Licence L3 - SIE 1 – Année 2004 SIE 2 Séance 1 Audit, étude & analyse Audit, étude & analyse des systèmes des systèmes d’informations d’informations Audit & étude SI - Analyse SI Organisation et conception SI
Jan 17, 2016
Lic
en
ce L
3 -
SIE
1 –
An
né
e 2
00
4
SIE 2
Séance 1
Audit, étude & analyseAudit, étude & analysedes systèmes d’informationsdes systèmes d’informations
Audit & étude SI - Analyse SI
Organisation et conception SI
SIE
2 -
Séa
nce
1L’entreprise, c’est …L’entreprise, c’est …
Un ensemble de produits et services mis sur le marché pour réaliser, à la base un ensemble de profits pour les actionnaires et investisseurs …
SIE
2 -
Séa
nce
1
L’entreprise, c’est …L’entreprise, c’est …
• Étude de marché
• Marketing
• Achats
• Production
• Logistique
• Ventes
• Suivi client
• Management
• Qualité
• Finances
• RH
Il faut, pour cela,
un ensemble de chaînes de valeur :
SIE
2 -
Séa
nce
1
L’entreprise, c’estL’entreprise, c’est
Mais aussi un ensemble de
systèmes dont principalement
– Système de production
– Système d’information
– Système de communication
– Etc.
SIE
2 -
Séa
nce
1
L’entreprise, c’estL’entreprise, c’est
• Une nécessité permanente d’évoluer et de s’adapter :
– Au marché,
– Aux nouvelles techniques de productique et production par exemple,
– Aux nouvelles méthodes et normes,
– Aux changements de législation et d’environnement,
– Aux évolutions de la société (problématique de l’éthique par exemple) et
des mentalités,
– Aux nouvelles technologies (et pas seulement en informatique),
– A l’évolution des autres entreprises (partenaires comme concurrents,
clients comme fournisseurs),
– A la situation conjoncturelle,
– Etc.
SIE
2 -
Séa
nce
1
Système et entreprises …Système et entreprises …
• Qui dit systèmes et outils, qui dit financier et RH, qui dit évolution, dit aussi :
RISQUESRISQUES– Risques financiers
– Risques techniques
– Risques humains
– Risques et catastrophes naturels
– Risques informatifs … & Risques informatiques …
SIE
2 -
Séa
nce
1
Environnement actuelEnvironnement actuel
L’informatique est un outil qui subit de profondes mutations et génère
une problématique particulière dans l’entreprise :
– Évolution permanente dégradation,
– Usage en back-office front-office stratégique
outil vital de pilotage d’entreprise
– Fragilité générale outil à risque :
En 1996, les pertes (directes ou indirectes) liées à l’informatique
étaient estimées à plus de 3 Md’€ en France;
en 2000, on a estimé qu’elles avaient pratiquement triplé …
La démocratisation de l’informatique puis de l’Internet ont ouvert une
brèche médiatique sur le monde de l’Informatique et de ses risques
SIE
2 -
Séa
nce
1
Les mêmes en 2001 et 2002Les mêmes en 2001 et 2002Seules 40 % des
entreprises déclarent avoir
subi des sinistres …
Les 60 % restants pêchent
souvent par ignorance
(absence de détection des
incidents).
Un « BOUM » catastrophique
+140 % d’impact !
SIE
2 -
Séa
nce
1Risques et contrôle de risquesRisques et contrôle de risques• Le risque informatique Le risque informatique
s'applique à 3 domaines :s'applique à 3 domaines :– risque direct dû à risque direct dû à
l'informatique (pannes, vols, l'informatique (pannes, vols, pertes, erreurs, etc. )pertes, erreurs, etc. )
– risque induit (perte d'image risque induit (perte d'image de marque, perte de qualité, de marque, perte de qualité, perte de clientèle, perte perte de clientèle, perte financière, perte de stock, etc. financière, perte de stock, etc. ))
– risque généré (utilisation de risque généré (utilisation de l'informatique pour détourner, l'informatique pour détourner, voler, escroquer, rançonner, voler, escroquer, rançonner, etc.)etc.)
• Il est nécessaire de le Il est nécessaire de le contrôler au même titre que contrôler au même titre que toutes les autres activitéstoutes les autres activités
SIE
2 -
Séa
nce
1
Usage de connexion externeUsage de connexion externe
Évolution en 2001 et 2002 des comportements des entreprises et des outils en terme de connexion externe.
Les plus fortes hausses depuis 1999 :
• Accès au Web
• Messagerie généralisée
SIE
2 -
Séa
nce
1
Moyens de sécuritéMoyens de sécurité
Encore très peude sécurité de base
sur les réseauxouverts à l’extérieur
SIE
2 -
Séa
nce
1
Plans et procédures de secoursPlans et procédures de secours
Encore très peu
de plan de réaction
et de secours en cas
d’alerte ou d’incident
SIE
2 -
Séa
nce
1
Réalité et perception …Réalité et perception …
Fraudes
Sabotage physique
Divulgations et vols de données
Accidents physiques
Chantage
Attaques logiques ciblées
Intrusion
Evènements naturels
Vols (surtout ordi portables)
Erreurs de conceptions
Infections par virus
Pertes de services essentiels
Pannes internes
Erreurs d'utilisation
Réalité des risques Perception des risques par l'entreprise
87,3 % des sinistres69% des "croyances"87,3 % des sinistres69% des "croyances"
9,7 % des sinistres77% des croyances9,7 % des sinistres77% des croyances
Lic
en
ce L
3 -
SIE
1 –
An
né
e 2
00
4
SIE 2
Séance 1
Face à ces constats …Face à ces constats …
SIE
2 -
Séa
nce
1
Réactions et actionsRéactions et actions• Action sécuritaire :
– Sensibiliser, former, informer
– Mettre en œuvre des outils et procédures
• Action techniques et logistiques
– Assurer une démarche complète d’étude
– Assurer une démarche complète de recettes
– Assurer une démarche complète de suivi
– Assurer une démarche complète maîtrise d’œuvre
• Action d’analyse et de suivi
– Audit initial, audit régulier (interne / externe)
– Indicateurs et tableau de bord
• Organiser
– Schéma directeur – Plan informatique
– CdC – Appel d’offre – Assurance
– Équipe et personnel
SIE
2 -
Séa
nce
1
Nécessité …Nécessité …
Étude du système existantPhases de contrôle, d’audit de recensement1
Étude de solutionsPhases d’audit et de conseil, prescription2
Mise en œuvreRecherche, sélection, maîtrise d’œuvre et d’ouvrage
3
MaintenanceSuivi, maintenance, audit régulier, évolution planifiée.
4
Lic
en
ce L
3 -
SIE
1 –
An
né
e 2
00
4
SIE 2
Séance 1
Étape 1 : Auditer …Étape 1 : Auditer …
SIE
2 -
Séa
nce
1
Rôle premier de l'AuditRôle premier de l'Audit
L'audit a pour fonction principale L'audit a pour fonction principale le contrôle du SYSTEME étudiéle contrôle du SYSTEME étudié
qu'il s'agisse de son fonctionnement ou de qu'il s'agisse de son fonctionnement ou de ses outils de fonctionnementses outils de fonctionnement
Par là, il a pour but de réduirePar là, il a pour but de réduire
les écarts et risques les écarts et risques
ou ou au moinsau moins de les signaler de les signaler
et de proposer des solutions ...et de proposer des solutions ...
SIE
2 -
Séa
nce
1
Notion d'AuditNotion d'Audit• Nom Masculin : UN AUDIT
• MissionMission / ProcédureProcédure consistant à :– s'assurer du caractère COMPLET, SINCERE et REGULIER des
Comptes d'une Entreprise
– s'en porter GARANT auprès des divers partenaires intéressés de l'entreprise
– porter (de manière plus générale) un JUGEMENT sur la qualité de sa gestion
– Synonyme : Procédure de Révision
• Par extension, la personne réalisant cette mission (Synonyme : Auditeur)
• En anglais : AUDIT and AUDITOR
SIE
2 -
Séa
nce
1
Historique de l'AuditHistorique de l'Audit
• Historiquement, l'AUDIT est d'abord financière
– A l'époque romaine, les questeurs en étaient chargés. Puis Charlemagne
en a généralisé l'usage par les missi dominici
– A la fin du XIX° siècle, elle fut rationalisée en France avec la création de
l'OECCA (Ordre des Experts Comptables et Comptables AgréésOrdre des Experts Comptables et Comptables Agréés ) puis de
la CNCC (Compagnie Nationale des Commissaires aux Comptes Compagnie Nationale des Commissaires aux Comptes )
– La fonction a été officiellement créée en 1941 aux USA avec l'IIA (Institute Institute
of Internationals Auditorsof Internationals Auditors ), en prolongement de la Secury Act de 1935,
obligeant à la ratification des comptes par un Expert Comptable
– En France, il faut attendre 1965 pour voir la création de son équivalent
l'IFACI rattachée à l'IIA (Institut Française des Auditeurs et Contrôleurs Institut Française des Auditeurs et Contrôleurs
InternesInternes )
SIE
2 -
Séa
nce
1
Intérêts initiaux de l'AuditIntérêts initiaux de l'Audit• CONTRÔLE et VALIDATION du système de Gestion
– Procédures et méthodes
– Données
• CONTRÔLE et VALIDATION des moyens
– Matériels, réseaux, logiciels
– Personnels
• CONTRÔLE et VALIDATION des financements
– Coûts d'investissements et d'exploitation
– Rentabilité et budgets
• CONTRÔLE et VALIDATION des évolutions
– Plan informatique et Schéma directeur
– Gestion et suivi des projets
SIE
2 -
Séa
nce
1
Intérêt réel des auditsIntérêt réel des audits• L’audit est devenu au fil du temps :
– Audit d’efficacité
– Audit d’efficience
– Audit de management et de stratégie
• Les apports ont évolué et sont devenus :
– Conseil (au lieu d’évaluation)
– Valeur ajoutée
– Assurance (contractualisation)
– Qualité (Q.S.E. avec le Système de Management Environnemental (SME), basé sur les normes ISO 14000)
– Sécurité Informatique (dont norme ISO 17799)
SIE
2 -
Séa
nce
1
L'audit InformatiqueL'audit Informatique• Analyse exhaustive du fonctionnement d'un centre de
traitement et de son environnement
• Débouche sur un diagnostic précisant
– l'adéquation des ressources matérielles et humaines aux besoins de l'entreprise
– l'adéquation des résultats obtenus en regard des moyens engagés
– l'adéquation des moyens en regard de la législation
• Les méthodes d'Audit Informatiques sont définies par l'IFACI comme les autres techniques d'Audit
• En Anglais : COMPUTING CENTER AUDITCOMPUTING CENTER AUDIT
SIE
2 -
Séa
nce
1
Audit de sécuritéAudit de sécurité• L’un des points clefs de l’audit informatique reste l’audit des
réseaux et de la sécurité informatique.
• Pour ce faire, des méthodes, législations et normes, (utilisables dans d’autres domaines que l’audit de sécurité info) ont été créés et mises en place :
Méthodes :• Marion• Mélisa MV3• Méhari• Ebios 1.0.2 • COBIT• CRAMM v4• etc.
Normes :
• BS7799 (GB) et ISO 17799 (sécurité TIC)
• ISO/CEI 13335 (management sécu TIC)
Législation :
• Loi n 78-17 du 6/01/78 sur l'informatique, les fichiers, les libertés
• Loi n 85-660 du 3/07/85 sur la protection des logiciels
• Loi n 88-19 du 5/01/88 relative à la fraude informatique
• Projet de loi pour la confiance dans l’économie numérique (LCEN) ou loi Fontaine
SIE
2 -
Séa
nce
1
Informatique & législation en EuropeInformatique & législation en Europe
Exemple de l’Internet en Europe avec la LEN (loi sur l’économie numérique de Juin 2000) qui est transposée en France … depuis juin 2004
Les « lois de l'Internet » en Europe :
• Espagne : loi sur la société de l'information et les services de commerce électronique
• Finlande : loi sur la fourniture de services de la société de l'information
• Autriche : loi fédérale sur le commerce électronique • Danemark : loi sur les services de la société de l'information • Luxembourg : loi sur le commerce électronique avec modification des
Code civil, Code du commerce, Code de procédure civil et Code pénal• Italie : idem• Allemagne : loi sur l'utilisation des télé-services, loi sur la protection
des données personnelles, loi sur la signature électronique, rassemblées au sein d’une loi fédérale sur les services d'information et de communication
• France : LCEN (loi pour la confiance dans l’économie numérique)
Lic
en
ce L
3 -
SIE
1 –
An
né
e 2
00
4
SIE 2
Séance 1
Système d’informationsSystème d’informations
Rappels systèmes : Système automatisé, Système
informatique, Système d’Information, Notion
d’informatique et d’information
SIE
2 -
Séa
nce
1
Appels d'offreAppels d'offre
Sous-TraitanceSous-Traitance
FournisseursFournisseurs
MaintenanceMaintenance
Assistance Tec.Assistance Tec.
POLITIQUE GENERALEPOLITIQUE GENERALE
Principe d'Activité InformatiquePrincipe d'Activité Informatique
Schéma Directeur d'Entr.Schéma Directeur d'Entr.
POLITIQ. INFORMATIQUEPOLITIQ. INFORMATIQUE Schéma Directeur InfoSchéma Directeur Info
Organisation du Service ou de l ’Activité InformatiqueOrganisation du Service ou de l ’Activité Informatique
SécuritéSécurité
MéthodesMéthodes
PersonnelPersonnel
FormationFormation
BudgetsBudgets
Base donnéesBase données
DéveloppementDéveloppement
ExploitationExploitation
Parc MatérielParc Matériel
Réseau-Comm.Réseau-Comm.
SIE
2 -
Séa
nce
1
Complexité des SIComplexité des SI
Sécurité & Sûreté
RESE
AU
X*
INTE
RN
ES
Logiciels & ERP
Données
Mémorisation
OR
GA
NIS
ATIO
NIN
FOR
MA
TIQ
UE R.H.
Mobilier & Immobilier
ÉnergieMatériel info et péri-info
Formation & Doc Fournisseurs
Contrats & PrestationsFinances - Plans info. - SD - ...
RESE
AU
XEX
TER
NES
RESE
AU
XEX
TER
NES
Système de saisie
Mémorisation directe
Système de sortie
Restitution directe
* Réseaux filaires ou non (WiFi, Bluetooth, VoIP, etc.)
SIE
2 -
Séa
nce
1
Pluralité d’usage des donnéesPluralité d’usage des données
Front OfficeFront Office
Back OfficeBack Office
IntégréIntégré
DataWHDataWH
GestionGestion
ProductionProduction
CommerceCommerce
MarketingMarketing
E-commE-comm
ÉchangesÉchanges
ProductiqueProductique
InfocentreInfocentreInfogéranceInfogérance OutilsOutils SécuritéSécurité
« Chapeaute »« Chapeaute »
Décisionnel,Stratégie
etJuridique
Décisionnel,Stratégie
etJuridique
Un outil de+ en +
utilisé par lesentreprises
Un problèmede + en +
crucial
SIE
2 -
Séa
nce
1
Validité d’un S.I.Validité d’un S.I.• un SI est potentiellement validepotentiellement valide si au minimumau minimum, les
informations qu’il « contient » sont dans un cadre DICP:
– DISPONIBLES, c’est à dire accessibles lorsque l’on en a besoin
– INTEGRES, c’est à dire que la totalité des informations reste présente sans perte, modification, altération, ajout d’informations ou valeurs d’informations non prévues
– CONFIDENTIELLES, c’est à dire si seules les personnes disposant des droits adéquates peuvent consulter, modifier, ajouter, supprimer, diffuser des informations, ET si ces droits sont eux-mêmes placés dans un cadre DICP
– PERENES, c’est à dire si les 3 paramètres précédents sont valables dans le temps
SIE
2 -
Séa
nce
1
Implication pour un S.I.Implication pour un S.I.
• Indicateurs,
• Système d’alertes,
• Suivi des évolutions,
• Maintenance,
• Tests,
• Scénarios,
• Etc.
En bref
UN TABLEAU DE BORD(tableau
de pilotage)dU S.I.
UN TABLEAU DE BORD(tableau
de pilotage)dU S.I.
SIE
2 -
Séa
nce
1
Le Système d'InformationLe Système d'Information
RIGUEUR des indicateurs Définition claire Précision Circulation et délais Méthodologie de saisie, calcul et agrégation
RIGUEUR des indicateurs Définition claire Précision Circulation et délais Méthodologie de saisie, calcul et agrégation
UNICITE des indicateurs Conception unique Mode de saisie et remonté fiable Comparaison possible quelque soit le lieu de gestion et l'utilisateur (métrique de réf.)
UNICITE des indicateurs Conception unique Mode de saisie et remonté fiable Comparaison possible quelque soit le lieu de gestion et l'utilisateur (métrique de réf.)
FIABILITE des indicateurs durant Transmissions et Utilisation (non influence des acteurs ou de l'utilisation) dans le temps indépendant de l'erreur humaine (ou corrigeable / corrigé )
FIABILITE des indicateurs durant Transmissions et Utilisation (non influence des acteurs ou de l'utilisation) dans le temps indépendant de l'erreur humaine (ou corrigeable / corrigé )
COHERENCE des indic... pas de redondance couverture de la totalité du SI Vision globale et « détaillable » (vue d'ensemble -> tableau de bord puis détail d'un poste à la demande)
COHERENCE des indic... pas de redondance couverture de la totalité du SI Vision globale et « détaillable » (vue d'ensemble -> tableau de bord puis détail d'un poste à la demande)
S.IS.I