SI) se doivent d’être en mode DICP D comme disponibles

I comme intègres

C comme confidentielles

P comme pérennesP comme prouvées

La méthode d’audit COBIT ajoute des critèresqualité et fiduciaire :• efficacité• efficience• conformité• fiabilité

SIE

2 -

Séa

nce

12

Méthodes sécurités (quelques …)Méthodes sécurités (quelques …)

Nom de la méthode Cobit V3 CRAMM V4 Ebios 1.02 Mehari MV3

Caractéristiques

Analyse des risques Non Oui Oui Oui OuiAnalyse des vulnérabilités Non Oui Oui Oui OuiPlan de sécurité Non Oui Oui Oui OuiContrôle et vérification Oui Non Non Oui OuiBilan de sécurité Non Non Non Oui NonPérimètreAdapaté à toutes les tailles d'entreprises

Oui Oui Oui Oui Oui

Conçu pour des environnements technologiques variés

Oui Oui Oui Oui Oui

Outils

Scénarios de risques Non Oui Oui Oui OuiQuestionnaires Oui Oui Oui Oui OuiModèles (formulaires, grilles…) Oui Oui Oui Oui OuiLogiciel disponible Non Oui Non Oui Oui

GB FR

Source : étude comparative menée par le secrétariat du conseil du Trésor du Québec, en novembre 2001

Nota : depuis Melisa (M. Version 3) n’est plus maintenue ni diffusée

SIE

2 -

Séa

nce

12

Normes sécuritéNormes sécurité

ITSEC/ITSEM (Information technology security evaluation criteria / methodology)

Critères Communs/ CEM (Criteria Evaluation Methodology)

Reconnaissance mutuelle des certificats : accord européen

France, Allemagne, UK … au total 13 pays européens (tous niveaux)

13 pays Européens (tous niveaux)

Reconnaissance mutuelle des certificats : accord mondial

(aucun) 13 pays Européens + USA, Canada, Australie, Nvlle Zélande (niveaux EAL 1 à 4 uniquement)

Situation à ce jour ITSEC : Juin 1991 (bibliothèque de remise à jour annuelle)ITSEM : Juin 1995

CC Version 1.0 : 1996CC Version 2.0 : 1998CC Version 2.1(ISO15408) : 1999CEM Version 1.0 : 01/2000

Evolutions prévues Pas d’évolution au niveau du conceptSera maintenu par le centre français de certification (SCSSI , Service Central de Sécurité des Systèmes d’Information)

Pour s’assurer qu’un produit ou système fournit effectivement toutes les fonctions de sécurité nécessaires, il doit être soumis à une évaluation formelle basée sur des normes internationales rigoureuses et objectives définissant la méthodologie et les critères.

SIE

2 -

Séa

nce

12

Norme ISO 17799Norme ISO 17799

Aspects organisationnels

Politique de sécurité – organisation

• Veille

• Mesures d’audit

• Procédures

Recensement des actifs – conformité à la législation – sécurité du personnel

• Politique d’embauche

• Clauses de confidentialité, etc.

Continuité d’activité

Aspects logiques

Contrôle d’accès

• Gestion des droits et mots de passe

• Etc.

Développement et maintenance des systèmes – communication et management opérationnel

• Gestion des sauvegardes, des journaux, des erreurs

• Protection contre les codes « malicieux »

• Séparation des responsabilités

Aspects physiques

Sécurité physique et environnementale

• Périmètre de sécurité

• Contrôle d’accès physique

• Isolement des zones de livraisons et d’accès clients

• Alimentation électrique

• Obligation de rangement (bureau principalement)

• Etc.

SIE

2 -

Séa

nce

12

FINFIN