Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique

Fichier pratique d`audit informatique, 1ère partie L2

publicité 
Audit informatique – 1ère partie –
Ppa 2011
Concepts de base et référentiels :
L’organisation de l’activité informatique de l’entreprise
Structure du centre informatique
• Direction des systèmes d’information
• Etudes et conception
• Activité technique
• Sécurité du SI
• Développement et maintenance
• Contrôle qualité
1
Concepts de base et référentiels :
L’organisation de l’activité informatique de l’entreprise
• Exploitation/Production
• Management projets
• Veille technologique et stratégique
• Suivi de l’activité du centre informatique
2
Concepts de base et référentiels :
L’organisation de l’activité informatique de l’entreprise
Externalisation
• Causes et organisation
• Conception/Etudes
• Développement
• Exploitation/Production
3
1
Audit informatique – 1ère partie –
Ppa 2011
Concepts de base et référentiels :
Le budget informatique
• Typologie des dépenses
• Composition du budget
• Élaboration du budget de l’activité informatique
• Suivi budgétaire
4
Concepts de base et référentiels :
Le budget informatique
5
Concepts de base et référentiels :
Le budget informatique
6
2
Audit informatique – 1ère partie –
Ppa 2011
Concepts de base et référentiels :
Le budget informatique
7
Concepts de base et référentiels :
Le budget informatique
8
Concepts de base et référentiels :
Le budget informatique
9
3
Audit informatique – 1ère partie –
Ppa 2011
Concepts de base et référentiels :
La sécurité générale
• Principes de base
• Sensibilisation aux problèmes de sécurité
• Sécurité du personnel
• Sécurité physique du matériel (Mainframe /
Mini / Micro)
10
Concepts de base et référentiels :
La sécurité générale
• Sécurité des données, des programmes et de la
documentation
- Objectifs
- Sauvegarde et archivage
- Séparation des bibliothèques
- Sécurisation des accès
- Sécurité de la documentation
- Sécurité du réseau
- Sécurité des transmissions
• La prévention, la détection et les assurances
11
La sécurité générale – Démarche Méhari
• MEHARI (MEthode Harmonisée d’Analyse de
RIsques) : Fait suite à MARION en tant que
méthode d’analyse sécuritaire informatique du
CLUSIF et est compatible avec la norme de
gestion du risque :
ISO 13335
12
4
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
Mise en œuvre d’un cadre méthodologique de
4 modules pour établir un :
Plan Stratégique de Sécurité (PSS)
13
La sécurité générale – Démarche Méhari
• 2 questions concernant la sécurisation
informatique de l’entreprise et en particulier
de son SI :
1. Quelles sont préconisations énoncées dans
la démarche MEHARI ?
2. Quelle est la sécurisation opérationnelle du
SI concerné ?
Ces 2 questions représentent le socle de tout
audit sécuritaire informatique afin de définir
les actions à entreprendre
14
La sécurité générale – Démarche Méhari
Les 4 modules Méhari
15
5
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
• 1ère préconisation : Établir la liste exhaustive
des « situations de risque » de l’entreprise et
donc de son SI
• 2ème préconisation : Évaluer est le niveau de
risque de chacune des situations identifiées
• 3ème préconisation : Évaluer le niveau
d’acceptabilité de chacune de ces situations
• 4ème préconisation : Identifier les actions
possibles pour réduire les risques critiques
16
La sécurité générale – Démarche Méhari
Pour chaque critère, les réponses devront être
analysées selon 2 axes :
1. Différentiel de la 4ème préconisation vs la
pratique effective telle qu’existante
2. Niveau de pertinence ou de nuisance du
différentiel identifié
17
La sécurité générale – Démarche Méhari
La situation de risque pour MEHARI c’est :
• Un élément d’actif en situation de risque (unitaire
ou collectif/groupement) se trouvant dans une
situation de risque (configurations/
logiciels/transmissions/données/documentation…
• Un type de dégradation subi par cet élément
(c’est le « Risque »)
• Les circonstances (type, action, acteur) pouvant
générer cette dégradation (c’est la « Menace »)
18
6
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
Technique d’identification des risques (hors
vulnérabilités d’exploitation) :
• Un élément d’actif (unitaire ou
collectif/groupement) se trouvant dans une
situation de risque
• Un type de dégradation subi par cet élément
(c’est le « Risque »)
• Les circonstances (type, action, acteur) pouvant
générer cette dégradation (c’est la « Menace »)
19
La sécurité générale – Démarche Méhari
La vulnérabilité d’exploitation concerne la ou les
entités permettant de réaliser l’exploitation
effective du SI
• La raison : Les évolutions techniques et
fonctionnelles fréquentes engendrées par les
nouvelles technologies
• Le risque/faille existant(e) sera géré(e) en
même temps, donc au moment de la réduction
du risque issu de la situation de risque
20
La sécurité générale – Démarche Méhari
Identification des causes (Cf. Base de
connaissances MEHARI) :
• Exemple de causes (extrait de la BC)
Libellé de la cause
Indisponibilité passagère de ressources
Destruction d'équipements
Performances dégradées
Destruction de software
Altération de logiciel
Altération de données
Manipulation de données
Divulgation de données ou d'informations
Détournement de fichiers de données
21
7
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
Liste des situations/scénarios de risque (Cf. Base
de connaissances MEHARI) :
• Exemple de thèmes (extrait de la BC)
Libellé du thème
Rôles et structures
Sensibilisation et formation à la sécurité
Contrôle d'accès au site
Contrôle d'accès aux locaux
Risques divers
Architecture réseaux et systèmes
Contrôles des échanges
Contrôle d'accès logique
Sécurité des données
22
La sécurité générale – Démarche Méhari
• Exemple de sous-thèmes (extrait de la BC)
Chaque thème peut être découpé en sous-thèmes :
Libellé du sous-thème (pour chacun des
thèmes identifié)
Absence de personnel
Accident ou panne mettant hors service une ou
plusieurs ressources matérielles
Bug logiciel
Impossibilité de maintenance
Vandalisme depuis l'extérieur
Vandalisme intérieur
Indisponibilité totale des locaux
modification du logiciel
modification du matériel
23
La sécurité générale – Démarche Méhari
• Analyse des enjeux de la sécurité
- Identification des dysfonctionnements
potentiels pouvant être causés ou
favorisés par un défaut de sécurité
- Évaluation de la gravité de ces
dysfonctionnements
24
8
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
• Étude des vulnérabilités
- Vérification de l'absence de points faibles
inacceptables
- Évaluation de l'efficacité des mesures
mises en place et garantir leur efficience
- Comparaison à l'état de l'art ou aux
normes en usage
25
La sécurité générale – Démarche Méhari
• Réduction de la gravité des risques
- Identification des situations susceptibles
de remettre en cause un des résultats
attendus de l'entreprise ou de l'organisme
ou d'une entité en son sein
26
La sécurité générale – Démarche Méhari
- Les 3 évaluations :
. Probabilité d’occurrence
. Conséquences de l’apparition
effective
. Niveau d’acceptabilité
- La mise en évidence des mesures
susceptibles de ramener chaque risque à
un niveau acceptable
27
9
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
• Pilotage de la sécurité de l’information
- Mise en place d’un cadre structurant pour
définir les objectifs annuels ou les étapes
de plans d’actions
- Identification des indicateurs permettant
de comparer les résultats obtenus aux
objectifs
- Des références externes permettant
d’effectuer des " benchmark "
28
La sécurité générale – Démarche Méhari
• Sécurisation du SI de l’entreprise
1. Prise de connaissance de l’activité « métier »
couverte pas le SI (Processus métier)
2. Examen de l’infrastructure physique
existante
3. Analyse des contraintes de gestion du SI
29
La sécurité générale – Démarche Méhari
4. Élaboration de l’organisation sécurisée
adaptée
Tableau sécuritaire - Matrice générique
Secteur/Entité
Organisation
Sécurisation
Justifications
30
10
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
5. Secteurs/Entités à couvrir
- Gestion des ressources humaines
Administration générale dont l’organisation
(O) générale de l’activité informatique
Le management projet
Les études en différenciant les 2 pôles
d’activités F et T dont la gestion des experts
pour cette dernière
31
La sécurité générale – Démarche Méhari
Le développement/paramétrage
La recette
La maintenance (locale et à distance)
32
La sécurité générale – Démarche Méhari
La production/exploitation en SR pour chacune
des plateformes à gérer (dont la continuité de
service à assurer)
La gestion des ressources humaines externes
(consultants régie/forfait)
33
11
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
- Gestion des ressources matérielles et assimilé
Pour chacun des ensembles constitués :
Centre informatique, plateforme,…
L’architecture matérielle
Les transmissions
Les E/S de/vers le monde extérieur
Les liaisons internes filaires
Les connexions mixtes
ponctuelles/permanentes
34
La sécurité générale – Démarche Méhari
- Sécurisation des systèmes/ensembles externes
complémentaires au SI de l’entreprise
(exemple : La gestion d’activité
franchisée)
Pour chacun des ensembles constitués,
même démarche que pour le SI de l’entreprise
mais seulement pour ceux ayant un lien avec
celui-ci en terme de transmissions et de
traitements de données
35
La sécurité générale – Démarche Méhari
- Remarque :
Dans ce dernier cas la sécurité sera étudiée par
rapport aux seuls impacts pouvant avoir lieu sur
le SI lui-même de l’entreprise :
Sécurité des accès
Intégrité des données
Et seulement si nécessaire, la gestion des
logiciels/progiciels mis à disposition du
système externe
36
12
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
6. Composants Méhari :
Liste des thèmes sécuritaires découlant des
préconisations telles que justifiées dans le
tableau
Liste des sous-thèmes issus des thèmes
identifiés
37
La sécurité générale – Démarche Méhari
Mise en œuvre de la démarche
1. Prise de connaissance de l’ensemble à
sécuriser
Nature, structure de l’activité informatique
devant être organisée pour ensuite pouvoir
être sécurisée de la manière la mieux adaptée
38
La sécurité générale – Démarche Méhari
Exemple à traiter :
Organiser et en s’appuyant sur la base de
connaissances Méhari déduire la sécurisation
à mettre en place sur chacune des plateformes
pour l’ensemble de l’activité informatique
relative à la gestion des demandes de
dépannages de l’assistance Peugeot 7/7-24/24,
sachant que tous les services de la Dsi sont
directement installés dans les locaux du call
center.
39
13
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
2. Contexte fonctionnel
– Processus métier(s) concerné(s)
– Détails des services attendus
– Ensembles applicatifs à répartir
40
La sécurité générale – Démarche Méhari
Il s’agit de gérer en temps réel sur la plateforme,
les demandes clients des véhicules Peugeot sous
assurance constructeur.
Le client en panne dont le véhicule bénéficie de
cette assurance appelle le numéro téléphonique de
la plateforme de l’assistance Peugeot, à charge
pour l’opérateur d’ouvrir une fiche d’intervention
« dépannage client » si le véhicule bénéficie à ce
moment-là de l’assurance constructeur. Un numéro
de dossier est alors affecté permettant ainsi de le
suivre jusqu’à sa fermeture.
41
La sécurité générale – Démarche Méhari
Les fonctions à implémenter :
F1 – Enregistrement de la vente du véhicule
F2 – Ouverture et contrôle de la demande de
dépannage client
F3 – Affectation d’un dépanneur à la demande
F4 – Clôture de la demande de dépannage
F5 – Transfert de la vente de l’intranet au serveur
de l’assistance
F6 – Transmission de la vente SvCns 
SvIntranet
42
14
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
3. Contexte technique
– Architecture de l’existant
– Architecture cible aussi appelée architecture
à servir
43
La sécurité générale – Démarche Méhari
Les postes clients de l’architecture :
C1 = Poste Commercial
C2 = Poste Assistance
Le descriptif technique :
La plateforme de l’assistance Peugeot sur laquelle
sont gérées toutes les interventions demandées par
les clients.
La plateforme Concessionnaire chacun d’entre eux
du réseau transmettant de manière automatique
toutes les données relatives à chacun des véhicules
vendus bénéficiant de l’assurance constructeur.
44
La sécurité générale – Démarche Méhari
L’architecture des plateformes :
F2 F3 F4
C2
LanAs
F5
SvAs
F5
F6
F1
SvIntranet
C1
Plateforme Assistance Peugeot
LanCns
F6
SvCns
* Réseau Téléphonique Commuté
Plateforme Concessionnaire
45
15
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
4. Contexte organisationnel
– Les postes clients
– Répartition fonctionnelle par rapport au
contexte métier(s)
46
La sécurité générale – Démarche Méhari
L’organisation à gérer :
• La plateforme Concessionnaire transmet en
temps réel et en automatique par la F6 dès la
remise des clés les données de chacune des
ventes de véhicules bénéficiant de l’assistance,
le transfert SvIntranet/SvAs étant quant à lui
directement chaîné dès la fin de la transmission
SvCns/SvIntranet correspondante
47
La sécurité générale – Démarche Méhari
• En cas de non déclenchement automatique de la
transmission SvCns/SvIntranet, l’opérateur peut
avec la même F6 se connecter directement sur
l’intranet de l’assistance et effectuer
manuellement la mise à jour du véhicule
concerné
48
16
Audit informatique – 1ère partie –
Ppa 2011
La sécurité générale – Démarche Méhari
Objectif de l’étude :
Organiser et en s’appuyant sur la base de
connaissances Méhari en déduire la sécurisation à
établir sur chacune des plateformes pour l’ensemble
de son activité informatique relative à la gestion des
demandes de dépannages de l’assistance Peugeot
7/7-24/24, sachant que tous les services de la Dsi
sont directement installés dans les locaux du call
center.
49
La sécurité générale – Démarche Méhari
Travail à réaliser :
1. Tableau sécuritaire :
– Organiser les différentes activités de la Dsi
pour concevoir, développer, maintenir et
exploiter selon les contraintes, les logiciels
des fonctions implémentées.
– En déduire la sécurisation la mieux adaptée
2. Contribution Méhari (préparatoire à l’audit
sécuritaire)
– Identifier les thèmes sécuritaires
correspondant à la sécurisation proposée
– Décomposer chaque thème en sous-thèmes
50
La sécurité générale – Démarche Méhari
Remarque : Dans ce cas de « Peugeot assistance », le
tableau organisation/sécurité à traiter doit porter sur
les secteurs/entités suivantes :
Secteur/Entité
Gestion des RH :
Administration
Études F
Développement logiciel
Management projet
Maintenance logicielle
Recette
Exploitation plateformes en SR
Expert(s) technique(s)
Gestion des RM :
Configuration(s) plateforme(s)
Transmissions
Organisation Sécurisation Justifications
51
17
Documents connexes
Mes médicaments à l`Hôpital
Mes médicaments à l`Hôpital
Télécharger l`organigramme
Télécharger l`organigramme
La croissance et ses conséquences
La croissance et ses conséquences
découvrez une autre de nos spécificités
découvrez une autre de nos spécificités
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
CV Ekke Munz - Management de transition
CV Ekke Munz - Management de transition
Lancement de la révison du Plan de Protection de l`Atmosphère en
Lancement de la révison du Plan de Protection de l`Atmosphère en
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
Diplôme d`Etudes Supérieures Spécialisées
Diplôme d`Etudes Supérieures Spécialisées
Téléchargement
publicité