GUIDE D`AUDIT DES SYSTEMES D`INFORMATION
Contents
1. gestion rigoureuse des droits d acc s au syst me d information en coh rence avec la s paration fonctionnelle des t ches revue r guli re de la liste des habilitations application par application revue r guli re des points d acces s paration des t ches effective entre les fonctions d veloppements et exploitation supervision des profils sensibles allou s au personnel informatique tra abilit des acc s et actions sensibles Applications informatiques non fiables e Facteurs de risque erreurs dans la programmation des applications par rapport aux sp cifications fonctionnelles applications insuffisamment test es utilisateurs insuffisamment impliqu s dans les phases de d veloppements de l application e Contr les ou proc dures attendus forte implication des utilisateurs dans les d veloppements informatiques bonne gestion de projet veille environnementale proc dures de recensement des anomalies proc dures de maintenances adaptatives et volutives correctives 15 e Indisponibilit du syst me informatique e Facteurs de risque mauvaise gestion de l environnement mat riel du SI nergie climatisation protection physique etc absence de convention de service absence d outil de surveillance de la disponibilit du SI absence de cellule r active en cas d indisponibilit absence de contrat de maintenance des mat riels i2. comprenant notamment mode d emploi du manuel pr sentation du module d administration de l application droits d acces type par poste proc dure de cr ation modification suppression de droits d acces responsabilit d autorisation mode op ratoire documentation des pistes d audit et nature des contr les r aliser 1 8 V rifier l existence de proc dures formalis es imposant l accord du propri taire de l application pour tout changement sur e les programmes de l application maintenance corrective et volutive e la planification des traitements informatiques batch cl ture e l environnement technologique de l application V rifier que l administration est bien assur e par les utilisateurs 1 9 Le propri taire dispose t il d un compte rendu reporting mensuel intelligible de la performance de l application dans le respect du contrat de service 1 10 Existe il un guide utilisateurs manuel de proc dures diffus jour et ma tris comprenant notamment e mode d emploi du manuel presentation de l application mode op ratoire r gles de gestion crans et zones de saisie liste des messages d erreurs tats de contr le et d exception documentation des pistes d audit e description des contr les programm s et des contr les manuels compensatoires chaque phase du traitement mode op ratoire proc dure d escalade et ou de recyclage des
3. l intention des auditeurs internes de l Etat nous vous demandons de prendre quelques minutes pour remplir la pr sente fiche d valuation 1 A quelle occasion avez vous utilis ce guide Aviez vous d j une exp rience de audit des Syst mes d information OU el te Aviez vous d j t form l audit des Syst mes d information D ee Globalement ce guide vous a t il apport l aide dont vous aviez besoin O ra ne CM a ll a 7 Le cas ch ant quels aspects auriez vous souhait voir plus d velopp s Quels aspects vous ont ils parus trop d velopp s _ Pas assez d velopp s N A x Aid a a a a E E Da a ada ana ae Vous pouvez egalement t l charger ce formulaire au format L Trop d velopp s E E ARA ARANA ut E lectronique l adresse suivante E A T A id http www action publique gouv fr files questionnaire_guide_si doc Formulaire a renvoyer 8 Pouvez vous valuer l utilit de ce guide sur une chelle de 1 a par voie lectronique sec gen chai finances gouv fr peu utile 5 extr mement utile 1 Peu utile b ou voie postale Ll 2 Assez utile Secr tariat g n ral du CHAI T l doc 659 LJ 3 Utile 139 rue de Bercy L 4 Tr s utile 75572 Paris Cedex 12 _ 5 Extr mement utile 9 Souhaitez vous formuler d autres commentaires ou suggestions 112
4. surveillance de l utilisation des syst mes activit s sensibles op rations privil gi es modification de la s curit alertes sur incident violation tentatives infructueuses notification de firewall ou de sdi utilisation anormale ou atypique des ressources auditabilit des journaux revue r guliere des journaux synchronisation des horloges assure l exactitude des journaux d audit l ments de preuve 9 8 V rifier la gestion de l informatique mobile contr le d acc s aux ordinateurs portables protection des donn es stock es chiffrement protection contre les virus sauvegardes connexions automatiques distance sensibilisation du personnel dot d ordinateurs portables confidentialit du travail dans les lieux publics ou moyens de transport surveillance du mat riel contre le vol espionnage industriel 9 9 V rifier les suites donn es aux incidents v rifier les r actions des possesseurs des ordinateurs incident s v rifier les modalit s effectives de remont e de l information sur l incident ses d lais son parcours son format v rifier les mesures d isolement du ou des ordinateurs incident s v rifier l effectivit des mesures de communication d alerte v rifier l effectivit des mesures d enqu te et de l exploration men e pour identifier les failles du syst me ayant permis l incident v rifier les modalit s et le contenu de la
5. 3 3 La s paration des t ches est elle maintenue et assur e en cas d absence d un salari maladie vacances 3 4 L quipe actuelle en charge de la maintenance interne ou externe a t elle une ma trise suffisante de l application et les moyens de la faire voluer 3 5 Existe t il une proc dure formalis e et standard de maintenance de application valid e par l informatique et la ma trise d ouvrage concern e 3 6 Les nouvelles versions d veloppement interne progiciel sont elles syst matiquement test es puis recett es dans un environnement d di avant d tre livr es l exploitation 3 7 Existe t il une proc dure formalis e de transfert des programmes entre les environnements de recette et d exploitation 62 3 8 La documentation de l application est elle syst matiquement mise jour apr s chaque intervention de maintenance 3 9 Les corrections effectu es en urgence sur les programmes sont elles effectu es dans un cadre bien d fini et formalis Font elles l objet d un rapport syst matiquement revu par la direction informatique 3 10 Un logiciel de contr le de programmes sources et de programmes ex cutables est il utilis pour identifier et tracer toute modification effectu e piste d audit 3 11 Les travaux batch de l application qu ils soient p riodiques ou la demande sont ils syst matiquement planifi s et formellement valid s par le responsable d exploitation et p
6. 82 3 7 10 QUALIFICATION TEST RECETTE Toute application informatique doit tre test e avant de passer en production dans un premier temps par la ma trise d uvre puis par la ma trise d ouvrage test utilisateur Une procedure formalis e encadre l acceptation ou le rejet d une livraison Un proc s verbal doit syst matiquement tre dress en fin de recette p riode de test La qualit de la reprise des donn es peut tre incluse dans cette phase de test 10 Tests et recettes 10 1 La MOE r alise des tests 10 2 La MOE s assure que chacun des composants de l application fonctionne tel qu il a t d crit dans le dossier de sp cifications 10 3 La MOE r alise des tests sur l ensemble des composants de l application sur le plan fonctionnel et technique 10 5 Des tests utilisateurs sont r alis s avec les besoins exprim s par la MOA 10 7 Les tests portent sur l acceptation technique du syst me ergonomie performance qualit des entr es sorties 10 4 La MOE r alise des tests sur les interfaces de l application dans le SI 10 8 Il existe des tests de pr exploitation 10 9 Ces tests s assurent de la bonne int gration de l application dans l environnement de production 10 10 L application est recett e 10 11 L application s int gre bien dans l ensemble du SI 10 12 Il existe une proc dure formalis e de recette finale destin e accepter formellement l application z
7. L audit des SI peut soit constituer un sous domaine d un audit g n raliste organisation processus r gularit etc soit tre l objet principal de la mission application projet s curit respect de la l gislation etc 2 1 L AUDIT DES SI A L OCCASION DE MISSIONS GENERALISTES La pr sente partie a pour objectif de montrer en quoi des audits ayant a priori peu voir avec l informatique doivent aborder a minima le domaine SI Elle fournit une approche des implications SI de quelques missions types et dresse la liste des principaux enjeux et risques associ s acteurs rencontrer documents r cup rer et principales questions aborder Pour une approche plus sp cifique l auditeur pourra se r f rer la troisi me partie du pr sent guide 21 1 L AUDIT D UNE ORGANISATION Les organisations utilisent quotidiennement l informatique Celle ci peut prendre la forme de simple bureautique d applications d di es les mettant le cas ch ant en relation avec leurs cocontractants ou usagers via l Internet voire de syst mes informatiques plus complexes Ces outils informatiques sont d sormais indispensables au bon fonctionnement de l organisation Ils sont parfois au c ur de sa performance Pourtant les organisations n en ont pas toujours conscience Celles qui per oivent l importance de l informatique ne ma trisent pas toujours les arcanes de son pilotage de sa conduite et de sa s cur
8. e x 10 13 Tous les acteurs concern s participent activement a la phase de recette 10 14 Les personnes impliqu es dans la recette ont une maitrise suffisante du systeme 10 15 Les jeux d essais sont pertinents et assurent l tendue des tests 10 16 Les r sultats des jeux d essais et de la recette finale sont formalis s par la direction du d partement utilisateur 10 17 Il existe un dossier d organisation de la reprise des donn es 10 18 Le niveau de qualit des donn es d origine est bien ma tris 10 19 Il existe des contr les automatiques de la qualit des donn es obtenues apres reprise exhaustivite et exactitude 10 20 Les utilisateurs devant participer a la reprise des donn es ont t mobilis s le plus t t possible 10 21 Il existe un bilan de qualit du logiciel 10 22 Le bilan de qualit prend comme r f rence les exigences qualit fix es par la MOA et traduites par la MOE en objectifs et criteres a respecter 10 23 Le logiciel est conforme aux besoins fonctionnels exprim s par le cahier des charges 10 24 Le logiciel est conforme au niveau de performance attendu 10 25 Le logiciel est conforme au niveau de s curit attendu 10 26 Le logiciel est conforme au niveau de convivialit attendu 10 27 L appr ciation du logiciel est exprim e par les utilisateurs a travers un questionnaire 83 Documents a r cup rer 84 3 7 11 CONDUITE DU CHANG
9. e s assurer que le dernier changement des media de sauvegarde est en ligne avec ce que pr conise la proc dure e rapprocher le planning des livraisons en production et valider que les ventuelles modifications de p rim tre ont bien t incorpor es dans les proc dures 6 4 Se focaliser sur les aspects de restauration e s assurer qu il existe des procedures de restauration pr cisant les modalit s selon lesquelles on peut remonter partiellement ou totalement un syst me en partant des sauvegardes 6 5 Valider le suivi du planning pr visionnel de tests de restauration e consulter les comptes rendus des derniers tests de restauration e regarder l effectivite du plan d action d roulant du r sultat des tests de restauration e rapprocher le planning de livraison applicative avec les proc dures de restauration et valider que ces derni res sont jour 7 La maintenance du mat riel et du logiciel de base 7 1 Valider la compl te couverture des mat riels critiques et logiciels de base par des contrats de maintenance adapt s V rifier les engagements de disponibilit et les contrats de maintenance hardware ainsi que les clauses d exclusion de garantie e est ce que tous les serveurs critiques sont couverts Si non le fabriquant assure t il encore la maintenance de ce mat riel e en est il de m me pour les baies de disques et les l ments actifs de r seau e les d lais contractuels d interv
10. entit des documents d organisation de la gouvernance du SI mis a jour regulierement des comit s de pilotage informatiques r guliers suivi des incidents suivi des projets suivi des budgets etc au sein desquels la direction doit tre repr sent e a bon niveau des tableaux de bord de suivi de l informatique un portefeuille des projets Sl et des analyses de la valeur des syst mes d information une politique de s curit voir ci apr s approuv e au plus haut niveau de la direction des comit s de s curit r guliers au sein desquels la direction doit tre repr sent e bon niveau une cartographie des applications et syst mes informatiques jour incluse dans une politique d urbanisme informatique Cette cartographie est fondamentale pour les auditeurs les certificateurs ou tout autre organisme de contr le e une politique de s curit qui doit tre valid e et soutenue par la direction de l entit la politique de s curit des syst mes d information PSSI constitue le principal document de r f rence en mati re de s curit des syst mes d information SSI Elle refl te la vision strat gique de l entit et montre l importance qu accorde la direction la s curit de son Sl elle se mat rialise par un document pr sentant de mani re ordonn e les r gles de s curit a appliquer et a respecter dans l organisme Ces r gles sont g n ralement issues d une
11. tudier la scalabilit des architectures la modularit des architectures le niveau de maturit obsolescence des architectures op r es date de fin de maintenance des syst mes et progiciels versions des langages 3 3 V rifier que le dimensionnement des architectures actuelles permet de r pondre aux engagements de services indicateurs de pilotage et de mesure de la performance 3 4 V rifier que les infrastructures ne sont pas manifestement surdimensionn es en regard des besoins actuels et pr visibles 52 3 5 V rifier que les configurations mat rielles redondance mat rielle et r seau architecture disques clustering CPU m dia de sauvegarde permettent de garantir le niveau de disponibilit sur lequel la production s engage Type de questions e les syst mes de disques ou de stockage d information SAN pr munissent ils contre des pertes d information e les sauvegardes leur p rim tre et les temps de restauration sont ils adapt s et en ligne avec les engagements de la production e les acc s r seaux sont ils doubl s et les architectures sont elles doubl es 4 Livraisons en production 4 1 V rifier les conditions et proc dures de livraisons en production Valider la d marche de contr le des livraisons en production et a minima les points de contr les suivants e recette fonctionnelle entre tudes et utilisateurs PV de recette e r alis
12. grant des besoins de forte r activit mirroring dump sauvegarde en masse de donn es g re t on un archivage sp cifique pour r pondre aux obligations de la loi de finances pour 1990 sur les comptabilit s informatis es g re t on des sauvegardes externalis es permettant de se pr munir contre une perte de tout ou partie du SI les p rim tres incorpor s dans les sauvegardes permettent syst me OS une reconstruction compl te d un programmes donn es 6 2 Valider que les l ments suivants font partie int grante des proc dures de sauvegarde plan de sauvegarde identifiant par serveur application le p rim tre de sauvegarde fichiers programmes param tres os et la cyclicit acteurs homme syst me de sauvegarde en charge de la r alisation et du contr le des sauvegardes plannings pr visionnels de tests de restauration clauses de r vision des proc dures de sauvegardes et des 5 PAT A A A a R plication en temps r el des donn es sur deux disques durs miroirs 55 p rim tres nouvelle livraison applicative migration serveur e regle de remplacement et stockage des medias de sauvegarde 6 3 V rifier le bon suivi des proc dures de sauvegarde e consulter les comptes rendus de sauvegardes et valider la prise en compte de tout incident mentionn e v rifier les bordereaux d entree sortie des media supportant les sauvegardes externalis es
13. mise en place dans la phase d exploitation du nouveau syst me 11 20 Son organisation g n rale est bien anticip e 11 21 Les diff rents niveaux de soutien sont coordonn s et coh rents 11 22 Il existe un dossier d organisation de la reprise des donn es 11 23 Le niveau de qualit des donn es d origine est bien ma tris A rire z 11 24 Il existe des contr les automatiques de la qualit des donn es 11 14 Les sessions de formations sont valu es et repens es selon l valuation 85 Documents a r cup rer 86 12 14Le manuel d exploitation comprend la liste des messages 3 7 12 DOCUMENTATION op rateurs et les r ponses attendues 12 15 Le manuel d exploitation comprend les actions suivre en cas Pour que l application soit p renne et puisse voluer il est important de d anomalies produire de la documentation Ces documents contribuent la 12 16 Le manuel d exploitation comprend la liste des tats g n r s et transmission du savoir pour maintenir faire voluer et utiliser leurs destinations l application 12 17 Le manuel d exploitation comprend les proc dures de reprise 12 18 Le manuel d exploitation comprend les responsabilit s de l exploitation en mati re de contr les g n raux Points de contr le 12 19 Le manuel d exploitation fait l objet d une proc dure de mise jour 12 1 Il existe un manuel d utilisation 12 2 Le manuel utilisateur est conforme aux norm
14. niveau de maturit encore peu r pandu dans l administration les projets informatiques devraient tre pens s nativement dans une logique de processus L audit d un processus doit donc inclure un audit des outils informatiques sur lesquels il s appuie Cet audit doit inclure l examen des donn es et informations manipul es au cours du d roulement du processus y compris celles provenant d autres processus des applications qui servent ou automatisent tout ou partie des t ches ou proc dures qui le composent et des infrastructures informatiques de traitement et communication qu il utilise L auditeur devra donc l occasion de l audit d un processus e tudier travers les documents d crivant le processus et rendant compte de son fonctionnement les donn es et informations manipul es et les applications et les infrastructures utilis es d faut il devra lui m me d crire le processus avant d identifier ces l ments e v rifier que les instances de gouvernance qui pilotent ce processus sont galement comp tentes pour orienter les SI y concourant e v rifier l alignement strat gique des outils informatiques et des processus qu ils servent Cette approche devra tre tendue aux projets applicatifs e v rifier que la s curit physique et logique de ces donn es informations applications et infrastructures est en coh rence avec l analyse des risques de ce processus ll devra au pr alable v
15. rifier la pertinence de cette analyse des risques voire proc der sa propre analyse des risques e tudier le dispositif de contr le interne destin ma triser ce processus v rifier s il existe qu il est pertinent et s assurer que les outils informatiques y contribuent de mani re efficace et efficiente e v rifier que les infrastructures particuli rement r seaux et serveurs et les dispositifs d assistance aux usagers de ces syst mes sont suffisants pour r pondre aux besoins du processus L auditeur devra rencontrer e la direction g n rale pour valuer dans quelle mesure l organisation pilote ses processus voire pratique le pilotage par les processus mesurer son degr de sensibilisation au fait informatique et v rifier que l organisation qu elle a mise en place pour piloter ses Sl est en coh rence avec celle mise en place pour piloter les processus e la oules directions concern es par le processus audit pour valuer le degr de maturit de leur approche du processus et tudier l organisation qu elles ont mise en place en vue de d finir et exprimer des besoins en mati re informatique qui soient bien align s avec leurs processus 21 Il devra s ils existent le pilote du processus audit et la direction charg e du pilotage des processus ou du pilotage par les processus pour valuer leur degr de sensibilisation au fait informatique et la qualit de leurs relations avec la
16. s basique au tr s complet laaS PaaS SaaS etc le contenu pr cis de chacune de ces notions tant en d bat Les offres laaS et PaaS s adressent aux services informatiques Les offres SaaS s adressent directement aux utilisateurs des applications 4 1 15 DATACENTER Un datacenter ou centre de traitement des donn es est un lieu sp cialis contenant des serveurs de gestion de base de donn es SGBD des serveurs de fichiers et des serveurs applicatifs Il peut tre propre une organisation ou au contraire externalis ou mutualis logique de l informatique en nuage Il offre g n ralement des niveaux de services graduels allant de la seule fourniture de l environnement le b n ficiaire am ne ses propres serveurs l administration compl te d un ensemble applicatif II h berge g n ralement et de plus en plus les actifs les plus pr cieux d une organisation Ces centres se caract risent normalement par un environnement nergie climatisation protection physique et logique virtualisation acc s aux r seaux outils d administration et de supervision tr s soign destin garantir un tr s haut niveau de disponibilit d int grit et de confidentialit Il s agit avec la mutualisation entre tous les utilisateurs du co t financier et humain d un tel environnement de leur principal atout L insertion d un tel centre dans une cha ne nerg tique vertueuse doit aussi favoriser l atteint
17. s et du taux de r alisation par t che afin d identifier le reste faire et d anticiper toute d rive des projets suivi du chemin critique une proc dure d alerte en cas de d rapage du projet pour prise de d cision augmentation des d lais ou affectation de ressources additionnelles la diffusion de l tat d avancement des travaux et du nouveau planning des tudes 1 6 Pour les travaux de maintenance la charge de r alisation en jours homme est elle syst matiquement rapproch e de l estimation initiale afin d une part d affiner les m thodes d valuation des demandes et d autre part de mesurer la productivit relative des d veloppeurs 1 6 V rifier l existence d un tableau de bord mensuel de l activit des tudes offrant une bonne visibilit de l activit actuelle et venir des tudes e situation du portefeuille des demandes de maintenance et valuation de la charge globale pr visionnelle permettant d anticiper les besoins de sous traitance tats d avancement des projets nouveaux plannings et analyse des risques suivi budg taire mois et ann e glissante ytd couvrant les ressources internes et la sous traitance taux d occupation des ressources absenteisme volution de la productivit suivi de l volution des carts de charges de d veloppement estim es constat es et suivi des engagements de mise en production dates 1 8 Ce tableau de b
18. suffisamment associ s la d finition des sp cifications ou au choix de la solution puis aux volutions successives 4 4 Les utilisateurs r alisent ils toutes leurs t ches dans l application valuation du taux d automatisation des op rations 4 5 Sinon maintiennent ils des syst mes parall les ancien syst me tableurs en dehors de l application Existe t il des saisies multiples 4 6 Ad quation aux besoins des utilisateurs e la totalit des fonctionnalit s de l application est elle utilis e et ma tris e par les utilisateurs e l ergonomie de l application est elle satisfaisante Par exemple la saisie d une transaction r currente est elle suffisamment productive nombre d crans optimis saisie assist e temps de r ponse acceptable e les rapports issus du syst me r pondent ils convenablement aux besoins des utilisateurs En particulier chaque niveau de management dispose t il de l information qui lui est n cessaire ad quation l organisation e le support utilisateur technique et fonctionnel est il satisfaisant et adapt aux utilisateurs et aux enjeux e la documentation utilisateur est elle adapt e compl te accessible et permet elle une utilisation optimale de application e la formation des utilisateurs est elle suffisante adapt e et p riodique notamment pour une activit o le turn over est important e existe t il des enqu tes p riodiques de satisfac
19. tude des risques SSI apr s validation la PSSI doit tre diffus e l ensemble des acteurs du SI utilisateurs sous traitants prestataires Elle constitue alors un v ritable outil de communication sur l organisation et les responsabilit s SSI les risques SSI et les moyens disponibles pour s en pr munir la PSSI est un document vivant qui doit voluer afin de prendre en compte les transformations du contexte de l organisme changement d organisation de missions et des risques r valuation de la menace variation des besoins de s curit des contraintes et des enjeux id alement il devrait exister une charte d utilisation du syst me d information dans le but de sensibiliser les utilisateurs la s curit informatique informer les utilisateurs des responsabilit s qui leur incombent Pour une meilleure efficacit cette charte devrait tre sign e par tous les agents et une communication r guli re sur le sujet devrait tre mise en place avec le support de la direction Cette charte contiendrait par exemple les r gles de s curit et de bon usage protection du PC mots de passe confidentialit utilisation d internet de la messagerie protection du PC etc les normes relatives aux logiciels installation licences etc une description de la tra abilit des actions sur le SI laquelle chaque utilisateur est assujetti et les sanctions applicables en cas de non respect des r gles d
20. uvre est le garant technique du bon d roulement d un projet La MOE e propose des solutions techniques sur la base des besoins moyens et contraintes d finis par la MOA e assure ou supervise le d veloppement de l application e contr le et teste le r sultat tests unitaires et tests d int gration e livre l application pour la recette puis le cas ch ant l exploite 4 1 5 PROPRIETAIRE BUSINESS OWNER D UNE APPLICATION OU DE DONNEES Un propri taire d application est charg de veiller a la bonne adaptation d une application ou d un portefeuille d applications aux besoins du m tier notion d alignement strat gique et a son environnement logiciel et mat riel Il est a ce titre l interlocuteur du responsable des processus et m tiers utilisant l application de l urbaniste du syst me informatique du gestionnaire des budgets informatiques maintenance volution et nouveaux projets du responsable de la s curit informatique et du responsable des plans de continuit et de reprise de l activit de l organisation Il est responsable vis vis d eux de la correcte prise en compte de l ensemble de ces probl matiques Il veille a ce que les utilisateurs b n ficient d une formation et d un soutien ad quats Cette fonction ne doit pas tre confondue avec celle de responsable d application s qui d signe g n ralement celui qui au sein de la DSI est charg de la gestion du portefeu
21. 1 V rifier la documentation des proc dures et les responsabilit s op rationnelles 6 2 Contr ler les modifications op rationnelles 6 3 V rifier l tablissement de proc dures de gestion des incidents 6 4 V rifier la s paration des fonctions et des infrastructures 6 5 V rifier l tude de s curit en cas de gestion externe des infrastructures 44 6 6 V rifier les mesures de protection contre les infections logiques 6 7 V rifier les sauvegardes des donn es r alisation reguliere des copies de sauvegarde des donn es des applications et des parametres distinguer sauvegarde et archivage d terminer les p riodes de conservation des donn es conserver plusieurs g n rations de sauvegardes stocker les sauvegarde en lieu s r tester r guli rement les supports de sauvegarde tester r guli rement les proc dures de restauration 6 8 V rifier les modalit s de gestion des supports de donn es tenir en lieu s r tous les supports amovibles effacer de mani re s curis e le contenu des supports r utiliser hors de l organisation tablir une proc dure de mise au rebut des supports pr voyant leur destruction tablir des proc dures de manipulation des supports adapt es au niveau de sensibilit de l information contenue 6 9 V rifier les mesures de s curisation des changes de donn es d finition d accords portant sur les changes d informations et de logiciels ent
22. 2 premi res ann es 6 9 Si l application est de conception ancienne la structure en charge de la maintenance interne ou externe offre t elle des garanties suffisantes de p rennit de l application niveau de documentation taille anciennet et comp tence des quipes solidit financi re du sous traitant 6 10 Le niveau de d pendance vis a vis de cette structure est il raisonnable 6 11 L diteur a t il des r f rences significatives dans le m me secteur d activit et dans des organisations de taille et de complexit quivalente 6 12 La version du progiciel install e dans l organisation est elle mature et utilis e dans un nombre significatif d organisations 6 13 A t on proc d des d veloppements sp cifiques limit s qui ont respect les points d interface et les normes pr conis es par l diteur En particulier les sources du progiciel n ont ils pas t modifi s 6 14 Existe il un club utilisateurs o l Organisation est pr sente et influente 6 15 A t on souscrit un contrat de maintenance avec l diteur 6 16 Les redevances de maintenance sont elles r guli rement pay es 6 17 Le contrat pr voit il une clause dite d Escrow Agreement permettant de disposer des sources aupres d un tiers de confiance en cas de d faillance de diteur 6 18 Les mont es de versions sont elles regulierement effectu es 6 19 Dispose t on d un engagement ou d u
23. Le logiciel est il de conception r cente et fond sur des technologies portables non obsol tes et volutives mat riel OS SGBD outils de d veloppements 6 3 Les technologies utilis es sont elles matures et suffisamment r pandues sur le march Linux J2EE net Les comp tences existent elles sur le march notamment dans le contexte d un d ploiement international 6 4 Les technologies utilis es ont elles suffisamment de marge pour faire 65 face a un nombre croissant d utilisateurs et de transactions cf Business Plan 6 5 L application est elle techniquement et fonctionnellement int gr e dans le SI 6 6 L application est elle modulaire param trable et conceptuellement adapt e aux ventuelles volutions de l activit notamment e capacit d adaptation une internationalisation multilingue multidevise et multiprotocole e capacit d int grer une nouvelle entit juridique un nouveau produit un nouveau m tier e capacit de filialiser un m tier de l Organisation ou de d centraliser certaines activit s e capacit d un d ploiement massif client l ger versus client lourd 6 7 L application volue t elle r guli rement par versions successives 6 8 Le volume des demandes de maintenance volutive est il normal en fonction de l ge de l application et de maintenance corrective raisonnable 20 25 max de la maintenance dans les
24. Primavera MS Project e v rifier l existence d une m thode d valuation des charges e v rifier l ad quation des outils et proc dures aux besoins et enjeux e v rifier que la planification offre une visibilit suffisante de la charge des tudes 12 mois e v rifier que pour les nouveaux projets la planification couvre l ensemble du projet c est dire que l on se place dans une logique projet et non dans une simple logique d occupation des ressources gestion du chemin critique engagement sur une date butoir deadline 69 1 4 V rifier que la proc dure de planification est nominative et suffisamment d taill e pour permettre une bonne visibilit du taux pr visionnel d occupation des ressources v rifier que les projets travaux sont d coup s en t ches l mentaires g rables v rifier la coh rence transversale de la planification en fonction des ressources disponibles et s assurer que la planification prend en compte les cong s et la formation utilisation moyenne des ressources de l ordre de 190 200 j an v rifier tout particuli rement l existence de marges de s curit sur le chemin critique 1 5 V rifier l existence d une proc dure p riodique hebdomadaire a mensuelle en fonction des enjeux de suivi de l activit et de mise jour du planning articul e autour de l utilisation de time sheet nominatif relev d activit la saisie des temps pass
25. approuv par le plus haut niveau de l organisation Il doit faire l objet d arbitrages clairs portant sur les finalit s vis es les adaptations de processus op rationnels les ressources humaines et financi res affect es et les tapes et le calendrier de r alisation Sa dur e de vie est g n ralement comprise entre deux et six ans ra PLAN D OCCUPATION DES SOLS POS La multiplication des applications pr sentant des recoupements fonctionnels a conduit a la notion d urbanisation du systeme d information Il s agit par analogie avec les outils du d veloppement urbain de fixer des regles r gissant le d veloppement applicatif pour am liorer la couverture fonctionnelle de certaines activit s de l organisation viter la duplication des outils informatiques fournir une vision prospective de l volution du patrimoine applicatif etc Le patrimoine applicatif est ainsi r parti sur un plan d occupation des sols en zones quartiers ilots et blocs fonctionnels Les applications actuelles et futures sont cens es tre r parties entre chacune des subdivisions En 99 pratique ce d coupage n est pas toujours ais ce qui peut amener la cr ation de zones fonctionnelles dites transverses et a l affectation d une application la zone correspondant a sa fonction principale voire historique au d triment parfois d une vision d ensemble des services qu elle rend Cette d marche d urbanisation encoura
26. claire tenue jour comportant un index de la documentation une cartographie g n rale et d taill e des applications des sp cifications d taill es par application des dossiers d architecture technique par application MCD tableaux crois s donn es programmes traitements de contr le des interfaces 3 6 Existe t il une documentation utilisateurs par application incluse dans la recette comportant notamment le manuel d utilisation la description des donn es saisies et mises jour les tats de contr le disponibles les contr les automatiques effectu s 3 7 En cas d utilisation de progiciels v rifier l existence des programmes sources Si l organisation ne dispose pas des sources v rifier l existence contractuelle d un Escrow agreement 72 3 7 AUDIT DES PROJETS Pointsdecontr le 1 Objectifs et enjeux du projet Les aspects relatifs la gouvernance a la ni sont traites dans les ca een a das Sinden ens fiches 3 1 et 3 2 Les points de contr le propos s ci dessous leur sont i erro ae d impacts ont t r alis es compl mentaires ae z er P 1 2 Un bilan critique des processus existants a t effectu 1 3 Le choix de recourir un nouveau syst me est obtenu apr s optimisation des processus concern s et v rification que cette 3 7 1 OBJECTIFS ET ENJEUX DU PROJET optimisation ne suffit pas apporter par elle m me les gains de Un projet est un ensemble de t ches i
27. communication des rappels vers les utilisateurs l issue de la crise ou des nouvelles consignes 47 10 D veloppement et maintenance des syst mes 10 1 Exigences de s curit des syst mes expression des besoins contr le interne piste d audit s curit sp cification d taill e des besoins contr le interne piste d audit s curit audit des sp cifications recette des fonctionnalit s de contr le interne piste d audit s curit audit de la recette audit post mise en place 10 2 S curit des syst mes d application validation des donn es d entr e type limites de valeur liste de valeurs possibles contr le des traitements contr les de sessions s quentielles totaux de contr le exhaustivit des traitements validation des donn es de sortie contr le de plausibilit rapprochement 10 3 Protocole de recette tests syst matiques avant le passage en production utilisation d un environnement diff rent de l environnement de production participation des utilisateurs la recette documentation de la recette et archivage s paration des fonctions d veloppement exploitation proc dure de passage en production lors des maintenances correctives urgentes journalisation des actions 10 4 S curit des fichiers contr le des logiciels op rationnels mise jour uniquement par biblioth caire uniquement code ex cutable journal d audit
28. contr les que les donn es initiales et jouissent elles d une piste d audit suffisante 61 2 20 Toutes les op rations de mise a jour des donn es sensibles sont elles journalis es transactions traitements batch 2 21 Toutes les op rations de mise a jour des donn es sensibles sont elles journalis es transactions traitements batch 2 21 Rapproche t on les totaux de contr le de fin de journ e et la difference est elle analys e au travers des transactions journalis es 2 22 Des contr les automatiques p riodiques notamment de vraisemblance sont ils effectu s afin de v rifier l int grit des montants g r s par l application niveau applicatif ou base de donn es 2 23 La couverture le contenu et la distribution des tats de sortie de l application sont ils adapt s aux enjeux et l organisation de l organisation 2 24 Effectuer une revue d taill e des tats disponibles et de leur destinataire et v rifier que chaque nouvel tat de sortie fait l objet d une proc dure de recette 2 25 Chaque utilisateur dispose t il du bon niveau d information et de moyen de contr le adapt 2 26 La distribution des tats de sortie est elle sous contr le existence d une proc dure permettant l identification et la validation formelle des destinataires et leur niveau de confidentialit assur 2 28 Les contr les utilisateurs des tats de sortie font ils l objet de proc dures formalis es guide de p
29. crites e le respect de la l gislation en mati re de syst me d information la l gislation ne peut tre appr ci e en termes uniquement de contrainte La mise en conformit du SI permet de garantir de fa on raisonnable un environnement de contr le satisfaisant de son SI les principaux textes applicables sont la loi de s curit financi re LSF avec un volet informatique puisque l objectif est de renforcer la fiabilit des informations financi res des entreprises mais aussi le contr le interne sur les aspects op rationnels de m me que la loi Sarbanes Oxley aux tats Unis mais uniquement sur les aspects financiers en France la loi de finances sur le contr le des comptabilit s informatis es vot e en 1991 puis compl t e en 1996 et 2006 contribue la justification informatique de la piste d audit 10 la d claration CNIL a en revanche un objectif diff rent puisqu elle sert a prot ger les donn es personnelles des individus manipul es dans les applications informatiques le respect des bonnes pratiques en mati re de commande publique l achat de prestations ou de logiciels est un acte complexe qui suppose une excellente coop ration entre les op rationnels et les services acheteurs La possibilit de recourir au sur mesure plus fr quente que pour d autres types d achats impose en contrepartie une rigueur particuli re s agissant des sp cifications des proc dures de passation
30. de la charte 4 1 9 ENVIRONNEMENTS DE DEVELOPPEMENT ETUDES D INTEGRATION ET DE PRODUCTION EXPLOITATION La s gr gation des environnements et des fonctions de d veloppement et de production informatique est un l ment essentiel de la s curit informatique et de la lutte anti fraude Elle joue en mati re informatique un r le quivalent la s paration entre ordonnateurs et comptables en mati re de d pense publique et rev t la m me sensibilit Toute modification des applications informatiques depuis les grands projets applicatifs jusqu la mise jour d une composante du syst me d exploitation doit respecter cette s gr gation Elle est d velopp e sur un environnement SI sp cifique qui peut tre celui d un prestataire sur lequel elle est test e une premi re fois Elle est ensuite qualifi e par les quipes de la production dans un environnement distinct de l environnement de production l environnement accessible aux utilisateurs sur lequel sont r alis es les activit s r elles de l organisation mais aussi repr sentatif que possible de ce dernier Cette qualification inclut les tests de bon fonctionnement mais aussi la revue du code ou d faut des sp cifications d taill es et de la documentation Cette acceptation par la production est un pr requis indispensable au transfert de la modification sur l environnement de production Les interventions directe des tudes sur
31. des utilisateurs notion de qualit de service Les aspects relatifs a la gouvernance et a la s curit sont trait s dans les fiches 3 1 et 3 2 Les points de contr le propos s ci dessous leur sont compl mentaires 1 Enjeux engagements de service et suivi de la performance 1 1 S assurer que les niveaux de services sur lesquels s engage la production sont en ad quation avec les enjeux de disponibilit d int grit et de confidentialit des diff rents systemes 1 2 S assurer que les moyens organisationnels ex escalade humains ex nombre et comp tences des personnels d astreinte et mat riels ex architecture redondante permettent un respect des engagements de service 1 3 V rifier que les niveaux de service assur s par la production font l objet de conventions de service comportant des indicateurs mesurables valider le contenu des conventions de services S assurer que les principaux attributs de la prestation font l objet d indicateurs de mesure de la performance et d objectifs quantifi s Juger la pertinence des indicateurs et l ambition des objectifs au regard des enjeux 1 4 S assurer que le suivi de la performance est un process continu demander les derniers comptes rendus l attention des utilisateurs En cas de non respect des objectifs de la convention de service valider la pertinence des actions correctives entreprises V rifier que les tableaux de bords de production font l objet d un
32. est en coh rence avec leur importance pour l organisation e v rifier que le march d externalisation traite convenablement des aspects informatiques notamment en ce qu il pr voit bien quelles sont les obligations des deux parties en matiere de manipulation et de conservation des ressources informationnelles et mat rielles et qu il organise de mani re cr dible la r versibilit e v rifier qu il existe une instance de gouvernance de la relation entre l organisation et son prestataire qui permette en cas de besoin l adaptation de la relation contractuelle l volution de l environnement informatique L auditeur devra selon les cas rencontrer e les acteurs op rationnels de l organisation charg s des relations courantes avec le prestataire pour identifier les ressources informatiques informationnelles mat rielles et humaines concern es par la prestation externalis e e la direction g n rale du p rim tre auquel appartient le champ audit pour valuer dans quelle mesure elle est consciente de la dimension informatique de la prestation externalis e e la direction charg e des achats pour examiner comment les aspects informatiques ont t trait s dans le march d externalisation Dans l id al ce march comportera une clause d audit permettant l auditeur d examiner les op rations informatiques r alis es par le prestataire l occasion de l ex cution du march e la direction ch
33. et de r ception et du pilotage des assistances la MOA ou la MOE cette complexit rend d autant plus important le respect du code des march s publics et des guides de bonnes pratiques r dig s par le SAE et ce quelle que soit la m thode de d veloppement utilis e Contrairement ce que l on entend parfois les dispositions encadrant la commande publique sont en effet adapt es au domaine informatique y compris la m thode agile et leur application rigoureuse et sinc re peut viter nombre de d convenues un param trage correct des droits d acc s aux applications informatiques les droits d acces au SI doivent refl ter les r gles de s paration des t ches telles que d finies dans l organisation au niveau informatique les d veloppeurs ne peuvent pas avoir acc s a l environnement de production et le personnel d exploitation ne peut pas avoir acc s l environnement de d veloppement Par ailleurs Vattribution de droits tr s lev s administrateurs doit tre limit e et toute action de ces profils sensibles doit tre trac e et revue r guli rement au niveau des applications informatiques les droits d acces attribu s doivent traduire de fa on informatique les r les de chacun dans l organisation Chaque agent n a acc s qu aux applications qui le concernent dans sa fonction et l int rieur des applications il existe des restrictions au niveau de cha
34. et processus produisent de la donn e et de nombreux acteurs et processus peuvent tre impliqu s dans la cr ation la mise jour et la destruction d une donn e particuli re ou de ses m tadonn es C est pourquoi toute donn e devrait avoir un propri taire explicitement d sign dans l organisation responsable sinon de sa cr ation de son entretien de sa suppression de sa protection de son int grit de sa disponibilit et de sa localisation du moins de la d finition des droits et r gles applicables la totalit de ces dimensions et de la v rification de leur attribution et de leur respect Par ailleurs pour le fonctionnement d une organisation la non duplication par exemple dans des fichiers bureautiques locaux est un enjeu au moins aussi important que la qualit interne ou externe d une donn e En effet une donn e p rim e conserv e localement peut tre utilis e en lieu et place de la donn e actualis e conserv e dans la base de donn es ad quate et il est tr s probable que la copie ne b n ficiera pas des r gles de gestion applicables l originale Au del de la v rification ponctuelle de la qualit interne d un ensemble de donn es l auditeur doit donc examiner leur qualit externe Il devra s int resser aux processus aboutissant une op ration sur les donn es aux responsabilit s relatives la d finition des r gles applicables en la mati re et au respect de leur mise e
35. gique commun du SI de l tat et le cadre commun d urbanisation e m thode MAREVA 2 d analyse de la valeur des projets SI Forum de la performance 12 122 LES RISQUES INFORMATIQUES 1 2 1 GENERALITES Les d veloppements ci dessous d crivent pour chaque risque informatique les principaux facteurs de risque et les contr les ou proc dures qui doivent tre mis en place pour pr venir r duire voire supprimer ce risque Pour m moire l externalisation d un service SI conduit transf rer les risques sans pour autant les couvrir de mani re certaine En mati re informatique comme dans tous les autres domaines l externalisation d un risque ne dispense ainsi pas une organisation de s assurer qu il est effectivement ma tris par son cocontractant et ne l exon re en rien de sa responsabilit finale Les principaux risques informatiques peuvent tre regroup s en 3 domaines e les risques op rationnels qui sont les plus nombreux pour le sujet trait e les risques financiers puisque l informatique et l information sont des actifs e les risques l gaux de non conformit puisque les entit s sont soumises des normes internes et externes certaines de port e l gale concernant la gestion du SI 1 2 2 LES PRINCIPAUX RISQUES INFORMATIQUES Les principaux risques facteurs de risques et dispositifs ou moyens de contr les des risques informatiques sont les suivants e Inad quation du SI
36. il est l un des outils qui permet l organisation d atteindre ses objectifs Il ne se justifie qu en tant qu il soutient des processus m tier sans lesquels il n a aucun sens Il doit donc tre align avec les objectifs strat giques de l organisation Cet alignement strat gique est fondamental d sormais un syst me informatique est un facteur d terminant de la performance efficacit efficience ma trise des risques d une organisation Inversement un syst me informatique inadapt ou mal ma tris peut tre une source in puisable de difficult s Les d veloppements suivants exposent de mani re synth tique les principaux facteurs cl s de la performance du SI et les risques sp cifiques qui p sent sur son fonctionnement 1 1 1 1 LA PERFORMANCE DU SI DE L TAT Le d veloppement de services pertinents pour le citoyen et l entreprise la modernisation des outils mis disposition des agents l ouverture des donn es publiques au profit d une meilleure transparence et de l innovation doivent s appuyer sur des syst mes d information performants C est pourquoi le Premier Ministre a valid et diffus par circulaire le 7 mars 2013 le cadre strat gique commun du syst me d information de l tat labor par la direction interminist rielle des syst mes d information et de communication DISIC Ce cadre strat gique commun du SI de l tat fixe une ambition commune port e par les syst me
37. l application audit e n cessite la modification d un ou plusieurs l ments de son environnement l auditeur doit recommander les volutions n cessaires Ainsi l audit d une application surtout s il est suscit par une situation pathologique peut entra ner la remise en cause e de l urbanisation du syst me informatique e de la formation des utilisateurs y compris le personnel de la production informatique administrateurs soutien aux utilisateurs etc e de l articulation entre les fonctions tudes et production e du ou des processus au x quel s contribue l application y compris le dispositif de contr le interne mis en place pour en ma triser les risques e de l organisation du soutien externalis de l application e de l organisation de la gouvernance de la fonction informatique Cela vient videmment en compl ment des aspects examiner propos s en troisi me partie du pr sent guide Pour autant le mandat de l auditeur dans le cas d esp ce n est pas l audit de la fonction informatique dans son ensemble mais celui d une application bien d finie ll devra donc veiller constamment ce que ses diligences et recommandations aient un lien avec l application audit e 29 2 22 LES AUDITS DE PROJETS INFORMATIQUES Un projet informatique n existe que pour r pondre a un besoin Il faut donc s assurer au dela du respect de la m thodologie de conduite du projet que le besoin exist
38. le interne pour v rifier qu elle a bien pris en compte les ressources informatiques dans le dispositif de contr le interne du p rim tre audit voire s appuie sur elles pour la r alisation de ses propres objectifs Il devra se procurer e l inventaire des ressources informatiques utilis es dans le p rim tre audit notamment la cartographie des applications et des syst mes 23 e les contrats et inventaires de licences e les d clarations CNIL e la description du dispositif de contr le interne incluant la part prise par l application des r gles informatiques e les rapports de v rifications issus du dispositif de contr le interne et les bases de donn es r pertoriant les incidents d exploitation pour valuer la fiabilit des traitements informatiques e si n cessaire les sp cifications d taill es des applications concourant la mise en uvre d un corpus normatif par un traitement automatis Au final l auditeur devra porter une appr ciation la fois sur la valeur de la contribution de l informatique la r gularit des op rations audit es et sur la r gularit des activit s informatiques elles m mes Il lui appartient de formuler les recommandations utiles en la mati re 24 2 1 4 LES AUDITS DES FONCTIONS EXTERNALISEES Rares sont les fonctions externalis es qui n ont pas besoin d changer r guli rement des donn es avec l organisation ce qui suppose une interconnex
39. ou infog rance mise disposition de l administration 6 5 V rifier que la loi sur la propri t intellectuelle logiciel pirate est connue et rigoureusement respect e e v rifier l existence d un inventaire des configurations logicielles e valuer valider la proc dure de mise jour de cet inventaire 41 une proc dure automatique doit tre privil gi e effectuer des contr les sur un chantillon de postes de travail sur la base de l inventaire fourni contr ler les justificatifs de licences 42 32 AUDIT DE SECURITE L information est un actif pr cieux de l Organisation ce titre il faut la prot ger contre la perte l alt ration et la divulgation Les syst mes qui la supportent doivent quant eux tre prot g s contre l indisponibilit et l intrusion La s curit est une d marche globale de l Organisation organis e autour d une politique de s curit Il faut donc consid rer les syst mes dans leur globalit et l ensemble des acteurs 1 Facteurs cl s de succ s 1 1 Une politique de s curit est d finie et correspond l activit de l Organisation 1 2 Une d marche de mise en uvre de la gestion de la s curit est adopt e et compatible avec la culture de l Organisation 1 3 La direction assure un soutien total et un engagement visible 1 4 Les exigences de s curit et les risques sont compris et valu s 1 5 L ensemble des responsa
40. suivi ad quat se faire communiquer les tableaux de bords de production et juger de leur pertinence aussi bien que de leur compl tude s assurer de l existence de proc dures permettant l quipe de production de rem dier aux ventuels probl mes identifi s par l interm diaire des tableaux de bords 2 Organisation de la fonction production 2 1 S assurer que la ligne de partage entre tudes et production est clairement d finie et document e 2 2 V rifier que l organisation de la production correspond une r ponse adapt e aux besoins op rationnels de l organisation e comprendre la structuration du service production Identifier les modalit s de d coupage des r les et responsabilit s d coupage par application par technologie par niveau de support et s assurer qu ils permettent de r pondre de maniere ad quate aux enjeux de disponibilit de s curit et d int grit e valider l ind pendance de la production par rapport aux tudes e v rifier l existence de convention de service par application 51 v rifier l existence de moyens de communication normalis s entre production et autres acteurs de l organisation 2 3 V rifier que les technologies op r es sont suffisamment ma tris es identifier les diff rentes technologies utilis es valider lexistence pour chacune d entre elles des comp tences suffisantes tant d un point de vue qualitatif que quantitatif et si la tai
41. 5 MISE EN PRODUCTION Points de contr le La phase de mise en production est celle de la mise a disposition des utilisateurs Elle doit se faire de mani re ordonn e en respectant strictement les proc dures internes lors de la bascule de responsabilit entre la direction charg e des projets et la direction charg e de la production tests n ont pas pu simuler ll est donc primordial d assurer la reprise d activit le plus rapidement possible apr s la mise en production de application pour ne pas gaspiller la p riode de garantie Cette tape soul ve souvent des probl mes que les environnements de Documents r cup rer 90 3 8 AUDIT DES MARCHES SPECIFIQUES AU DOMAINE INFORMATIQUE Ce paragraphe est consacr aux march s sp cifiques au domaine informatique Il a vocation compl ter le guide des bonnes pratiques des achats de services informatiques du service des achats de l tat SAE qui reste la r f rence Les risques propres a ces march s sont notamment l impr cision des responsabilit s des acteurs tatiques et priv s en raison de l utilisation dans les march s des notions de MOA MOE AMOA etc sans accord explicites des parties sur la port e de ces notions la complexit op rationnelle et juridique des prestations notamment pour les fonctions partiellement externalis es la nature des prestations qui peuvent ais ment d river vers un positionnement illicite des agents du p
42. Comit d harmonisation de l audit interne Guide pratique du CHAI Parmi les th mes d audit abord s dans ce guide L audit des Sl l occasion de missions g n ralistes p 19 L audit du pilotage des syst mes d information p 37 L audit de s curit p 43 L audit de la production informatique p 51 L audit des applications informatiques en service p 59 L audit du support utilisateurs et de la gestion du parc p 67 L audit de la fonction tude p 69 L audit des projets p 73 L audit des marches sp cifiques au domaine informatique p 91 yx Libert galit Fraternit R PUBLIQUE FRAN AISE Version 1 0 juin 2014 Pr caution concernant l utilisation du pr sent document Le pr sent guide a t labor par un groupe de travail interminist riel sous l gide du Comit d harmonisation de l audit interne CHAI Il est le fruit de plusieurs mois de travaux collectifs de partage d exp riences et de mise en commun des meilleures pratiques ayant cours dans les corps de contr le ou les missions minist rielles d audit interne Son objet est au premier chef de faciliter l harmonisation de la m thodologie de travail des auditeurs internes et il se rapporte ce titre la partie dispositions recommand es du cadre de r f rence de l audit interne de l Etat Ce document est une premi re version actuellement en cours d exp rimentation par les praticiens de l audit interne e
43. EMENT ET MISE EN UVRE Enjeu capital dans la r ussite ou l chec d un projet le changement v cu par les organisations lors d une volution du syst me d information doit tre ma tris et g r comme un processus part enti re Il s agit de l ensemble de moyens ressources m thodes pour transf rer la connaissance de l application de l quipe projet vers les utilisateurs et les exploitants de l application Ce processus doit aboutir une r elle appropriation du nouveau syst me d information par tous les utilisateurs d s la phase de d marrage La d marche de conduite du changement mise en uvre est habituellement structur e en 6 phases e identification et valuation des changements e plan de communication e plan de formation e laboration definitive de la documentation e organisation du soutien e dans les cas simples la reprise des donn es peut tre incluse dans cette phase 11 Conduite du changement et mise en ceuvre 11 1 Il existe une synthese de l valuation des changements 11 2 L valuation des changements a t valid e 11 3 Les entretiens r alis s sont repr sentatifs 11 4 Les utilisateurs participent a l valuation des changements 11 5 Il existe un plan de communication complet 11 6 Les messages sont clairs et simples 11 7 La communication volue et progresse par rapport au d veloppement du projet 11 19 Une organisation de soutien aux utilisateurs a t
44. OMAINE Ces d finitions rapides doivent permettre aux auditeurs de v rifier qu ils partagent avec les audit s une m me compr hension de certaines notions sp cifiques et complexes Cette v rification est particulierement n cessaire lorsqu une tierce partie un prestataire est impliqu e par exemple lors de l examen des conditions de r alisation d un march 4 1 1 GOUVERNANCE DU SI La Gouvernance des Systemes d Information ou Gouvernance informatique d signe le dispositif mis en place par une organisation pour contr ler et r guler son SI ce titre la gouvernance du SI fait partie int grante de la gouvernance de l organisation et consiste d abord a fixer au SI des objectifs d coulant de la strat gie de l organisation Les r f rentiels et fournissent des l ments permettant de mettre un syst me d information sous contr le et de le faire voluer en fonction de la strat gie de l organisation 4 1 2 SCHEMA DIRECTEUR ET PLAN STRATEGIQUE INFORMATIQUE Le sch ma directeur est un plan strat gique destine a piloter le d veloppement de l informatique dans l organisation en coh rence avec sa strat gie g n rale Un sch ma directeur informatique d crit le systeme informatique actuel et futur dans une logique d objectifs et de services attendus Il offre donc une vue globale de l tat present du systeme un inventaire et une sp cification des besoins et d finit des orientations Il est
45. RP 2222222 re ern drone nee in dae ATA Ade E ai Anti 107 4 2 Dichonnaire d s ACEOMY MOS A kleine es 109 Fiche d valuation du Guide d audit des syst mes d information 111 INTRODUCTION L essentiel des travaux d audit relatifs au systeme d information ne n cessite pas de connaissances tres approfondies en informatique mais une bonne ma trise des pratiques d audit Ce guide s adresse toutefois a des auditeurs a minima avertis c est dire ayant suivi une session de sensibilisation ou ayant d ja effectu une ou deux missions d audit dans le domaine en compagnie d un auditeur sp cialis dans le domaine des SI La sensibilisation pourra notamment s appuyer sur des guides de formation mis disposition par le CHAI Il propose dans une premi re partie une information g n rale sur les facteurs cl s permettant d am liorer la performance de la fonction et du systeme informatique en les articulant avec les principaux risques du domaine Il d crit en deuxieme partie d une part la dimension informatique des principaux audits g n ralistes audit en organisation audits de processus etc et d autre part les aspects plus g n raux des audits visant sp cifiquement le domaine SI audits d application de la s curit informatique des projets etc Il pr sente en troisieme partie les points a aborder en fonction de l aspect audite Ainsi pour chaque theme l auditeur sera renvoy a un tableau identifiant l
46. age du patrimoine SI et une aide la d cision pour toutes les actions de transformation Le cadre commun d urbanisation CCU du SI de l tat constitue un des l ments du corpus r glementaire applicable pour la construction la gestion l exploitation et la transformation du SI de l tat tous les niveaux Ce corpus se compose de documents de politique globale applicables l ensemble du SI de l tat e le cadre strat gique qui d finit la strat gie de l tat en mati re de SI e la politique de s curit d finissant les r gles g n rales de s curit e le cadre commun d urbanisation d finissant la d marche d urbanisation e le cadre commun d interop rabilit Ce corpus comprend galement des documents r glementaires techniques port e plus large administrations de l tat collectivit s territoriales organismes de la sph re s curit et protection sociale d finis par l ordonnance n 2005 1516 du 8 d cembre 2005 e le r f rentiel g n ral d interop rabilit e le r f rentiel g n ral de s curit e le r f rentiel g n ral d accessibilit pour l administration Il comprend galement des documents port e minist rielle e un cadre strat gique minist riel ou sch ma directeur d clinant le cadre strat gique du SI de l tat dans le contexte m tier d un minist re e un cadre de coh rence technique normes standards et r gles d architecture applica
47. anomalies d lais de mise en uvre 2 Audit de la s curit et de la fiabilit Analyse des risques associ s l application 2 1 L acc s aux ressources de l application donn es et transactions est il restreint par un syst me de gestion d acc s 2 2 Existe t il une proc dure de gestion des profils utilisateurs de l application plac e sous la responsabilit du propri taire de l application proc dure de cr ation modification et suppression des droits d acc s Un dispositif de SSO est il mis en uvre 2 3 Chaque utilisateur poss de t il un identifiant qui lui est propre V rifier qu il n existe pas de compte g n rique et que l informatique chef de projet n a que des acc s en lecture au m me titre que d ventuels sous traitants et diteurs 2 4 Le mot de passe associ l identifiant permet il d assurer une protection d acc s efficace 7 caract res minimum gestion de l historique des mots de passe sur 2 ans contr le de trivialit changement trimestriel des mots de passe etc 2 5 Les tentatives de connexions infructueuses l application sont elles enregistr es et contr l es par le propri taire de l application Sont elles limit es 60 2 6 L acc s aux donn es et aux transactions de l application peut il tre correctement param tr en fonction des t ches des utilisateurs ou le systeme de confidentialit est il base sur le contr le d acces aux donn e
48. ans le cadre de l externalisation audit e Il devra se prononcer sur les fragilit s ventuelles r sultant de la dimension informatique de l externalisation notamment en termes de r versibilit de s curit et de contr le interne Il lui appartient de formuler les recommandations utiles en la mati re 26 2 Bese LES AUDITS DE PROJETS NON SI Au del des projets sp cifiquement informatiques applications infrastructures migrations de donn es etc qui font l objet de d veloppements ult rieurs la plupart des projets contiennent une dimension informatique qui concerne la fois la conduite du projet et la cible vis e Ainsi les ressources informatiques mises la disposition de l quipe projet doivent tre adapt es et utilis es convenablement Il s agit autant d ergonomie que de r silience et de s curit surtout pour un projet strat gique ou sensible Par ailleurs quel que soit le projet organisationnel industriel RH cr ation d un nouveau service aux administr s etc la cible finale comportera tr s certainement une dimension informatique ll pourra par exemple s agir de d velopper les outils n cessaires un nouveau processus de d m nager des services avec leurs ressources informatiques associ es sans rupture de la production d assurer la convergence entre les syst mes informatiques de deux entit s fusionn es ou au contraire leur s paration lors d une scission Dans tous le
49. ar le responsable utilisateur 3 12 Existe t il une proc dure de contr le des traitements batch et d archivage des comptes rendus d ex cution 3 13 La gestion des incidents en g n ral et les proc dures d urgence en particulier sont elles d finies et correctement document es 3 14 La documentation d exploitation est elle jour dupliqu e prot g e et inclut elle les proc dures de gestion des incidents et de reprise red marrage 3 15 V rifier l existence et l application d un Contrat de Service SLA pour l application e v rifier que le SLA couvre les besoins de disponibilit d int grit et de confidentialit de l application et de ses donn es e valider que les engagements de service sont en ad quation avec l analyse des risques 3 16 V rifier que les moyens organisationnels ex escalade astreintes proc dures et reporting humains effectif comp tences des personnels mat riels et logiciels ex architecture redondante outil de mesure permettent le respect des engagements de service et la mesure rigoureuse du niveau de service 3 17 valuer le niveau de service par l analyse des tableaux de bord 3 18 Les proc dures de sauvegarde et de reprise de l application sont elles satisfaisantes et r pondent elles aux enjeux de l application et aux engagements de service de l informatique 3 19 Une partie des sauvegardes est elle stock e a l ext rieur de l organisation ban
50. arg e des syst mes informatiques pour v rifier qu elle a valide les changes avec le prestataire y compris le cas ch ant les modalit s d interconnexion entre le syst me informatique de l organisation et celui du prestataire 25 si le march le permet le prestataire pour examiner la s ret la s curit la r gularit et la conformit au march des op rations informatiques qu il effectue a l occasion de la prestation la direction charg e de la supervision du contr le interne pour v rifier qu elle a bien pris en compte l existence d une externalisation dans le dispositif de contr le interne appliqu aux ressources informatiques Il devra se procurer le ou les march s organisant l externalisation la description des processus externalis s et de ceux impact s par l externalisation l inventaire des ressources informatiques utilis es pour ou impact es par l ex cution de la prestation externalisee notamment la cartographie des applications et des syst mes les documents contractuels fournir par le prestataire assurant de son respect des dispositions contractuelles et r glementaires dans le domaine informatique la description du dispositif de contr le interne pr cisant la part revenant au prestataire et celle support e par les syst mes informatiques Au final l auditeur devra porter une appr ciation sur la qualit de la prise en compte des probl matiques informatiques d
51. ation de tests d int gration e test des proc dures et des packages de livraisons y compris retour arri re e sauvegarde des environnements impact s avant livraison e livraison effectu e un moment o un retour arri re est possible sans impacter le service client le soir le week end e recette d exploitation entre tudes et production PV de recette 4 2 V rifier les conditions et proc dures de livraisons en production Valider le niveau de responsabilit de la production par rapport aux livraisons des tudes e la production a t elle un pouvoir de veto si elle estime qu il n y a pas de garantie quant au risque relatif a la livraison tests non effectu s sources non fournies livraison non packag e et non document e e les tudes mettent elles a disposition dans un environnement tanche les sources et la production prend elle le relais pour les op rations ult rieures compilations param trage 4 3 V rifier la nature des tests effectu s par la production S assurer que les machines et les environnements disponibles permettent de r aliser le cas ch ant les tests suivants e test de mont es en charge volum trie pour du transactionnel et exploitabilite pour des traitements asynchrones e integration technique portant non seulement sur de l int gration au niveau du systeme mais aussi au niveau de interaction avec l ordonnanceur de production et le systeme de remo
52. avec la strat gie de l entit et les besoins des utilisateurs e Facteurs de risque e manque d implication de la direction dans la gestion de l informatique e absence de sch ma directeur e absence de gouvernance informatique manque d implication des utilisateurs bureaux m tiers dans les projets informatiques e absence d analyse de la valeur des SI mis en place e Contr les ou proc dures attendus e supervision de l informatique par la direction de l entite e existence d une strat gie en ad quation avec la strategie de l organisation traduite par exemple dans un sch ma directeur informatique e gouvernance informatique en place et valid e par la direction 13 e Incapacit de analyse de la valeur par exemple par MAREVA 2 forte implication des utilisateurs bureaux m tiers dans les projets informatiques l organisation red marrer les syst mes informatiques en cas arr t ou destruction e Facteurs de risque absence de sauvegarde r guli re du SI sauvegardes externes absence de plan de secours absence de site de secours e Contr les ou proc dures attendus mise en place d un plan de secours document mis jour lors de modifications majeures de l environnement informatique et test au moins une fois par an proc dure de sauvegarde quotidienne des donn es et programmes critiques stockage des sauvegardes l ext rieur d
53. bles et des employ s sont sensibilis s et inform s 1 6 Les lignes directrices de la politique de s curit et des normes de s curit de l information sont distribu es tous les employ s et tous les fournisseurs 1 7 Les acteurs de la s curit sont form s de mani re appropri e 1 8 Un syst me de mesure complet et mis en place afin d valuer l efficacit de la gestion de la s curit de l information et pour collecter les suggestions d am lioration 2 Politique de s curit 2 1 Il existe une politique de s curit formalis e avec une implication de la direction g n rale et une d finition claire des responsabilit s 2 2 La communication se fait tous les utilisateurs sous une forme pertinente accessible et compr hensible au lecteur 2 3 Une revue r guli re de la politique est r alis e afin de v rifier son ad quation avec e les volutions des activit s de l organisation et donc des risques e les changements technologiques e l historique des incidents 2 4 La d marche de s curit inclut la totalit de l informatique et non les seuls r seaux serveurs et applications Les imprimantes et t l phones sous IP l informatique technique et industrielle l informatique de gestion technique des b timents celle de gestion des acc s et temps de travail etc b n ficient sans exception ni zone d ombre du dispositif de s curit 3 Organisation de la s curit 3 1 Il existe une s
54. bles localement e une methode de conduite de projet qui d finit et structure les relations ma trise d ouvrage MOA et ma trise d oeuvre MOE et le pilotage des projets de transformation du Sl pour un ministere ou une administration Il comprend ventuellement une charte d urbanisation qui d cline localement le cadre commun d urbanisation sans pour autant modifier les principes ou le cadre d activit mais uniquement en pr cisant l organisation les m thodes de travail et le fonctionnement local 1 1 1 2 LES FACTEURS CLEFS D UN SI PERFORMANT Un Sl id al e est en ad quation avec la strat gie de l organisation et les objectifs des m tiers e est en conformit avec les obligations l gales e est s curis e est facile a utiliser e est fiable e est adaptatif e est p renne e est disponible e est efficient e respecte le plan d urbanisme quand il fait l objet de march s est conforme aux bonnes pratiques de la commande publique Les principaux facteurs clefs d un Sl performant sont les suivants e une forte implication de la direction dans la gestion du SI Elle doit notamment superviser la gestion du Sl par la mise en place des outils de pilotage suivants un sch ma directeur informatique SDI qui d finit la strat gie informatique pluriannuelle dont la validation par la direction ent rine l ad quation entre la strategie informatique et la strategie de l
55. ch s correspondants e pilote la MOE par une comitologie adapt e aux enjeux et m thodes retenues ex AGILE e valide les solutions propos es par la MOE et suit leur r alisation e r ceptionne l application conform ment aux besoins exprim s e administre l application jusqu son retrait L assistance ma trise d ouvrage AMOA soulage le travail de la MOA en la d chargeant des t ches de pilotage de nature technique assistance a la sp cification assistance a la selection de la MOE et a la contractualisation de la prestation secr tariat de la comitologie etc Les principaux d fauts observ s sont e AMOA rempla ant dans les faits la MOA ce qui conduit rapidement un d faut de ma trise du projet par le commanditaire avec toutes les d rives associ es e AMOA palliant les lacunes de l quipe projet au lieu de l assister e AMOA mal s lectionn e et manquant d ind pendance vis vis de la MOE ce qui peut par exemple avoir un impact sur le contenu de la sp cification et la conduite de l appel d offres e AMOA ne pouvant tre remise en concurrence en raison de son emprise sur le projet 100 La partie tudes de la direction informatique joue fr quemment le r le de MOA d l gu e Ce sch ma qui permet de faire piloter l AMOA ou la MOE par des sp cialistes des projets informatiques n exon re pas la direction m tier de ses responsabilit s de MOA La ma trise d
56. conduite du changement e la direction charg e des syst mes informatiques pour v rifier qu elle est convenablement associ e la d finition des attendus informatiques du projet Il devra se procurer e le document de management du projet et les objectifs assign s au projet la description des processus cibles et de leur dimension informatique l inventaire et la cartographie des donn es applications et syst mes informatiques impact s ou mis en place par le projet 27 e les comptes rendus de la comitologie notamment ceux qui abordent les aspects informatiques Au final l auditeur devra porter une appr ciation sur la qualit de la prise en compte des probl matiques informatiques dans le cadre du projet audit Il devra se prononcer sur les fragilit s ventuelles r sultant de la dimension informatique du projet notamment en termes d alignement strat gique de l informatique avec les objectifs du projet de s curit physique et logique et de contr le interne Il lui appartient de formuler les recommandations utiles en la matiere 28 2 2 LES MISSIONS D AUDIT DONT L OBJET PRINCIPAL APPARTIENT AU DOMAINE DES SI Cette sous partie a pour objectif de montrer en quoi des audits focalis s sur l informatique doivent s extraire du strict p rim tre de l informatique pour aborder des dimensions ayant un impact sur le SI Elle ne d crit bien s r pas le coeur de la mission d audit objet de la trois
57. criptions l gales d coulant de la loi Informatique et Libert s sont connues proc dures de d claration documentation r gles de confidentialit et respect es e prendre connaissance et valuer la d marche et les proc dures mises en uvre au sein de l organisation information inventaire 6 2 V rifier que la loi sur la fraude informatique est connue et que des mesures pr ventives ont t prises e les banni res d accueil aux routeurs et aux serveurs d acces Y distant de type Bienvenue Welcome sont elles bannies et remplac es par des messages d avertissement prendre connaissance de la nature et de la pertinence de la communication interne sur le sujet 6 3 V rifier que les lois sur l usage de moyens de chiffrement et de la signature lectronique sont connues et le cas ch ant respect es 6 4 V rifier que la loi sur le contr le fiscal des comptabilit s informatis es est connue et dans la mesure du possible respect e e contr ler les procedures annuelles de sauvegarde et d archivage des donn es et des programmes des applications concern es v rifier l existence de documentations tudes exploitation utilisateurs et d une proc dure de mise jour de cette documentation s assurer que ces obligations fiscales sont contractuellement prises en compte avec les fournisseurs concern s sous traitance d un d veloppement documentation ASP
58. curit Ils doivent toujours tre en conditions op rationnelles ce qui implique de mettre en place une politique de tests r guliers 104 En raison de la forte d pendance des organisations vis a vis de leur SI les PCA et PRA doivent voluer de pair avec le SI Ils peuvent ou non se d cliner dans une notion connexe limit e a l informatique les plans de reprise informatique PCI ou de continuit informatique PRI 4 1 13 INFOGERANCE ET OUTSOURCING L infog rance consiste d l guer a un ou plusieurs prestataire s informatique s tout ou partie de la gestion de son syst me d information Les prestations correspondantes et le niveau de service attendu sont formalis s dans un cadre contractuel ou par un march Cela peut concerner des elements d infrastructure mise en place et exploitation de serveurs ou de systemes de sauvegarde supervision de services r seau ou de t l phonie et ou des aspects logiciels d veloppement maintenance En infog rance dite totale l organisation confie l int gralit de la gestion de son SI a une entreprise tierce de la conception la maintenance en passant par l exploitation La sensibilit strat gique du SI et des actifs num riques la qualit de la prestation et sa r versibilit sont des l ments de d cision essentiels Les m canismes d infog rance et d outsourcing connaissent un fort regain d actualit li l mergence du concept de cloud computi
59. cycles de d veloppement classiques dits cycles en V Ainsi ils peuvent ne pas tre totalement applicables et appropri s pour les modes d organisation et les m thodes actuelles pr nant le d cloisonnement des ma trises d ouvrage et d uvre et les d veloppements en mode agile Par ailleurs ces approches doivent tre appliqu es en subsidiarit des ventuels r f rentiels officiels d audit et de contr le en vigueur au moment des audits Sommaire des principaux domaines d audit tudi s 3 1 AUDIT DU PILOTAGE DES SYSTEMES D INFORMATION p 37 3 2 AUDIT DE SECURITE p 43 3 3 AUDIT DE LA PRODUCTION INFORMATIQUE p 51 3 4 AUDIT DES APPLICATIONS INFORMATIQUES EN SERVICE p 59 3 5 AUDIT DU SUPPORT UTILISATEURS ET DE LA GESTION DU p 67 PARC 3 7 AUDIT DES PROJETS p 73 3 8 AUDIT DES MARCHES SPECIFIQUES AU DOMAINE p 91 INFORMATIQUE 35 36 3 1 AUDIT DU PILOTAGE DES SYSTEMES D INFORMATION La notion de maturit d une organisation dans le domaine des syst mes d information est une notion importante dans la compr hension et l valuation du r le et de la performance de l informatique dans l organisation Cette maturit se d cline d abord sur les plans fonctionnel et technologique puis sur le plan organisationnel et manag rial L objectif de l audit est d valuer la maturit informatique de l Organisation et l ad quation du r le du positionnement et des objectifs de la DSI avec les enjeux de
60. dations d ja cit es pour couvrir certains risques informatiques comme la politique de s curit informatique la documentation informatique a jour la s curit des d veloppements informatiques la gestion rigoureuse des droits d acces au SI e S agissant des d clarations CNIL il est recommand qu une personne soit sp cifiquement d sign e dans l organisation pour g rer ce sujet et l anticiper Elle doit notamment sensibiliser sur le sujet les services en charge des d veloppements informatiques e Sl non p renne e Facteurs de risque utilisation de la sous traitance informatique sans transfert de comp tence en interne documentation informatique inexistante ou non mise a jour suite aux volutions du SI obsolescence de l application et ou de la technologie utilis e forte d pendance vis vis de personnes cl s qui peuvent quitter l entit e Contr les ou proc dures attendus e le SI doit faire l objet d un sch ma directeur informatique e la documentation informatique doit tre compl te et jour notamment dans un contexte de forte utilisation de la sous traitance ou d applications anciennes des proc dures de transfert de comp tence entre les sous traitants et les quipes informatiques internes doivent tre mises en place Les progiciels de gestion int gr s PGI constituent un cas particulier porteurs d avantages d inconv nients et de risques sp cifiques Le
61. de 2ER er 69 3 7 Audit des projets sonnette sien ale ee ala id 73 3 7 1 IAN NN NN 73 3 7 2 tude d opportunit et expression des beso A cn ernes n neee rat 74 3 7 3 Planification aia a ra anna ae Be E Ad RE RA Ad e ne ee 75 3 7 4 Instarices de pilota AAA A NANA 76 3 7 5 Methodes ef A A A RS 78 3 7 6 Rlan assur nce Ultra ls RR En nat Id et nd EE ste tests 79 CAVE Conception genetale et analyse eire e Re an Denen he te aba nado daa enr ee teurs en nn Snap te a nt en ete etats 80 3 7 8 Conception detalle ss 22 te iaa Sr ts rte nn nie R tn AT iO nl ne RE houses 81 3 7 9 D veloppement r alisation o parametrage c is icciesiescssssssersnsscncsossbeveusssiccseosoeceesvsseasceessesvevedsenssosdbetenevssebessosbeosedoiinsnstabsearevesestesbadbetorsdbessusatbedeseosoedtebonies 82 3 7 10 Qualification test recette 2 3 522 232 EIN estas ais ibas Bese aed 83 3 741 C nd ited changement et mise en EUren eetset senoir ii ae NR 85 3 412 Documentation 2 2 2 E I RSE D A A AES DSAI DA ES A SES EA ES E AE A S 87 37 135 EA AAA NN 88 E E SO A NARRAN 89 SAA ES production asenne neen NR ANNO 9 3 8 Audit des march s sp cifiques au domaine informatique 91 3 8 1 tude des march s asista MUS A i 92 3 8 2 Etude des march s d acquisition de prestations informatiques sur la base d un forfait sescssssssssssseeesesseeeseesnseeeessnsecesnsnsceesnseesensnsesesnsneceesnnneceesnesees 94 3 8 3 Etude des march s d acquisition d
62. des versions protection des donn es d essai des systemes banalisation des donn es de production garder une copie pour rejouer les tests dans les m mes conditions contr le de l acc s aux biblioth ques de programmes sources hors de la production acc s r serv aux d veloppeurs autoris s gestion des versions et conservation de l historique des modifications Organisation politique de s curit normes et standards en vigueur personnes et quipes impliqu es dans l exploitation du r seau et du parc micro administration maintenance s curit support utilisateur d finition des responsabilit s proc dures appliqu es ou pr vues mode d grad plans de sauvegarde d archivage de secours de reprise etc interlocuteurs pour l audit informatique et utilisateurs 48 49 50 3 AUDIT DE LA PRODUCTION INFORMATIQUE Un audit de la fonction production consiste a analyser la capacit de l organisation a exploiter les syst mes dans des conditions r pondant aux besoins op rationnels d finis par les directions utilisatrices Il s agit d analyser l ad quation des moyens humains mat riels logiciels et organisationnels proc dures d exploitation de sauvegardes mis en uvre pour r pondre aux enjeux de l organisation en termes de disponibilit de ses applications d int grit et de confidentialit de ses donn es et enfin de conformit aux besoins op rationnels
63. direction charg e des SI la direction charg e des SI pour valuer la pertinence et les cons quences de son positionnement dans l organisation et dans les processus de gouvernance vis a vis du processus audit se procurer la cartographie des processus de l organisation la description du processus audit incluant l inventaire des donn es et informations manipul es et des applications et infrastructures utilis es les tableaux de bord rendant compte de son d roulement et de sa performance la cartographie des donn es informations et applications informatiques de l organisation les politiques SI et de s curit SI de l organisation et le cas ch ant leur d clinaison l gard du processus audit la ou les charte s de l utilisateur des SI laquelle sont soumis les acteurs du processus le cas ch ant les comptes rendus des comit s ou groupes de travail consacr s pour tout ou partie au processus audit notamment lorsqu ils abordent le patrimoine informationnel qu il manipule et les outils informatiques qui le servent e la liste des projets applicatifs en cours principalement ceux qui ont un impact sur le processus s ils sont identifi s selon cette cl Au final l auditeur devra porter une appr ciation sur l adaptation efficacit efficience s curit r silience de l informatique aux besoins du processus audit et sur sa contribution au dispositif de contr le inter
64. dit d un projet surtout s il est suscit par une situation pathologique peut entra ner la remise en cause Par exemple MAREVA 2 sp cifiquement cr pour rendre compte de la pertinence des projets SI e des modalit s d expression et de recueil des besoins m tiers e du processus d arbitrage entre projets concurrents e de l organisation de passation des march s avec les ma tres d uvres informatiques voire avec les assistances ma trise d ouvrage e dela gestion des processus au sein de l organisation notamment du processus ayant suscit le projet audit e de l organisation de ce processus e de l organisation de la gouvernance de la fonction informatique e de l urbanisation du SI de l organisation Cela vient videmment en compl ment des aspects a examiner propos s en troisieme partie du pr sent guide Pour autant le mandat de l auditeur dans le cas d espece n est pas l audit de la fonction informatique dans son ensemble mais celui d un projet particulier II devra donc veiller constamment ce que ses diligences et recommandations aient un lien avec ce projet 30 2 28 LES AUDITS DE SECURITE Un dispositif de s curit n est pas une fin en soi Il n existe que pour prot ger des actifs Il faut donc s assurer au dela des aspects examin s habituellement dans le cadre de l audit de la s curit generale informatique cf chapitre 3 que le dispositif de s curit est justifi e
65. doit veiller l utilisation par l quipe projet d un cadre de r f rence m thodologique Les principales difficult s rencontr es sont le manque d homog n it des livrables la difficult d utilisation de la m thode et l incompatibilit des outils en place avec la m thode 5 M thodes et outils 5 1 Il existe une m thode de conduite de projet et celle ci est appliqu e 5 2 La m thode repose sur un d coupage des projets en t ches 5 3 La m thode repose sur une attribution formelle des responsabilit s par t che 5 4 La m thode repose sur une identification pr cise des points de contr le et des livrables 5 5 La m thode repose sur un reporting des temps travers une feuille de temps 5 6 La m thode repose sur un outil de planification 5 7 La m thode repose sur des outils 5 8 Les outils de suivi des d lais et des co ts sont adapt s 5 9 La plan g n ral du projet est suffisamment pr cis 5 10 Les t ches identifi es constituent des unit s g rables 5 11 Les membres de l quipe projet ont t form s la m thode et aux outils e manuel de la m thode appliqu e e liste des outils utilis s 78 3 7 6 PLAN ASSURANCE QUALITE Points de contr le Le plan assurance qualit PAQ est un document d crivant les dispositions sp cifiques prises en matiere d assurance de la qualit par un organisme pour r pondre aux exigences relatives a un produit et ou service particulier Docume
66. du HD V rifier sur les postes utilisateurs les versions antivirus firewall version e analyser la criticit moyenne des tickets 2 9 Demander la strat gie de formation des utilisateurs et de l quipe Windows version IE Help Desk 4 Gestion du parc mat riel et logiciel audit d efficacit 2 10 Demander les reportings de suivi et de performance 2 11 Demander les tudes de satisfaction 4 1 Comment est effectu l inventaire des licences logiciel version date 3 Gestion du parc mat riel et logiciel audit fiabilit et de mise en production nombre d utilisateurs s curit 4 2 Outils de type SAM Software Asset Management sont ils d ploy s 3 1 Quelle est la procedure de d ploiement des mises a jour d un 4 3 Existe t il des revues r guli res des licences nouveau logiciel 4 4 Existe t il une base de donn es de gestion de configuration de type 3 2 Quels sont les outils mis en place pour g rer les versions des CMDB Configuration Management DataBase logiciels 4 5 La DSI est elle sensibilis e aux enjeux de la ma trise des licences 3 3 Quels sont les outils mis en place pour g rer le mat riel notamment en cas de contr le informatique 4 6 Des audits sont ils r alis s 4 7 Une politique logicielle existe t elle 68 3 0 AUDIT DE LA FONCTION TUDE Les tudes sont une fonction sensible de la DSI en charge du developpement et de la maintenance des applications infor
67. e e couvrant l ensemble du cycle de vie de l application conception exploitation e favorisant la responsabilisation et l appropriation par les utilisateurs de leur syst me d information La notion de propri t d application est elle utilis e 1 3 Le r le et les responsabilit s des utilisateurs vis vis de l application sont ils clairement identifi s et couvrent ils l analyse des risques la d finition des besoins de s curit la gestion des changements et des volutions l administration de l application 1 4 A t il t r alis une analyse des risques sp cifique l application qui a d bouch sur la d finition des besoins de s curit classification formelle des donn es et des traitements en termes de disponibilit d int grit et de confidentialit 1 5 Dans le prolongement de l analyse des risques et de l expression des besoins de s curit a t il t mis en uvre un contrat de service SLA entre l informatique et la direction utilisatrice 1 5 Independamment de l application e prendre connaissance et analyser le niveau de contr le 59 interne et de s paration des t ches au sein de la direction utilisatrice e valuer le niveau de sensibilit des utilisateurs la s curit ainsi que le niveau de maturit de l organisation vis vis de ses syst mes d information 1 7 Existe il un manuel d administration de l application jour et ma tris
68. e II devra donc veiller constamment ce que ses diligences et recommandations aient un lien avec cette derni re 31 2 24 LES AUDITS DE QUALITE DES DONNEES Les donn es surtout lorsqu elles sont suffisamment importantes pour susciter un audit sont parmi les actifs les plus pr cieux d une organisation La qualit des donn es est g n ralement indispensable au bon d roulement des processus Elle porte souvent un enjeu financier r f rences fournisseurs l ments de calcul de la paie etc parfois vital s agissant par exemple des dossiers m dicaux informatis s La qualit de la donn e est duale elle est interne s agissant par exemple de l exactitude de la donn e mais aussi externe notamment les m tadonn es s y rapportant En effet la cat gorisation d une donn e identification de donn es comme tant sensibles telle des coordonn es bancaires ou des critures comptables des donn es personnelles ou relevant du secret industriel m dical de la d fense nationale etc devant ce titre tre prot g es qui conditionne le r gime qui lui est applicable droits d acc s et de modification peut tre aussi importante que la donn e elle m me De m me la qualit des libell s en plein texte ou le renseignement des mots cl associ s aux documents peuvent tre indispensables au bon fonctionnement des fonctions de tri et des algorithmes de recherche automatique De nombreux acteurs
69. e l entit test es les sauvegardes doivent tre r guli rement lorsqu une activit est fortement d pendante de l informatique mise en place d un site de secours S curit du SI inadapt e au niveau de risque identifi et accept par la direction e Les facteurs de risque sont multiples car la s curit est transversale a tous les processus de l informatique s curit physique s curit logique s curit du r seau s curit de l exploitation s curit des PC s curit des donn es etc e Contr les ou proc dures attendus politique de s curit en place valid e et support e par la direction de l entit outils de surveillance du systeme informatique par exemple supervision quipe s curit d di e recensant tous les incidents relatifs a la s curit et capable d intervenir en cas d v nement de s curit 14 e Acc s aux donn es et aux applications par des personnes non autoris es e Facteurs de risque absence de politique de s curit absence de gestion rigoureuse d attribution des droits d acc s absence de gestion rigoureuse des points d acc s syst mes informatiques ne permettant pas une gestion fine des droits d acc s gestion des mots de passe insuffisante e Contr les ou proc dures attendus politique de s curit valid e par la direction de l entit politique de gestion des mots de passe efficace
70. e qu il a t convenablement recueilli et exprim et qu il n est pas perdu de vue L auditeur peut s appuyer pour cela sur des outils d analyse de la valeur L auditeur peut se retrouver face a un projet qui au lieu de respecter l urbanisation en vigueur contribue au contraire a l h t rog n it voire au d sordre du syst me informatique Cependant l irrespect du cadre urbanistique par un projet ne doit pas entra ner une condamnation automatique car cette incoh rence peut r v ler une urbanisation ou une organisation urbanistique inad quates qui dans ce cas ne doivent pas n cessairement pr valoir sur le projet et ses attendus Au del des aspects classiques d un audit de projet cf chapitre 3 l auditeur doit donc examiner la qualit de l expression du recueil et de la traduction du besoin l urbanisation du syst me informatique l inscription du projet dans cette urbanisation voire la gouvernance du Sl en ce qu elle explique pour une large part les forces et faiblesses observ es En effet les recommandations mises au terme de l audit ne peuvent faire abstraction de cet environnement Tout cela suppose une compr hension de la fonction informatique allant tres au dela du simple objet audit Au dela si la correction d une faiblesse du projet audit n cessite la modification d un ou plusieurs l ments de son environnement l auditeur doit recommander les volutions n cessaires Ainsi l au
71. e des objectifs environnementaux de l organisation notion d informatique verte ou green computing Les deux principaux enjeux actuels sont leur localisation pour des raisons de confidentialit et de r gime juridique et la chasse aux multiples petits datacenters historiques parfois un simple PC dans un bureau qui offrent g n ralement un environnement tr s loign des meilleures pratiques 4 1 16 MAINTENANCE APPLICATIVE OU CORRECTIVE TMA TME La maintenance d une application est une activit indispensable qui consiste a adapter en continu une application l volution de son environnement technique logiciel et de s curit Un renouvellement de mat riel n cessite en effet le recours de nouveaux pilotes une modification de pile logicielle ensemble des outils informatiques qui permettent le fonctionnement de l application par exemple le syst me d exploitation doit tre prise en compte par les applications et la d couverte d une faille de s curit implique la mise en place d une protection G n ralement cette maintenance co te annuellement le cinquieme du prix initial de l application Sa bonne ex cution est de la responsabilit du propri taire de l application Son suivi est le plus souvent confi a la DSI g n ralement par la partie tudes La maintenance applicative est 106 parfois d sign e par les sigles MCO maintien en condition op rationnelle et MCS maintien en conditio
72. e prestations informatiques sur la base d un forfait horaire ttres 95 3 8 4 tude des march s d infog rance ou de tierce maintenance applicative TMA trentenaire 96 3 8 5 tude des march s ayant pour objet la fourniture d une application h berg e tannins 97 Dictionnaire des expressions sp cifiques et ACTONYINES nana een damien dre ten tire 99 41 Dictionnaire des expressions sp cifiques du domaine 99 4 1 1 GoUvernance A A 99 4 1 2 Schema directeur et plan strat gique informatique iii 99 4 1 3 Plan doccupation des sols POS Lens 2 Re rada dde taa E E un nil in inst 99 4 1 4 Maitrise d ouvrage MOA et ma trise d UVIE nine 100 4 1 5 Propri taire business owner d une application ou de donn es 101 4 1 6 Base d amp donneesima ltresse n ran in MR ANN 101 4 1 7 ont X CE AA RN 102 4 1 8 CEharte d utili da a nt a Mu Dios 102 4 1 9 Environnements de d veloppement tudes d int gration et de production exploitation 103 e a E l O ED E E ET A iaa 104 41 11 Convention et contrats de service SLA OLA 2222er aN ao a a ro e aea N kraai 104 4 1 12 Plan de continuit de l activit et plan de reprise de l activit sisi 104 41 13 Infogerance et EUtSsoUr ng ee NN 105 4 1 14 Informatique en nuage ou Cloud Computing sine 105 AlS Datacenter ere A A AA A Sn ER D DE E Ai 106 4 1 16 Maintenance applicative ou corrective TMA TME sise 106 4 1 17 Progiciel de gestion int gr e PGI E
73. e projet s inscrit il dans le sch ma directeur du systeme d information et ce dernier est il align avec le sch ma directeur de l organisation 4 2 Evaluation de l alignement strat gique de l application e v rifier l existence d une ma trise d ouvrage forte et impliqu e e v rifier que la direction g n rale a particip l tude pr alable et a valid le projet et notamment l analyse co ts b n fices e v rifier que le cahier des charges de l application prend en compte tous les aspects du probl me pos et du domaine fonctionnel consid r dans le cas contraire v rifier que le management avait connaissance de ces lacunes lors de la validation des sp cifications v rifier que les choix effectu s ne compromettent pas l int gration des fonctionnalit s compl mentaires dans une phase ult rieure e v rifier que le projet s int gre de fa on satisfaisante dans le syst me d information existant int gration technique et fonctionnelle et que l unicit des r f rentiels de l organisation est assur e bases clients produits entit s fournisseurs r f rentiel comptable e sur la base du bilan de projet lorsque qu il existe v rifier que le projet a atteint ses objectifs et couvre tous les aspects du domaine fonctionnel le cas ch ant analyser les carts et v rifier qu ils ont t port s a la connaissance de la direction g n rale 4 3 Les utilisateurs ont ils t
74. e qui pose des questions en mati re de protection des informations sensibles et de droit applicable par exemple aux donn es personnelles L utilisateur peut g n ralement b n ficier des niveaux de services suivants e le niveau laaS Infrastructure as a Service Ce service consiste offrir un acc s a un parc informatique mutualis Il permet donc l acc s une infrastructure mat rielle sur laquelle l usager peut installer ses machines virtuelles et leur environnement informatique d exploitation C est un service d h bergement qui permet de mutualiser les quipements 105 e le niveau PaaS Platform as a Service Ce service met disposition de l usager des machines virtuelles et leur environnement informatique d exploitation dont l usager n a plus assurer le fonctionnement L usager installe sur ces machines virtuelles ses propres applications et ses outils C est un service qui permet de mutualiser les systemes informatiques e le niveau SaaS Software as a Service Dans ce type de service les applications sont mises a la disposition des usagers qui n ont pas a se soucier de les installer d effectuer les mises a jour d ajouter des patches de s curit et d assurer la disponibilit du service L tablissement qui fait appel a ce service n ach te plus de licence logicielle mais s abonne ce logiciel L application est directement utilisable via le navigateur web Le cloud computing peut donc aller du tr
75. emes d audit ds a E AAA ALA AA AE AAA A i AA AAA 19 2 1 L audit des SI l occasion de missions g n ralistes russssssnsossssnsnsnssnonsnsnsnssnsnsnsnssnsnsnsnsnnsnsnsnssnsnsnsnssnsnsnnnssnsnsnsnssnsnsnssssnsnsnsnssnsnsnssssnsnsnsnnse 19 2 1 1 E audit d ne organisation sn men A EA al RE RINDE NOAA 19 2 1 2 Les audits de processus urn A an ERS len RD Sn RASE 21 2 1 3 HERNAN RAN 23 2 1 4 Les audits d s fonctonsexternalisees A Atrae 25 2 1 5 Les audits AAA NN 27 2 2 Les missions d audit dont l objet principal appartient au domaine des Sl suesussssnsnssnssssnsnssnsnssnsnnsnssnsnsnnnnssnsnsnusnsnnsnsnnssnsnsnnsnssnsnsnnsnnsnsnnne 29 2 2 1 ETE no ya aleteo AA 2 ana E NARA 29 22 2 Les audits de projets informatiques 2 2 o E E E A E E EA dicte 30 2 2 3 Les audits AAA ER 31 2 2 4 Les audits de qualit E AAA O ET aise ils 32 2 2 5 Ees audits de r gularit sp cifiques E NANO 34 3 Approche th matique et technique des principaux domaines d audit des ST nr rennes 35 3 1 Audit du pilotage des syst mes di a nine 37 2 1 Audit de TEE ad E I Mt M Sd M ni nn terre etienne ee een Need terre nt tee tee 43 3 3 Audit dela production informatique din nent nantes 51 3 4 Audit des applications informatiques en service ussssricssisriisueunrersnannennenn runs anne ahnen ahnen ee eher 59 35 Audit du s pport utilisateurs et de la gestion du p re e esuessaenki a u 67 36 Auditdela fonction E
76. ention et de r paration sont ils en ad quation avec les engagements de disponibilit Les clauses de p nalit s financi res sont elles r alistes et applicables e les conditions physiques de stockage du mat riel sont elles susceptibles de faire appliquer les clauses de d gagement de responsabilit temp rature poussi re hygrom trie 7 2 V rifier les engagements de disponibilit et les contrats de maintenance des logiciels de base ainsi que les clauses d exclusion des garanties contractuelles e est ce que tous les OS utilis s sont couverts par un contrat de maintenance Si non l diteur assure t il encore la maintenance de la version utilis e et cette version est elle compatible avec d ventuels upgrades mat riels e en est il de m me pour les SGBD robot d exploitation et autres outils d administration remont e d alerte 56 57 58 3 4 AUDIT DES APPLICATIONS INFORMATIQUES EN SERVICE Une application informatique application software est un logiciel accompagnant automatisant ou se substituant a un processus ou une partie de processus de l organisation Une application comprend des programmes des donn es des param tres une documentation mais aussi des habilitations pour g rer les acc s aux donn es et aux transactions de l application L audit d une application peut avoir deux vis es distinctes l audit de fiabilit et de s curit ou l audit d efficacit
77. equalifi s par le juge en administration pr t illegal de main d uvre ou en d lit de marchandage les agents du titulaire ne recoivent pas leurs ordres de la hi rarchie du service prescripteur 1 7 l ex cution du march ne fait pas appara tre une integration des 1 March s d AMOA agents du titulaire au sein de l administration e les agents du titulaire n apparaissent pas nominativement dans 1 1 Les responsabilit s respectives de l administration et du titulaire sont les documents de l administration organigrammes annuaires PV clairement tablies et le march ou un document qui lui est annex les de r unions pr cise les agents du titulaire n utilisent pas abusivement les moyens de 1 2 Les quipes du titulaire et les repr sentants de l administration l administration acc s au restaurant de l administration au tarif connaissent et respectent ce document usager utilisation d une adresse de messagerie de 1 3 L objet du march est r gulier administration acc s aux r seaux de l administration e la prestation objet du march n est pas irr guli re par nature les agents du titulaire ne sont pas r partis dans les locaux des liquidation de factures r daction de march s services de l administration sans s paration manifeste et identification pr cise absence de badges et de locaux e le march n a pas pour seul objet le pr t de main d uvre ex particuliers
78. er des principaux march s Sl en cours e le cas ch ant la direction charg e des SI pour valuer la pertinence et les cons quences de son positionnement dans la politique RH et de formation l organisation et dans les processus de gouvernance Au final l auditeur devra porter une appr ciation sur la capacit de l organisation piloter son informatique appr cier ses enjeux notamment la valeur de son patrimoine num rique et valuer les risques qui p sent sur eux Il peut aussi si ses diligences lui fournissent de leur sp cificit une mati re suffisante valuer l alignement du SI sur les objectifs strat giques de l organisation e le cas ch ant la direction charg e des achats pour mesurer la part des SI dans son activit et v rifier la bonne prise en compte e le cas ch ant la direction charg e des ressources humaines 20 212 LES AUDITS DE PROCESSUS Les processus sont d sormais pour la plupart tr s fortement d pendants des outils informatiques Dans le meilleur des cas ils s appuient sur un syst me informatique r pondant leurs besoins Souvent ils s appuient au fil de leur d roulement sur des outils disparates con us dans une logique d organisation et leur imposant des ruptures de charges Ainsi la performance d un processus est intimement li e l alignement et la qualit des syst mes informatiques Dans une organisation pratiquant le pilotage par les processus
79. es demandes de maintenance e existence des sources et des compilateurs et de la documentation des applications e valuer le risque d une ventuelle d pendance vis vis d une ou plusieurs personnes 2 5 Revoir les budgets formation recrutement et leur ad quation avec les technologies actuelles et celles induites par le d roulement du plan informatique Les profils et comp tences existants les budgets de formation et les pr visions de recrutement sont ils adapt s aux enjeux et l volution des nouvelles technologies 2 6 Existe t il une proc dure standard et formalis e de maintenance bas e sur e un formulaire de demande de maintenance d ment compl t besoins priorit s valid par le propri taire de l application et centralis par les tudes e une estimation des charges une consolidation des demandes puis une proc dure formelle de validation des priorit s implication ventuelle du comit informatique e un retour vers l utilisateur des demandes valoris es temps co ts avec une date pr visionnelle de mise en uvre e une affectation et une planification d taill es des demandes 2 7 Pour la maintenance volutive le versionning 2 3 par an est il pr f r la maintenance au fil de l eau Approche plus efficace et risque de r gression r duit 2 8 Les nouveaux programmes versions sont ils syst matiquement test s puis recett s dans
80. es en vigueur liste des indicateurs 12 3 Le manuel utilisateur est disponible et compr hensible par tableau de bord l ensemble des utilisateurs manuel utilisateur 12 4 Le manuel utilisateur comprend les objets du systeme et la manuel d exploitation description des dessins d cran et des commandes disponibles dossier d organisation de la reprise des donn es 12 5 Le manuel utilisateur comprend les responsables concernant le i IE redressement des erreurs ou anomalies bilan de qualit logiciel 1 x z 2 Ts 12 6 Le manuel utilisateur comprend la description des sorties et leur bilan de la satisfaction des utilisateurs mode de diffusion 12 7 Le manuel utilisateur comprend les responsabilit s en matiere de sauvegarde archivage purge 12 10 Le manuel d exploitation est accessible et compr hensible pour les 12 11 Le manuel d exploitation a t test lors des tests finaux 12 12 Le manuel d exploitation comprend la fonction des programmes 12 13 Le manuel d exploitation comprend le libell exact des fichiers concern s 87 3 7 18 ROLES ET RESPONSABILITES Il est important de d finir les r les et les responsabilit s de l ensemble des parties prenantes lors de la conduite d un projet et ce pour l ensemble des phases de son existence de l tude d opportunit au retrait de service 13 Structures mises en place l occasion du projet 13 1 Les r les et les responsabilit s respectifs de
81. es principaux points de contr le correspondant Ce tableau doit permettre a un auditeur non sp cialiste des SI de percevoir le contenu d un th me d audit donn et a un auditeur sp cialis de ne rien oublier Cependant ce guide est orient vers l audit de structures de taille cons quente L auditeur devra videmment adapter son approche et ses attentes a la taille et aux moyens de l organisation audit e en particulier dans l utilisation de cette troisi me partie Enfin un dictionnaire permet de revenir sur certaines notions fr quemment rencontr es lors d un audit SI Il est tout particuli rement important de veiller la clart des termes et notions utilis s dans les documents contractuels En compl ment de ce guide il est noter que les auditeurs minist riels peuvent s appuyer en mati re d audit des SI sur la direction des syst mes d information et de communication de l tat DISIC La ma trise des risques qui s attachent au SI de l tat et ses grands projets informatiques est en effet l une de ses missions essentielles 1 LES SYSTEMES INFORMATIQUES ENJEUX ET RISQUES kl LE SYSTEME INFORMATIQUE la DEFINITION Le systeme informatique appel amp aussi systeme d information not SI represente l ensemble des logiciels et mat riels participant au stockage a la gestion au traitement au transport et a la diffusion de l information au sein de l organisation La fonction informatiq
82. es r unions 1 5 V rifier que les m tiers assurent leur r le de MOA en prenant en charge des aspects suivants le pilotage du SI et des projets ainsi que la responsabilit des budgets la definition des processus et l analyse des besoins notamment dans le domaine de la s curit classification des donn es en termes de disponibilit d int grit et de confidentialit la gestion du changement la gestion des volutions de Vapplication gestion des demandes arbitrages priorit s budget et son administration la validation des traitements et la recette des nouvelles versions 37 1 6 V rifier en pratique que le leadership des grands projets notamment de la d limitation des zones fonctionnelles e informatiques de l Organisation est assur par une quipe e analyse des sch mas directeurs des zones fonctionnelles comp tence sous le contr le et l autorit des directions 2 5 Analyse des proc dures de pilotage et de mise jour du plan ah oe d occupation des sols POS maitrise d oeuvre maitrise d ouvrage est mature et op rant e analyse des dispositifs de pilotage et de suivi de la r alisation g n rales et m tiers et que le modele de coop ration zE P Er du plan 2 Planification strategique lt de TE er 2 1 P rim tre fonctionnel couverture ouverture et d pendance des SI nn 2 2 Prendre connaissance du sch ma directeur de l Organisation ou de du plan p riodicit annue
83. ess Process Outsourcing en anglais Ainsi dans une TMA l utilisateur tatique demeure responsable de l utilisation qui est faite des mat riels et logiciels externalises et du r sultat de leur emploi Aux int r ts strat giques optimiser la gestion de son systeme d information r duire les co ts gagner du temps r pond le risque de d pendance vis a vis du prestataire 96 3 8 3 TUDE DES MARCHES AYANT POUR OBJET LA FOURNITURE D UNE APPLICATION Points de contr le HEBERGEE Le principe d un FAH fournisseur d application h berg e ou en anglais ASP pour Application Service Provider consiste a proposer a un client d acc der aux fonctionnalit s de son choix et ou a des services associ s parties un volet forfaitaire correspondant a un droit d entr e ou d acc s et une autre partie proportionnelle l utilisation Un contrat de fourniture d application h berg e peut tre scind en deux l optimisation du prix notamment s lection des seules fonctionnalit s n cessaires et l volutivit associ e des fonctionnalit s choisies s ajoute pour le client l avantage de disposer d un interlocuteur unique Il faut cependant veiller bien cerner les besoins et le prix payer et comme pour tout contrat informatique bien d finir les niveaux de service attendus 97 98 A DICTIONNAIRE DES EXPRESSIONS SPECIFIQUES ET ACRONYMES 4 1 DICTIONNAIRE DES EXPRESSIONS SPECIFIQUES DU D
84. et de performance Un audit complet couvrira ces deux perimetres e L audit de fiabilit et de s curit a pour objectif d mettre une appr ciation motiv e sur la fiabilit de l outil informatique c est a dire sur la qualit du contr le interne de l application et la validit des donn es trait es et restitu es Ce type d audit permettra de mettre en vidence d ventuelles failles dans la cha ne de contr le compos e de contr les programm s effectu s par la machine et de contr les manuels restant la charge des utilisateurs e L audit d efficacit et de performance a pour objectifs d appr cier l ad quation de l application aux besoins et aux enjeux de l organisation d valuer sa contribution la cr ation de valeur d valuer sa performance et sa rentabilit et enfin d valuer sa p rennit et sa capacit d volution Les aspects relatifs la gouvernance et la s curit sont trait s dans les fiches 3 1 et 3 2 Les points de contr le propos s ci dessous leur sont compl mentaires 1 Audit de la s curit et de la fiabilit analyse des risques associ s l organisation 1 1 Existe t il un comit informatique pr sid par la direction g n rale et au sein duquel les directions utilisatrices sont repr sent es et influentes strat gie contr le et pilotage 1 2 Existe il au sein de l organisation une politique relative aux applications connue partag e et mise en uvr
85. ge le d veloppement d un SI constitu de modules fonctionnels l chelle de l organisation Il faut alors porter une attention particuliere au socle technique commun la pile logicielle et a la gestion des nombreuses interfaces et des donn es de r f rences Chaque subdivision du plan d occupation des sols doit poss der un responsable effectif charg de son pilotage de son interaction avec les autres zones change de donn es interfaces applicatifs etc et de l entretien d une vision prospective g n ralement sous la forme d un sch ma directeur Faire vivre l urbanisme du SI est un d fi pour toute organisation quelle que soit sa taille 4 1 4 MAITRISE D OUVRAGE MOA ET MAITRISE D UVRE La ma trise d ouvrage est le commanditaire du projet informatique Il s agit soit d une direction m tier a l origine du besoin fonctionnel et sponsor du projet soit par exemple au minist re de la d fense d une direction g n rale sp cialis e dans le co pilotage avec les directions fonctionnelles et la conduite des projets La MOA e constitue une quipe projet adapt e et disposant des moyens financiers humains et techniques n cessaires e sp cifie les besoins fonctionnels et tablit le cahier des charges e d finit les moyens et les contraintes d lais co ts qualit e d finit et fait vivre le portefeuille des risques du projet e s lectionne la MOE et r dige notifie et pilote les mar
86. iel bilan de la satisfaction des utilisateurs 73 DES BESOINS z FRE A 2 Etude d opportunit et expression des besoins 2 1 L expression d taill e des besoins est formalis e dans un cahier des L tude d opportunite et l expression des besoins sont les deux premi res charges fait par la MOA phases d un projet Elles font merger les motivations et les raisons de la 2 2 Le cahier des charges pr conise une solution fonctionnellement et mise en uvre du projet L tude d opportunit est g n ralement suivie techniquement pertinente au regard des besoins exprim s d une tude d impacts 2 3 Les exigences utilisateurs les populations cibl es les options et OO principes de gestion retenus sont pr cis s et prioris s Il s agit d analyser les dysfonctionnements du syst me actuel pour au gt 2 4 Le projet est coh rent avec le plan directeur informatique final disposer d une description unique et partag e par tous de la ee F he ie pe or 2 5 Le projet est coh rent avec le Sl actuel ou futur description de l ensemble des besoins satisfaire volutions de l existant m 2 6 La direction est bien impliquee dans le projet 2 7 Les acteurs de l quipe projet et leurs responsabilites sont bien identifies ou nouveaux besoins Les differents sc narios de solution ainsi que des fourchettes de co ts associ s doivent tre labor s 2 10 Ce document comprend les objec
87. ieme partie mais donne quelques pistes pour aller plus loin 2 2 1 LES AUDITS D APPLICATION Une application n existe que pour r pondre un besoin Elle est con ue r alis e param tr e administr e entretenue et utilis e par des agents appartenant ou non l organisation Elle peut tre utile un ou plusieurs processus leur tre parfaitement adapt e ou au contraire tre une entrave leur bon d roulement Elle peut s inscrire dans une urbanisation ma tris e ou contribuer l h t rog n it la duplication voire au d sordre du syst me informatique Elle peut donc tre une source de force ou de vuln rabilit parfois les deux pour l organisation Au del des aspects classiques d un audit d application en production cf chapitre 3 l audit d une application informatique peut donc n cessiter l examen de l urbanisation du syst me informatique de la coh rence entre les logiciels et les mat riels qu ils utilisent de l alignement strat gique du syst me informatique sur les objectifs de l organisation voire de la gouvernance du SI en ce qu elle explique pour une large part les forces et faiblesses observ es En effet les recommandations mises au terme de l audit ne peuvent faire abstraction de cet environnement Tout cela suppose une compr hension de la fonction informatique allant tr s au del du simple objet audit Au del si la correction d une faiblesse de
88. ifs des d l gations sont atteints 4 4 Il existe un comit de pilotage 4 5 Il existe un comit de projet 4 6 Il existe un comit des utilisateurs ou a minima une participation des utilisateurs 4 7 Les participants aux diff rents comit s sont repr sentatifs et ont le bon niveau de d cision 4 8 Les participants ne sont pas trop nombreux 4 9 Les gestionnaires de la production sont int gr s dans les structures de pilotage 4 10 La fr quence des comit s est appropri e 4 11 Il existe une r union p riodique de revue du projet pour suivre son avancement 4 12 La tra abilit des volutions de p rim tre co t et d lai est assur e 4 13 Il existe des indicateurs de suivi du projet 4 14 Les indicateurs sont adapt s l tape en cours 4 15 Les indicateurs sont mis jour 4 16 Les indicateurs sont pertinents par rapport aux objectifs du projet contraintes de d lais de qualit de co t 4 17 Il existe un formalisme de reporting tableau de bord par exemple 4 18 La fr quence du reporting est correcte e liste des instances de pilotage 76 77 3 7 5 METHODES ET OUTILS l utilisation d une m thode pr cise connue et partag e impose un d coupage du processus de d veloppement en sous ensembles ma trisables identifie les t ches et produits associ s ainsi que les points de contr le et enfin fournit un vocabulaire commun pour l ensemble des parties prenantes L auditeur
89. ille applicatif de l organisation Un propri taire de donn es est responsable vis vis de la direction des processus op rationnels et des utilisateurs de la qualit de l int grit de la s curit et de la disponibilit d un ensemble de donn es Notamment il attribue et surveille les droits de cr ation de modification de lecture et de suppression des donn es Il est galement responsable autant que possible de l unicit des donn s c est dire de leur non r plication notamment locale par les utilisateurs Cette fonction de propri taire de donn es est d autant plus importante que les donn es sont sensibles et transverses Un propri taire d application ou de donn es est un responsable op rationnel Au sein d une organisation chaque application et chaque donn e devrait avoir un propri taire d sign y compris pour les applications et processus externalis s 4 1 6 BASE DE DONNEES MAITRESSE Lorsque des donn es sont partag es entre plusieurs acteurs directions fonctionnelles applications informatiques etc au sein d une organisation il faut mettre en place un dispositif visant garantir existence pour chacune de ces donn es d une r f rence incontestable La base de donn es ma tresse est cette r f rence Elle peut tre dupliqu e en des bases de donn es r parties cr es pour r pondre un 101 besoin de proximit g ographique ou fonctionnelle Par exemple les co
90. illeurs l auditeur ne devra pas se limiter la r gularit vis a vis de l activit informatique CNIL licences s curit logique etc Il lui appartient galement de s assurer que les op rations r alis es par le syst me informatique audit sont en elles m mes r guli res Par exemple un syst me de traitement des donn es individuelles peut satisfaire les normes de s curit informatique tout en appliquant des r gles de gestion statutaires irr guli res Ainsi un audit de r gularit surtout s il est suscit par une situation pathologique peut entra ner la remise en cause e du corpus normatif interne l organisation e du corpus normatif public applicable e de la r gularit des op rations m tier r alis es au moyen du syst me informatique audit 34 3 APPROCHE THEMATIQUE ET TECHNIQUE DES PRINCIPAUX DOMAINES D AUDIT DES SI Les deux premi res fiches 3 1 et 3 2 sont transverses Les fiches suivantes doivent tre consid r es comme venant en compl ment th matique des probl matiques de gouvernance et de s curit Il est important de noter qu elles pr sentent des points de contr le basiques caract re illustratif qui doivent tre adapt s au contexte aux enjeux et aux risques propres l audit r alis Ils ne doivent pas ainsi tre consid r s comme exhaustifs ou n cessairement suffisants aux travaux d audit Ils sont en outre adapt s a des organisations et des
91. inition d un dispositif de s curit et de la pertinence et la qualit de ce dispositif En effet les recommandations mises au terme d un audit de s curit ne peuvent faire abstraction de ces aspects Au del si la correction d une faiblesse du dispositif de s curit audit n cessite la modification d un ou plusieurs l ments de son environnement l auditeur doit recommander les volutions n cessaires Ainsi un audit de s curit surtout s il est suscit par une situation pathologique peut entra ner la remise en cause e de l inventaire et de l valuation des actifs prot g s par le dispositif de s curit e de l analyse des menaces pesant sur ces actifs et des vuln rabilit s devant tre corrig es e de la gouvernance et de la culture de la s curit au sein de l organisation le cas ch ant au del du seul p rim tre informatique e de l quilibre global d une part entre les efforts consacr s a la s curit informatique et ceux consacr s la s curit en g n ral et d autre part entre la valeur des actifs prot ger ou les normes qui leurs sont applicables et les efforts consacr s la s curit informatique Cela vient videmment en compl ment des aspects examiner propos s en troisi me partie du pr sent guide Pour autant le mandat de l auditeur dans le cas d esp ce n est pas l audit de la s curit dans son ensemble mais celui de la s curit informatiqu
92. ion de l volution est exprim e par les utilisateurs a organisation et de proc dures clairement d finies travers un questionnaire proc dure de demande d volution du p rim tre liste des demandes d volution 14 Gestion des volutions 14 1 Les demandes d volution du p rim tre sont fr quentes manuel utilisateur manuel d exploitation bilan de qualit logiciel bilan de la satisfaction des utilisateurs 14 3 Il existe une proc dure de gestion des volutions du p rim tre 14 4 Une mesure d impact est effectu e 14 5 Il existe une gestion des versions 14 7 Les d cisions sont prises sur la base d un niveau d information pertinent 14 8 Le manuel utilisateur fait l objet d une proc dure de mise jour 14 9 Le manuel d exploitation fait l objet d une proc dure de mise jour 14 10 L organisation de soutien aux utilisateurs est inform e des volutions et les a anticip es 14 11 Les diff rents niveaux de soutien restent coordonn s et coh rents 14 12 Il existe un bilan de qualit de l volution 14 13 Le bilan de qualit prend comme r f rence les exigences qualit fix es par la MOA et traduites par la MOE en objectifs et crit res respecter 14 14 L volution est conforme aux besoins fonctionnels exprim s par le cahier des charges 14 2 Les demandes d volutions sont formalis es 14 6 Les d cisions sont prises avec un d lai satisfaisant FIR a 5 F 89 3 27 1
93. ion entre syst mes informatiques Souvent le bon d roulement de ces changes de donn es en temps r el ou non constituent une partie des obligations des deux cocontractants Ils sont aussi le motif d une ouverture du syst me informatique de l organisation vers l ext rieur parfois pour des actions aussi sensibles que de administration de serveurs de donn es ou d applications Plus rares encore sont les fonctions externalis es qui n ont pas manipuler des donn es ou informations appartenant au patrimoine de l organisation Le cocontractant a alors la responsabilit de l int grit de accessibilit et de la protection des donn es Dans tous les cas la dimension informatique de l externalisation est au c ur de sa r versibilit Elle peut tre la cause de son irr versibilit L audit d une fonction externalis e devra donc en aborder la dimension informatique tant pour l organisation que pour son cocontractant L auditeur devra donc l occasion de l audit d une fonction externalis e e identifier les donn es et informations num riques chang es a l occasion de l ex cution de la prestation externalis e e identifier les ressources informatiques mat rielles serveurs r seaux etc et applicatives qui y contribuent et le personnel interne et ext rieur qui les administrent et les utilisent e v rifier que le contr le interne y compris la r silience appliqu ces ressources
94. ions leurs modalit s d ex cution les responsabilit s des parties et des garanties notamment en termes de continuit ou de r tablissement de service Par exemple le SLA peut sp cifier les niveaux de disponibilit ou de performance d un service informatique mat riel y compris r seau logiciel soutien utilisateurs d lais d intervention etc Tout engagement quantitatif doit tre mesurable effectivement mesur et faire l objet d un dialogue de gestion 4 1 12 PLAN DE CONTINUITE DE L ACTIVITE ET PLAN DE REPRISE DE L ACTIVITE Ces deux notions sont distinctes e Un Plan de Reprise d Activit s PRA est un ensemble de mesures qui permettraient une organisation de reprendre son activit apr s un sinistre par exemple une panne qui paralyserait son Sl au del du supportable e Un Plan de Continuit d Activit PCA est un ensemble de mesures qui permettraient une organisation de poursuivre son activit pendant un sinistre La diff rence est notable car dans ce dernier cas l activit ne cesse pas L organisation est donc contrainte pour la totalit ou pour une partie de son activit de faire travailler diff remment de son fonctionnement habituel Les PRA et PCA vont tr s au del de la seule informatique Ils sont donc un dispositif cl de l organisation qui conditionne sa capacit agir en situation de crise interne ou externe et doivent ce titre faire partie de sa strat gie de s
95. iori un auditeur appartenant un corps d inspection g n rale tatique doit recommander aux services audit s de travailler l volution des normes nationales qui leurs sont applicables lorsqu elles sont inadapt es plut t que de c der la facilit du contournement doit videmment recommander la modification d une norme interne contre productive Il appartient donc l auditeur r alisant un audit de r gularit informatique de s assurer que les efforts fournir pour appliquer les normes sont raisonnables au vu des contraintes et objectifs de l organisation concern e voire de se prononcer sur leur in applicabilit Pour ce faire il ne devra pas h siter comparer la situation observ e avec celle pr valant dans des organisations quivalentes Face un cart en termes de r gularit l auditeur doit recommander une action de correction des pratiques ou de modification de la norme voire les deux la correction de la norme apparaissant alors comme un objectif de long terme tandis que la mise en conformit doit tre un objectif de court terme Face a une norme inapplicable ou dont l application demanderait des efforts d raisonnables l auditeur doit se prononcer sur les risques que Pirregularite fait peser sur l organisation en veillant ne pas se limiter aux risques juridiques une norme tant rarement une fin en soi s en affranchir expose g n ralement des risques op rationnels Par a
96. issance des documents d urbanisme de l Organisation de son caract re exhaustif DR 3 e analyse des processus d laboration et de validation du analyse de l organisation du contr le de gestion informatique existence d un contr leur de gestion d di au sein de la DSI document contenant e analyse de la pertinence du document contenu 38 analyse des outils et proc dures de suivi analytique de contr le des co ts d analyse des carts et le cas ch ant de refacturation des utilisateurs analyse des tableaux de bord et des proc dures de reporting cf chapitre Mesure et suivi de la performance 3 2 tablir des ratios et des l ments de benchmark interne et ou externe ratio co ts CA Attention a manier avec pr caution les ratios de co ts IT ne sont qu un l ment d valuation parmi d autres et les benchmarks doivent tre fiables pour tre utilis s 4 Mesure et suivi de la performance informatique 4 1 Des objectifs de court moyen et long termes ont ils t assign s a la DSI approche BSC et ces objectifs sont ils d clin s au sein des organisations 4 2 Existe t il un comit informatique regroupant les diff rentes directions de l organisation et dont les principaux objectifs sont e le recensement des opportunit s la gestion des priorit s la validation des investissements et la politique de s curit strat gie le suivi et le contr le des performances de
97. it Enfin qu elles disposent d une fonction informatique en leur sein ou s adressent des prestataires internes ou ext rieurs l administration elles sont parfois peu ou mal organis es pour tirer le meilleur de ces ressources L audit d une organisation doit donc d sormais n cessairement inclure un audit de sa relation au fait informatique Comment d finit elle ses besoins fonctionnels comment alloue t elle ses ressources humaines et financi res en vue de les satisfaire s est elle organis e et a t elle mis en place les processus lui permettant de disposer d une informatique en phase avec ses besoins alignement fonctionnel r active s re et efficiente L auditeur devra donc l occasion de l audit d une organisation e tudier travers les documents d organisation et financiers les ressources organisationnelles structures humaines et financi res qu elle consacre l informatique e tudier le fonctionnement de la comitologie associ e au pilotage des SI e se demander si ces ressources sont convenablement dimensionn es en regard de ce que d autres organisations quivalentes consacrent a l informatique e tudier les processus strat giques de l organisation inventorier les SI qui les outillent et v rifier que l entit s est convenablement organis e pour garantir leur pilotage au juste niveau 19 e v rifier que l organisation a mis en place le corpus minimal telles
98. it a p partir du dossier de sp cifications d taill es et des normes et standards 9 12 Le plan de mise en place d finit les acteurs concern s de production du logiciel 9 13 Le plan de mise en place d finit les r les et les responsabilit s des acteurs Cette phase inclut le d veloppement des interfaces internes et externes 9 14 Le plan de mise en place est approuv et diffus la sp cification des tests et l laboration des sc narios de reprise des 9 15 Il existe un plan de migration conversion sont respect es On distingue deux cas de figure lors de la phase de r alisation soit il 9 17 Les proc dures de contr le en mati re de passage en production existe d j sur le march une solution r pondant au besoin progiciel qu il faut alors param trer soit il faut d velopper une solution sur 9 18 Il existe une image des syst mes et des donn es avant et apr s mesure Param trer consiste adapter un progiciel au contexte organisationnel et technique cible pour r pondre aux besoins exprim s 9 19 Les r sultats du processus de conversion sont approuv s par crit 9 20 Il existe un dossier de sp cification de param trage 9 D veloppement r alisation ou param trage _ Documents r cup rer programme g n ral de tests 9 1 Il existe une m thode de d veloppement plan de mise en place des tests pe ee an dossier de sp cification de param trage 9 2 Cette m thode est correctement utilis e
99. itecture ou les r gles qu elles portent L auditeur devra donc l occasion d un audit de r gularit e identifier les ressources informatiques utilis es dans le p rim tre de son audit e v rifier que ces ressources sont en elles m mes r guli res licences respect des r gles de conservation des donn es personnelles respect des r gles de confidentialit etc e v rifier que les traitements automatiques r alis s par ces ressources sont conformes au corpus normatif applicable et valuer leur fiabilit e v rifier que la s curit appliqu e a ces ressources outre le respect des r gles de confidentialit garantit raisonnablement qu elles ne peuvent tre utilis es a des fins frauduleuses L auditeur devra selon les cas rencontrer e la direction g n rale du p rim tre auquel appartient le champ audit pour valuer dans quelle mesure elle est consciente de la dimension informatique de l obligation de fonctionnement r gulier qui p se sur elle et savoir comment cette dimension est prise en compte e les acteurs op rationnels de l entit ou du processus audit pour identifier les ressources informatiques y compris de bureautique utilis es e la direction charg e des ressources informatiques utilis es dans le p rim tre audit pour v rifier qu elle conna t respecte et fait respecter les divers corpus normatifs applicables e la direction charg e de la supervision du contr
100. l 5 11 valuer le caract re raisonnable du turn over de la DSI 5 15 an 5 12 valuer la capacit de l Organisation g rer les carri res des informaticiens e prendre connaissance des volutions sur les trois derni res ann es 40 5 13 V rifier llad quation du niveau de r mun ration du personnel informatique et valuer le moral des quipes e valuer les mesures prises par la DSI ou par les RH pour s assurer de la coh rence vis vis du march tude annuelle benchmarking 5 14 valuer la d pendance de l Organisation vis vis d une ou plusieurs personnes l ments prendre en compte e d veloppements internes versus progiciel ge des applications et technologies mises en uvre taille des quipes niveau de la documentation 5 15 Les contrats des informaticiens contiennent ils des clauses sp cifiques de confidentialit et de non concurrence 5 16 Les informaticiens sont ils dispens s de pr avis en cas de rupture brutale du contrat de travail 5 17 Existe il un plan de formation nominatif pour l ensemble des informaticiens 5 18 L effort de formation est il adapt suffisant et s inscrit il dans la dur e e 5 10 jours par an sur les trois derni res ann es Formation individualis e qui r pond aux souhaits de l employ et aux besoins de l organisation 6 Cadre l gislatif et r glementaire Fran ais 6 1 V rifier que les pres
101. l environnement de production doivent tre limit es au strict minimum et parfaitement trac es et encadr es 103 4 1 10 RECETTE En informatique la recette ou test d acceptation est une phase du projet visant assurer formellement que le produit est conforme aux sp cifications Elle s inscrit dans les activit s plus g n rales de qualification Cette tape implique le d roulement rigoureux de proc dures de tests pr alablement d crits et l identification de tout cart fonctionnel ou technique Dans ses phases de tests fonctionnels elle n cessite une forte disponibilit des utilisateurs directions m tiers Ce terme renvoie des notions diff rentes dans les march s v rification de bon fonctionnement v rification de fonctionnement r gulier service fait Dans le cas d un march informatique les parties doivent s accorder sur la port e de ces expressions ce qui peut n cessiter leur explicitation 4 1 11 CONVENTION ET CONTRATS DE SERVICE SLA OLA Le contrat de service appel aussi convention de service souvent d sign par l acronyme anglais SLA pour service level agreement est un document qui d finit la requise entre un prestataire d un service informatique et les usagers de ce service ou clients Un SLA est la formalisation d un accord n goci entre deux parties Il met donc par crit un niveau de service exprim par l attente des parties sur le contenu des prestat
102. l Organisation Points de contr le 1 R le et positionnement de l informatique dans l organisation 1 1 La DSI est elle rattach e la DG et pr sente au COMEX 1 2 V rifier l existence d une charte informatique ou de tout autre document d finissant le r le et le p rim tre de responsabilit de la DSI e s assurer que la DSI est limit e son r le de MOE versus MOA comprenant notamment la conception r alisation mise en uvre et l exploitation des solutions la responsabilit des choix d architecture et des solutions techniques afin de garantir la coh rence d ensemble la co responsabilit des achats informatiques v rifier que la DSI est une force de proposition et de conseil dans le domaine des technologies de l information 1 3 Evaluer le degr d implication et de maitrise de la DG dans les syst mes d information de l Organisation systemes d information et innovations technologiques int gr es dans le Projet de service prendre connaissance des communications interne et externe 1 4 V rifier qu ont t cr s des Comit s informatique strat gique pilotage regroupant les diff rentes directions de l Organisation en charge de recenser les besoins et les opportunit s g rer les priorit s et suivre les projets valuer le r le et le poids exacts de ce comit Prendre connaissance de ses objectifs de sa composition et des comptes rendus de s
103. la MOA et de la MOE sont clairement d finis 13 2 Les pr rogatives du chef de projet sont clairement d finies 13 3 Le chef de projet dispose de l autorit suffisante pour r soudre les ventuels conflits 13 4 La MOA et la MOE disposent des comp tences et des ressources manag riales techniques et fonctionnelles suffisantes 13 5 Les principales d cisions et orientations du projet sont prises par le niveau de management ad quat 13 6 Les principaux intervenants sur le projet sont 100 d di s au projet avec suppression pendant la dur e du projet des anciens liens hi rarchiques 13 7 La MOA ou la MOE ont b n fici d une assistance ext rieure au cours du projet 13 8 La consultation et l implication des utilisateurs a t suffisante au cours des diff rentes phases du projet 13 9 Il existe un contrat de prestation entre la MOA et la MOE 13 10 Si oui il existe un engagement de r sultat e organigramme du projet avec definition des fonctions e contrats d assistance de sous traitance d infog rance 88 3 7 14 GESTION DES EVOLUTIONS 14 15 L evolution est conforme au niveau de performance attendu 14 16 L evolution est conforme au niveau de s curit attendu Le terme volution d signe les modifications apport es un systeme 14 17 L evolution est conforme au niveau de convivialit attendu apr s sa mise en service La gestion des volutions doit faire l objet d une 14 18 L appr ciat
104. la qualit de la prestation et de l atteinte des objectifs fix s pilotage 4 3 V rifier l existence et la couverture des engagements de service Service Level Agreement SLA par application La qualit de service pour l utilisateur se mesure sur les crit res de e disponibilit et continuit d exploitation disponibilit moyenne de l application dur e maximum d indisponibilit perte maximum de donnees performance temps de reponse TP traitement batch Interfaces support help desk et assistance utilisateur couverture horaire et linguistique delais de resolution des incidents formation securite confidentialite integrite des donn es authentification non r pudiation r currents de co ts co ts d evolution co ts fonctionnement 4 4 valuer la pertinence des indicateurs de qualit et de performance ainsi que les moyens et outils de mesure 4 5 La DSI tient elle un tableau de bord id alement de type BSC permettant un suivi consolid de la performance op rationnelle et financi re et de la qualit des prestations informatiques e suivi global de l avancement du plan informatique et suivi d taill projet par projet suivi des indicateurs de performance SLA par application analyse des taux de conformit suivi de l volution de la performance etc suivi des co ts mois YTD rapproch s du budget suivi d indicateurs interne
105. les agents du prestataire ne sont pas en poste depuis plus de 3 92 93 3 8 2 TUDE DES MARCHES D ACQUISITION DE PRESTATIONS INFORMATIQUES SUR LA BASE D UN FORFAIT Le march peut avoir pour objet la prestation de services dont le prix est fixe forfaitairement a la date de conclusion du contrat M me dans le cadre d un forfait le contrat peut d tailler les sommes allou es au titre des redevances de licences de maintenance ou du prix de la formation ventuelle des d veloppements sp cifiques Si le client a l avantage de b n ficier d un prix forfaitaire il faut tenir compte d un certain nombre de risques Par exemple le calendrier peut d river la charge de travail du prestataire peut tre sous valu e ou le r f rentiel trop impr cis peut enfermer l administration dans un p rim tre excessivement restreint Points de contr le personne e PE 94 3 8 3 TUDE DES MARCHES D ACQUISITION DE PRESTATIONS INFORMATIQUES SUR LA BASE D UN FORFAIT HORAIRE Le march peut avoir pour objet la prestation de services a caractere informatique dont la r mun ration est calcul e sur la base d un forfait horaire ou journalier Cette formule pr sente l avantage de la souplesse et de la simplicit mais elle est risqu e notamment sur le plan juridique sanctions p nales et requalification du contrat L administration peut en effet perdre le contr le du co t final de l op ration la r mun ration au te
106. les comp tences d acheteur ou de juriste sp cialis s dans le ou d cline convenablement celui fix par le niveau sup rieur domaine SI et des actions de formation dans le domaine politique du SI politique de s curit du SI charte d utilisation Il devra se procurer Si l entit poss de une fonction informatique d di e tudes production e les politiques Sl et de s curit SI de l organisation etc auditeur g n raliste devra si possible solliciter les sp cialistes de l audit des Sl et pourra se r f rer la troisi me partie du pr sent guide le plan d occupation des sols POS du SI et la liste des responsables de zones fonctionnelles L auditeur devra rencontrer e la direction g n rale pour mesurer son degr de sensibilisation au la charte de l utilisateur des SI laquelle sont soumis les membres fait informatique et l organisation qu elle a mise en place pour de l organisation piloter ses SI la liste des processus de l organisation incluant les SI qui les e une ou plusieurs directions fonctionnelles le cas ch ant les supportent responsables de zones fonctionnelles pour valuer l organisation qu elles ont mise en place en vue de d finir leurs besoins de les les comptes rendus des comit s ou groupes de travail GT exprimer et de contribuer efficacement aux processus visant les consacr s pour tout ou partie aux SI satisfaire la liste et le poids financi
107. lifications du personnel avec les fonctions qu ils occupent e prendre en compte la strategie de l organisation ainsi que le march local de l emploi remettre en perspective le r le les objectifs et les attentes vis a vis de l informatique prendre en compte le niveau de risque risque inh rent a l activit d pendance de l organisation vis vis de son syst me d information 5 6 L expression des besoins les sp cifications fonctionnelles et la recette des applications sont elles effectu es par les utilisateurs 5 7 Les t ches les locaux et les environnements relatifs aux fonctions tudes et exploitation qu ils soient assur s ou fournis en interne ou externalis s sont ils s par s e V rifier que les acc s aux biblioth ques de production donn es et programmes sont interdits aux tudes y compris sous traitants 5 8 V rifier l existence d une proc dure de mise en production e valuer sa pertinence et son niveau d application 5 9 Lorsque les organisations le permettent v rifier que les diff rentes t ches d administration des bases de donn es DBA sont s par es entre les tudes et l exploitation e gestion du contenu architecture des bases dictionnaire de donn es gestion du contenant gestion des configurations et des performances 5 10 La s paration des t ches est elle maintenue et assur e lors de la rotation des quipes des vacances et du d part d un personne
108. lle du service de production le justifie des grilles crois es comp tences individus revoir les budgets formation et l ad quation des formations avec les technologies actuelles et celles induites par le d roulement du plan informatique 2 4 V rifier qu il existe une bonne ma trise des diff rentes missions de la production identifier le p rim tre couvert par la production et en d river les principales missions assum es valider la couverture de ces diff rentes missions dans les descriptions de postes se focaliser sur les aspects autres que l op ration des syst mes ex production d indicateurs de pilotage capacity planning Veille technologique revue qualit 3 Architectures mat rielles et logicielles 3 1 Valider que performance et dimensionnement des composantes des syst mes de production font l objet d un suivi tudier les tableaux de bords techniques en se focalisant sur les indicateurs de capacit r seau CPU et m dia de stockage ainsi que de temps de r ponse Couvrent ils les consommations moyennes et les pics d activit valider la connaissance et le suivi dans le temps du d roulement de la journ e de production avec ses goulets d tranglement et ses marges de s curit les budgets refletent ils des investissements n cessaires traitement des l augmentation de la capacit de architectures existantes 3 2 Valider l volutivit des architectures pr sentes
109. lle minimum ses axes strat giques et ses grands projets et analyser le plan analyse du positionnement dans l Organisation et du r le des informatique et la feuille de route du SI minist riel responsables de zones fonctionnelles de quartiers e analyse des processus d laboration et de validation du plan fonctionnels et de blocs fonctionnels contenant 2 6 Coh rence amp homog n it des technologies homog n it des OS analyse de la pertinence du plan contenu et de son SGBD postes de travail langages rationalisation des plateformes alignement strat gique standardisation des configurations analyse de l ad quation des comp tences et des ressources 2 7 Int gration et fiabilit des applications 2 8 Unicit des r f rentiels clients fournisseurs articles et des saisies 2 3 Analyse des proc dures de pilotage et de mise jour du plan 3 Budgets et co ts informatiques informatique 7 A Prendre connaissance et valuer l organisation et les processus e analyse du processus d laboration et de validation du aux objectifs du plan e analyse des dispositifs de pilotage et de suivi de la r alisation duplan budget qui quand comment e analyse du r le des comit s et des proc dures de mise jour analyse du p rim tre du budget g ographique et du plan p riodicit annuelle minimum organisationnel charges et investissement et evaluation 2 4 Prendre conna
110. matiques La fonction tude est en charge de la conception et de la r alisation des applications de leur test de leur mise en ceuvre avec la production et de leur maintenance corrective r glementaire et volutive Son audit consiste analyser sa capacit assurer la maintenance du patrimoine applicatif existant conduire ou accompagner les volutions a venir du systeme d information conform ment au plan ou au sch ma directeur informatique Il faut veiller ne pas confondre audit des tudes avec audit de projet L audit d un projet s adresse a une organisation temporaire et sur mesure tandis que l audit des tudes s adresse une structure permanente de l Organisation Les aspects relatifs la gouvernance et la s curit sont trait s dans les fiches 3 1 et 3 2 Les points de contr le propos s ci dessous leur sont compl mentaires 1 Activit de pilotage 1 1 La ligne de partage entre tudes et production est elle clairement d finie et document e 1 2 Existe t il une cellule d di e en charge du suivi et du contr le des projets et des ressources gestion des plannings et des budgets suivi des temps et des co ts 1 3 V rifier l existence d une proc dure de planification d taill e par projet et ou par ressource en fonction des besoins et des enjeux taille des quipes nombre et nature des projets e v rifier l existence et l utilisation d un outil de gestion de projet PMW
111. mps pass fait supporter par le seul client le risque conomique de l op ration Le march peut tre requalifi en pr t illicite de main d ceuvre article L 125 3 du Code du travail ou marchandage article L 125 1 du Code du travail Sont alors p nalement responsables autant l auteur du pr t illicite de main d uvre la SSII que son b n ficiaire l administration De plus la relation entre l employ de la SSII et le client peut tre requalifi e en contrat de travail avec les cons quences fiscales et sociales tr s lourdes induites Bien que n tant pas a priori irr gulier ce mode de contractualisation est tr s d conseill et doit chaque fois que possible tre remplac par un march forfait 3 March s de prestation sur la base d un forfait horaire 3 1 La nature de la mission confi e au prestataire est mat rialis e et d finie pr cis ment Le recours des personnes ext rieures expertise particuli re par exemple est justifi 3 2 Le march attribue explicitement la responsabilit de l ex cution des travaux incombant au prestataire et pr cise que le lien de subordination du personnel n est en rien transf r l administration Les relations sont formalis es dans les pi ces constitutives du march 3 3 La dur e du march est clairement limit e la mission d crite dans l objet du contrat ou un terme pr cis ment fix dans le temps est pr vu 3 4 Les clauses du march p
112. n uvre Ainsi un audit de qualit des donn es peut entra ner la remise en cause e des r gles et processus applicables a la gestion des donn es et des m tadonn es e de l organisation mise en place si elle ne pr voit pas que chaque donn e ait un unique propri taire ayant autorit pour d finir et faire appliquer les r gles y relatives e de l urbanisation du SI si des ph nom nes de duplication des donn es sont observ s ou si la mise en place d entrep ts de donn es s av rait insuffisamment tudi e e voire des PRI PCI et PRA PCA s agissant de la disponibilit des donn es la r plication non ma tris e tant parfois une garantie contre l indisponibilite 32 Pour autant le mandat de l auditeur dans le cas d espece n est pas un audit de l organisation ou de la r silience mais celui de la qualit des donn es Il devra donc veiller constamment a ce que ses diligences et recommandations aient un lien avec cette derni re 33 228 LES AUDITS DE REGULARITE SPECIFIQUES La r gularit des op rations du domaine de l informatique r sulte a la fois d un corpus normatif interne a l organisation et de normes fix es par les pouvoirs publics L auditeur doit valuer les carts entre les activit s informatiques et ces normes imp ratives Toutefois aucune norme y compris publique n est intangible Notamment un auditeur agissant pour le compte d une organisation tatique a fort
113. n de s curit La maintenance applicative diff re de la maintenance volutive en ce que la premi re n apporte aucune volution fonctionnelle Au contraire la seconde ajoute des fonctionnalit s g n ralement de faible ampleur Pour les volutions fonctionnelles plus profondes on parle davantage de nouvelle version applicative voire de nouveau projet La TMA ou tierce maintenance applicative consiste externaliser la maintenance applicative et ou volutive un tiers La TME ou tierce maintenance d exploitation consiste en suppl ment a externaliser tout ou partie de l infrastructure y compris son volution et des fonctions d administration et de support aux utilisateurs Il existe un continuum entre l externalisation de la maintenance applicative et l externalisation compl te d un processus chaque situation constituant un cas d espece r gi par des dispositions contractuelles sp cifiques 4 1 17 ERP Un PGI progiciel de gestion int gr ou ERP Enterprise Resources Planning est un progiciel qui integre les principales composantes fonctionnelles de l entreprise gestion de production gestion commerciale logistique ressources humaines comptabilit contr le de gestion l aide de ce syst me unifi les utilisateurs de diff rents m tiers travaillent dans un environnement applicatif identique qui repose sur une base de donn es unique Ce mod le permet d assurer l int grit des donn es la n
114. n fonction dans les diff rents minist res L attention du lecteur est appel e sur le fait que m me une fois devenu d finitif le pr sent guide ne pourra en aucun cas tre consid r comme le seul r f rentiel la lumi re duquel les auditeurs auront former leur opinion globale et porter leur jugement professionnel dans le domaine consid r Ce document a t produit dans le cadre d un groupe de travail du Comit d harmonisation de l audit interne CHAI anim par Marcel DAVID CGA compos de Y eo Anne AUBURTIN IGAS Patrick BADARD SAE Simon BARRY CGEFI Philippe BELLOSTA DGFIP Pierre BOURGEOIS IGA Luc CHARRIE CHAI Jean Pierre DALLE IGA Nicole DARRAS CGEDD Remy MAZZOCCHI DISIC Herv PEREZ CHAI Philippe PERREY IGAENR Jean Fran ois PICQ IGAENR Cl ment REMARS CGA e ee e ee e e e e e e e ee e ee e ee e ee e ee e ee gt eo SOMMAIRE Introduchon ana 5 1 L ss stemesinformatig es s enjeuxet TISGUE S in EEE AAA AN A A Ed 7 1 1 te Systemic WFO reat Bie so st hisser A Rai 7 1 1 1 Deli sanan pus eiii ula olaa ad ario aa eines 7 1 1 1 1 La performance du SI de A Te 7 1112 Les facteursiclefs d un Sl perforant u 08620 en sein add aa died RE a EEE did 9 12 Tes PISEU CS ntormal qe ca eat etes 13 1 2 1 GO ida 13 1 2 2 Les principaux risqu s IOMA qU Ssns ire EEEE nai 13 2 Approche de Cortas Th
115. ne Il pourra le cas ch ant se prononcer sur la pertinence des projets informatiques en cours voire recommander des volutions du syst me informatique 22 2 1 3 LES AUDITS DE REGULARITE Les organisations s appuient de plus en plus sur des outils informatiques C est travers eux qu elles g rent leur ressource humaine qu elles ex cutent leur budget et tiennent leur comptabilit qu elles conservent les donn es relatives leurs interlocuteurs et leurs administr s Leur fonctionnement r gulier est donc largement sous tendu par la conformit aux r gles de leurs syst mes informatiques qu il s agisse d inventaire des licences de validit des r gles informatiques d ex cution budg taire et de comptabilit de respect des normes de conservation des donn es personnelles de la mise en uvre automatis e des r gles statutaires applicables la gestion de carri re ou au traitement des agents etc L audit de la r gularit d une situation qu il s agisse de v rifier le fonctionnement d une entit le d roulement d un processus ou plus g n ralement le respect d une norme ou d un corpus normatif implique donc le plus souvent l audit des ressources informatiques qui y contribuent L auditeur cherchera v rifier que les activit s port es par les ressources informatiques sont en elles m mes r guli res et mesurer leur contribution au contr le interne de l entit ou du processus par leur arch
116. ne visibilit suffisante de la p rennit du progiciel notamment en cas de gel des volutions ou de l tat technique 66 3 5 AUDIT DU SUPPORT UTILISATEURS ET DE LA GESTION DU PARC 1 Fonction support audit fiabilit et s curit La mission de la fonction support est orient e autour de deux axes e fournir l assistance et le support aux utilisateurs des 1 1 Quelle structure de centre d assistance help desk HD est mise en syst mes d information et am liorer en permanence leur place 1 2 Existe t il une proc dure de gestion des demandes diffus e et connue des utilisateurs e am liorer la performance globale des syst mes 1 3 Quelle est la proc dure d escalade mise en place 1 4 Quelle est la couverture g ographique du HD La performance d un centre d assistance help desk ainsi que ses 1 5 Quelle est la couverture fonctionnelle du HD niveau de satisfaction r percussions sur la productivit des utilisateurs doivent tre valu s Elle 1 6 Un outil est il impl ment pour la prise d appel et le suivi des tickets doit permettre d identifier les domaines sur lesquels il semble possible 1 7 Quelles sont les criteres a renseigner pour la qualification des d accro tre la productivit des utilisateurs notamment les besoins en tickets formation 1 8 Existe t il une liste de questions d rouler lors d un appel afin d identifier au mieux la demande de l utilisateur Il est n cessaire q
117. nformatiques e Contr les ou proc dures attendus convention de service entre l informatique et les utilisateurs portant notamment sur des objectifs de performance du Sl tels le niveau de disponibilit des serveurs support utilisateur performant proc dure de gestion des anomalies proc dure de maintenance corrective des applications informatiques contrats de maintenance des mat riels informatiques environnement mat riel adapte plans de continuit et de reprise de l activit e Mauvaise utilisation du SI par les utilisateurs e Facteurs de risque applications informatiques non conviviales utilisateurs insuffisamment form s documentation utilisateur insuffisante et pas mise jour manque de contr les bloquants dans les applications informatiques e Contr les ou proc dures attendus applications faciles d utilisation formation initiale des utilisateurs r alis e en temps utile et compl t e par une formation au fil de l eau documentation utilisateur compl te et mise jour r guli rement contr les bloquants dans les applications proc dures de gestion des maintenances volutives adaptatives et correctives 16 Sl non conforme avec la l gislation e Les lois et d crets portant sur le renforcement des proc dures de contr les internes concernent pour partie l informatique Les actions mettre en place font pour la plupart partie des recomman
118. ng 4 1 14 INFORMATIQUE EN NUAGE OU CLOUD COMPUTING L informatique en nuage est une technologie qui consiste s appuyer sur les capacit s des r seaux pour mettre la disposition des utilisateurs finaux un service fourni par des logiciels et une infrastructure informatique souvent distants Le plus souvent ces utilisateurs n ont pas connaissance de la localisation pr cise des mat riels logiciels et donn es auxquels ils acc dent par l interm diaire d un r seau public ou priv Le service peut tre lui m me fourni par une entit publique voire tatique on parle alors parfois de cloud souverain ou par un op rateur priv L informatique en nuage permet de concentrer des mat riels techniques et des logiciels dans des installations datacenters de plus grandes dimensions en nombre limit ce qui vite de multiplier les installations locales de petites dimensions et de standards mat riels ou logiciels disparates Cela permet la concentration des ressources humaines comp tentes une conomie d chelle facilite la maintenance et am liore les s curit s physique et logique Il s agit donc d une disposition technique et organisationnelle dont les cons quences juridiques et op rationnelles doivent tre examin es au cas par cas par les responsables op rationnels Notamment les infrastructures informatiques serveurs applicatifs et de bases de donn es peuvent tre situ es l tranger c
119. ngineering BPR ou une tude d organisation pr alablement la r daction du cahier des charges 5 9 Les processus m tiers sont ils performants et optimis s rechercher toute source d am lioration possible 5 10 Les traitements sont ils performants et les donn es coh rentes et fiables voir guide d audit Fiabilit et S curit d une application 5 11 L architecture technique est elle adapt e et optimis e notamment les bases de donn es bon dimensionnement des configurations gestion des volutions techniques personnalisation tuning des bases de donn es 5 12 A t on mis en place des indicateurs de performance et un contrat de service adapt s aux enjeux entre l informatique et les utilisateurs e disponibilit de l application le cas ch ant par plage horaire e temps de r ponse le cas ch ant par transaction et traitement sensibles e gestion des incidents et du support utilisateurs fiabilit des traitements par lots batch e gestion des demandes de maintenance et gestion des droits d acc s e continuit d exploitation et site de back up 5 13 Les outils de mesure de la performance et les tableaux de bord sont ils adapt s aux besoins et aux indicateurs sans contestation possible 6 Audit d efficacit et de performance analyse de l volutivit p rennit de l application 6 1 Les technologies utilis es sont elles conformes aux standards de l organisation 6 2
120. ntee d alerte e tests d interface avec d autres applications e integration dans l architecture r seau filtrage de ports TCP IP par un firewall par exemple 2 A Traitement en temps r el 53 5 Exploitation et gestion des incidents 5 1 V rifier le d coupage de la journ e de production en t ches clairement d limit es permettant la mise en uvre de points d arr t S assurer que les traitements s inscrivent dans la logique suivante e tout traitement impactant des donn es sensibles peut faire objet d un retour arriere archivelog sauvegarde roll back timestamp e un traitement modifiant des donn es commence par analyser la validit des donn es syntaxe timeliness avant d effectuer une mise a jour et permet de rejeter selon des r gles connues les transactions ou les lots comportant des anomalies e tout rejet possible par le syst me g n re une alerte et est d ment couvert par une proc dure de recyclage e l chec d un traitement isol n emp che pas de respecter les d lais de d roulement de la journ e de production temps de r alisation d un traitement tr s inf rieur aux marges de s curit 5 2 V rifier la validit des assertions suivantes e les alertes sont remont es en temps r el la console d administration syst me de gestion d alerte pull et push la console v rifie le statut d un syst me un traitement peut remonter une alerte e le
121. nterd pendantes concourant la performance attendus r alisation d un objectif pr d fini et mesurable avec des sp cifications 1 4 Les objectifs et p rim tres du projet sont d finis partag s et des contraintes des moyens humains financiers et mat riels des d lais stabilis s un d but une fin et des risques 1 5 Les principales orientations du syst me cible ont t explicit es Un projet informatique produit g n ralement de nouvelles appiications 1 6 Les principaux acteurs sont identifi s et ou maintien des applications existantes Il peut aussi s agir d un 7 gt 1 7 Les co ts sont valu s renouvellement mat riel majeur 1 8 Les liens et impacts avec des projets connexes et les infrastructures La conduite de projet est un ensemble de processus permettant de A Sl solnib ole einige maitriser la r alisation d un projet et de la mener a terme Cette maitrise passe par un d coupage du projet en processus tapes phases activit s et taches Il est indispensable d avoir une d finition claire des entr es des processus des phases et tapes des productions attendues et des conditions de passage d une phase a l autre Le r le et manuel utilisateur les responsabilit s des acteurs doivent tre clairement d finis manuel d exploitation tude de la valeur et d opportunit liste des processus impact s dossier d organisation de la reprise des donn es bilan de qualit logic
122. nts a r cup rer 79 SIT CONCEPTION GENERALE ET ANALYSE 7 4 Une analyse conomique b n fices attendus co ts de d veloppement de formation de maintenance a t int gr e au choix de la solution Le dossier de conception g n rale informatique d finit les sc narios 7 5 Une analyse des risques a t mise en place pour chaque alternative d volution du systeme d information avec 7 6 Le choix de la solution a t fait en toute objectivite en se basant sur a ie e une description g n rale de la solution conceptuelle des des criteres d valuation pertinents flux traitement et des donn es 7 7 Les aspects de contr le interne et de s curit ont t pris en compte dans le cahier des charges e une description g n rale de la solution organisationnelle 7 8 Les contr les d exploitation ont t identifi s 7 9 La conception g n rale du futur systeme s inscrit dans les objectifs e une description generale de l architecture technique de la g n raux de contr le en vigueur dans l environnement solution centralis d centralis 7 10 Les besoins sp cifiques en mati re de contr les ont t pris en consid ration e et une orientation g n rale des actions de conduite du 7 11 Les besoins en mati re de contr les programm s ont t identifi s et changement et de mise en uvre d crits 7 12 Les tudes de faisabilit ont t revues par les membres du comi
123. objet de contr les d integrite automatiques L action humaine source potentielle d erreurs ou de fraude est donc tr s limit e par ailleurs la piste d audit peut tre enti rement informatis e NB Voir dans les risques informatiques les progiciels de gestion int gr s une d marche qualit informatique la mise en place d une d marche qualit pour la gestion de la production et le d veloppement informatique permet d ameliorer les performances du syst me d information de normaliser les proc dures de gestion en fonction des r f rentiels existants et d am liorer les comp tences des acteurs du systeme d information Il existe en la matiere de nombreux r f rentiels dont les principaux sont les suivants e CMMI Capability Maturity Model Integration pour les d veloppements informatiques avec plusieurs niveaux de certification de 1 5 e ITIL Information Technology Infrastructure Library plus sp cifique a la gestion de la production informatique e COBIT Control Objectives for Information and related Technology est un r f rentiel en mati re de gouvernance informatique e ISO 27001 auparavant la BS7799 pr sente les exigences en mati re de s curit informatique e le guide des bonnes pratiques des achats de services informatiques du service des achats de l tat SAE e les guides et recommandations sectorielles publi s par PANSSI et la DISIC e le cadre strat
124. ofils d acc s standard des utilisateurs pour les cat gories communes de travail e distinction des r gles obligatoires et des recommandations facultatives e tablissement de r gles tout est interdit sauf plut t que tout est permis sauf e r gles devant tre valid es par un responsable s paration des fonctions 9 2 V rifier la gestion des acc s utilisateurs e identification unique des utilisateurs tous les utilisateurs e v rification que l utilisateur a t autoris par le propri taire des informations e suppression des droits d acc s d un utilisateur ayant change de poste ou quitt l organisation e contr le p riodique et suppression des codes d identification utilisateurs redondants et des comptes qui ne sont plus utilis s e non r affectation des codes d identification e attribution des privil ges aux individus sur la base de leurs besoins minimum par rapport la fonction qu ils remplissent e examen r gulier des droits d acc s utilisateur 9 3 V rifier l utilisation de mots de passe et de syst mes de d connexion automatique e tout compte utilisateur doit tre prot g par un mot de passe e engagement des utilisateurs ne pas divulguer leur mot de passe ne pas crire leur mot de passe de fa on trop vidente ne pas stocker leur mot de passe dans une proc dure automatique changer leur mot de passe d s qu ils le soup onnent d tre compromi
125. on redondance de l information ainsi que la r duction des temps de traitement PROGICIEL DE GESTION INTEGREE PGI Pour tre qualifi de progiciel de gestion int gr une solution logicielle doit couvrir au moins deux domaines fonctionnels diff rents de l entreprise par exemple RH et finance ou encore finance et achats Un PGI peut constituer le socle du SI de l entreprise s il couvre la quasi totalit des processus fonctionnels cl s de celle ci Un ERP peut dans certaines limites tre param tr pour s adapter a l organisation Dans la pratique c est surtout l organisation qui doit s adapter l ERP Sa mise en place n cessitera donc une refonte parfois substantielle des processus et dans tous les cas un fort investissement initial 107 108 4 2 DICTIONNAIRE DES ACRONYMES Les acronymes ci dessous sont ceux qui cit s dans le document n ont pas t d finis ou explicit s par ailleurs Batch BPR BSC COBIT COMEX CPU DBA HD Sequence de traitement automatique galement appel e traitement par lots generalement r alis e en temps differe R ing nierie des processus GB Business Process Reengineering Tableau de bord prospectif GB Balanced score card R f rentiel de contr le interne informatique GB Control Objectives for Information and related Technology Comit ex cutif Core processing unit processeur Administration de base de d
126. onn es GB Database administration Plateau d assistance technique laaS ITIL MCD Os PaaS PCA PRA PCI PRI SaaS SAN SGBD GB Help desk Service d infrastructure dans le cadre d une informatique en nuage GB Infrastructure as a service R f rentiel pour la production informatique GB Information Technology Infrastructure Library Modele conceptuel de donn es Systeme d exploitation GB Operating system Service d h bergement GB Platform as a Service Plan de continuit de l activit Plan de reprise de l activit Plan de continuit de l informatique Plan de reprise de informatique Logiciel en tant que service dans le cadre d une informatique en nuage GB Software as a service R seau de stockage de donn es GB Storage Area Network Serveur de gestion de base de donn es 109 SSO TP UML Identifiant unique GB Single sign On Traitement en temps r el aussi appel Traitement transactionnel GB Transaction Processing Langage de mod lisation unifi GB Unified Modeling Language Ann e glissante GB Year to date 110 CHIATTI COMIT D HARMONISATION DE L AUDIT INTERNE SECRETARIAT GENERAL FICHE D EVALUATION DU GUIDE D AUDIT DES SYSTEMES D INFORMATION Nous vous remercions d avoir utilis cette premiere version du Guide d audit des Syst mes d Information Afin de pouvoir l am liorer et laborer d autres documents
127. onsable des tudes production assurance qualit 2 12 Pour les environnements obsoletes s assurer que les langages et compilateurs sont toujours operationnels et maintenus assembleurs cobol 2 13 Pour une application donn e rechercher de facon exhaustive les ventuels programmes objets sans programmes sources correspondant 3 Activit s op rationnelles le d veloppement des sp cifiques 3 1 Utilise t on des m thodes et outils de conception et de mod lisation d application UML Rational Case Ces outils et m thodes sont ils adapt s ma tris s et partag s par l ensemble des quipes concern es la formation est elle adapt e 3 2 Existe t il des normes de programmation et de codification dont les r gles sont formalis es dans un manuel l attention des programmeurs V rifier l application de ces normes revue de code 3 3 Utilise t on un logiciel de gestion de version de programmes afin d identifier et de tracer toute modification de programme et un outil de gestion des configurations logicielles afin d en ma triser les volutions Rational Clearcase 3 4 Utilise t on une d marche standardis e d assurance qualit couvrant les aspects suivants organisation m thodes outils et proc dures de d veloppement gestion des livrables plannings des projets proc dures de suivi et de reporting documentation 3 5 Existe t il une documentation tudes structur e
128. ord est il communiqu et analys par le Comit informatique 2 Activit s op rationnelles 2 1 Valider l existence d une MOA forte et d une fonction tudes limit e la MOE le r le et les responsabilit s des tudes sont ils d finis dans la charte informatique ou dans les plans d assurance qualit des projets existe t il des contrats de service entre les tudes et les utilisateurs 2 2 valuer le r le du Comit Informatique dans le contr le de l activit des tudes gestion des priorit s de d veloppement et arbitrages entre directions suivi des projets et de l tat d avancement des travaux suivi de la performance 70 2 3 valuer la qualit du contre poids de la production et de l quilibre entre ces deux fonctions de la DSI e cet quilibre passe t il par une r elle s paration des t ches et l tanch it des environnements rendant la production incontournable pour les mises en production 2 4 V rifier que l quipe actuelle en charge de la maintenance interne ou externe a la ma trise suffisante des applications et les moyens de la faire voluer e comp tences techniques adapt es analyser les curriculum vitae et les profils en fonction des technologies utilis es v rifier la pr sence des concepteurs e effectifs suffisants et motiv s analyser l historique de la DSI les r mun rations le turn over analyser le portefeuille d
129. ordonn es clients ou la liste des agents identifi s dans le SI sont des informations sensibles utilis es par de nombreuses applications leur exactitude leur mise a jour et surtout leur unicit doivent tre garanties L une des t ches importantes d un propri taire de donn es est de veiller a la qualit des processus de r plication entre les bases de donn es ma tresse et r parties 4 1 7 POLITIQUE DE SECURITE Elle couvre l ensemble des orientations suivies par une entit en mati re de s curit la lumi re des r sultats de l analyse de risques elle e d finit le cadre d utilisation des ressources du SI e pr cise les r les et responsabilit s en la mati re e identifie les techniques de s curisation mettre en uvre dans les diff rents services de l organisation e sensibilise les utilisateurs a la s curit informatique La s curit informatique r sulte d un compromis entre la protection des actifs num riques et informatiques et la possibilit pour les utilisateurs de d velopper les usages l gitimes qui leur sont n cessaires ce titre la politique de s curit informatique rel ve de la responsabilit de la direction de l organisation concern e 4 1 8 CHARTE D UTILISATION Une charte d utilisation est un document valid par la direction g n rale de l organisation d clinant aux utilisateurs la politique de s curit du SI Elle est obligatoirement sign e par tous les utilisa
130. pel a de la sous traitance plan de continuit clause d audit e le respect des lois pour les donn es personnelles et la propri t intellectuelle 3 7 V rifier qu il existe des modalit s de r action aux incidents de s curit et aux d fauts de fonctionnement e signalement rapide des incidents de s curit e signalement des failles de s curit e signalement du fonctionnement d fectueux de logiciels e capitalisation sur la r solution d incidents e processus disciplinaire 3 8 Il existe une revue r guli re de la s curit des audits aussi bien internes qu externes 4 Classification et contr le des actifs 4 1 V rifier que les actifs sont inventori s et hi rarchis s par valeur pour l organisation 4 2 V rifier que pour tout actif important un propri taire est d sign et inform de ses responsabilit s 4 3 V rifier qu il existe un syst me de classification qui d finit un ensemble appropri de niveaux de protection 4 4 V rifier que chaque actif a fait l objet d une tude visant d terminer son niveau de classification 5 S curit du personnel 5 1 V rifier que les postes et les ressources sont d finis e inclusion de la s curit dans les responsabilit s des postes e s lection du personnel et politique de recrutement e accords de confidentialit 5 2 V rifier que les utilisateurs sont form s 6 s curit gestion des communications et des op rations 6
131. quation des processus et de l organisation au PGI pouvant offrir une opportunit de transformation si cette derni re est anticip e et pilot e ou a contrario constituer un frein au projet si elle n est pas souhait e et assum e partage de l information pouvant entra ner un rejet de la part de certains acteurs ma trise globale de la solution dans le temps car des incidents peuvent bloquer toute l entit Les risques li s aux PGI sont les suivants d rapage des projets dans le temps et dans les co ts compte tenu de la complexit et des enjeux les d veloppements de programmes sp cifiques loignent l outil du standard ce qui entra ne des probl mes de ma trise du PGI voire des probl mes en termes d auditabilit alt ration possible de la piste d audit une inadaptation in fine du PGI l organisation dans le cas o la refonte des processus n a pas t pr alablement conduite et port e par la direction g n rale utilisateurs insuffisamment form s qui rejettent l application forte d pendance vis vis du sous traitant et insuffisance de transfert de comp tence en interne sur le PGI param trage des droits d acc s et des profils utilisateurs souvent galvaud lors de la phase de d veloppement Conform ment aux pratiques de l audit ces risques sont habituellement analys s travers une matrice des risques sp cifique 18 2 APPROCHE DE CERTAINS THEMES D AUDIT
132. que soci t sp cialis e selon une p riodicit adapt e aux enjeux 3 20 En cas de sinistre grave existe t il un plan de secours en ad quation avec les besoins et les enjeux plan d urgence plan de repli plan de reprise e v rifier le dimensionnement des moyens mis en place e d terminer les faiblesses du plan de secours existant axes d analyse tude d impact financier sites de repli plan de secours informatique plan de secours t l com sauvegardes des documents proc dures organisation logistique 3 21 Ce plan est il p riodiquement test et mis jour 3 22 L organisation dispose t elle d un responsable s curit et d une politique formalis e en mati re de s curit informatique conforme la r glementation Cette politique couvre t elle la fonction informatique 3 23 Les acc s aux commandes syst me aux biblioth ques et bases de donn es de production sont ils prot g s logiciel de contr le et limit s au personnel d exploitation 3 24 Les acc s aux logiciels de base et utilitaires sensibles sont ils contr l s et syst matiquement trac s 3 25 Existe t il des proc dures de contr le p riodique des acc s aux ressources de l application analyse des logs par le responsable de la s curit Historique d v nement et par extension fichier contenant cet historique 63 4 Audit d efficacit et de performance ad quation de l application aux besoins 4 1 L
133. que fonctionnalit voire au niveau des donn es les droits d acc s doivent faire l objet d une gestion rigoureuse par un service d di Ainsi les demandes d octroi de droit d acc s doivent tre formalis es et obligatoirement valid es par les chefs de service Les d blocages en cas de perte de mot de passe doivent tre organis s Enfin la liste des habilitations application par application doit tre revue r guli rement et les droits d acc s supprim s en cas de d part une bonne gestion des projets de d veloppements informatiques La r ussite d un projet informatique n cessite a minima les l ments suivants une vision claire de l objectif et des r sultats attendus l implication de la direction g n rale 11 une d finition claire des responsabilit s des parties prenantes implication des utilisateurs bureaux m tiers la constitution d une quipe projet d di e dirig e par des cadres exp riment s des choix techniques p rennes une gestion rigoureuse et organis e du projet un d ploiement chelonn un suivi des risques un accompagnement du changement e unSlint gr un Sl est dit int gr quand toutes les applications communiquent entre elles de fa on automatique l aide d interfaces Ainsi les informations ne sont saisies qu une seule fois dans les syst mes notion de base de donn es ma tresse et les changes de donn es font l
134. r voient et l ex cution montre que lorsque le personnel de la SSII intervient dans les locaux de l administration il doit respecter les regles d hygiene et de s curit ainsi que les regles g n rales et permanentes relatives a la discipline issues du reglement int rieur du client il n est toutefois pas soumis aux m mes contraintes horaires et de cong s 3 5 Le prestataire est dans la mesure du possible isol dans un local qui lui est confi pendant la dur e de la prestation r daction d un protocole Cette disposition peut tre contraire l objet m me du march notamment dans le cas d une plateforme commune au c ur de la m thode AGILE Dans ce cas l attention doit tre port e sur la stricte limitation des ressources accessibles aux agents du prestataire 95 3 8 4 TUDE DES MARCHES D INFOGERANCE OU DE TIERCE MAINTENANCE APPLICATIVE Points de contr le TMA La norme AFNOR Z67 801 1 d finit l infog rance comme tant un service d fini comme le r sultat de l int gration d un ensemble de ressources l mentaires visant a confier un prestataire informatique tout ou partie du systeme d information du client dans le cadre d un contrat pluriannuel a base forfaitaire avec un niveau de service et une dur e d finis Une TMA consiste comme pour le SaaS en l externalisation d une infrastructure et ou d une application Il ne s agit pas de l externalisation d un processus BPO pour Busin
135. re les organisations s curit du courrier lectronique 7 Conformit 7 1 V rifier la conformit aux exigences l gales et r glementaires protection des donn es personnelles respect de la propri t intellectuelle conservation de l information 7 2 Effectuer des audits de s curit r guliers internes et externes revue syst matique et tests empiriques exemple test d intrusion protection des outils d audit des syst mes protection des rapports d audit de s curit 8 Gestion des identifiants et des mots de passe 8 1 V rifier qu il y a un seul utilisateur par identifiant 8 2 V rifier que les identifiants inutilis s pendant un certain d lai sont r voqu s 8 3 V rifier que les r gles de bases sont connues et mises en place utilisation syst matique le titulaire doit tre le seul conna tre son mot de passe changement p riodique r gles de composition proc dures en cas d inactivation ou de perte 9 Contr le des acc s 9 1 V rifier la d finition et la documentation de la politique de contr le d acc s exigences de s curit des applications individuelles de l organisation politiques de diss mination de l information et d autorisation d acc s besoin d en savoir ainsi que les niveaux de 45 s curit et la classification de l information e obligations contractuelles concernant la protection de l acc s aux donn es e pr
136. restataire vis vis de l administration l insuffisante definition des livrables et l impr cision voire l inexistence des crit res d valuation permettant d attester objectivement la r alit du service fait 91 TECHNIQUE 1 4 Les obligations des parties sont conformes au droit f e les pieces du march CCTP acte d engagement font appara tre L assistance technique qui se retrouve fr quemment en conduite de projets sous la forme d AMOA est un besoin pour les services du minist re qui ne disposent pas de toutes les comp tences pour mener bien toutes les missions qui leur sont confi es N anmoins les march s r ellement exig pass s dans ces domaines pr sentent diff rents risques e risque de perte de comp tence pour les services des obligations de r sultats du titulaire et non des obligations de moyens ex pas de jalons pas ou peu de livrables aucun r sultat 1 5 Les documents du march ne montrent pas que le service a voulu s attacher une personne pr cise CV nom de l intervenant cit e risque de co t prohibitif pour les finances publiques 1 6 L ex cution du march ne fait pas appara tre une rupture du lien hi rarchique entre l employ et sa hi rarchie e risque p nal car ces march s s ils sont mal r dig s mal pass s ou e les agents du titulaire ne sont pas int gr s dans les quipes de mal ex cut s courent le risque d tre r
137. ris es completes et exactes 2 14 Les op rations effectu es sur des donn es sensibles sont elles l objet d une piste d audit suffisante et r guli rement analys e e identit de l auteur de l op ration e entit fichier donn e sur laquelle l op ration a t effectu e e date et heure des v nements e valeur avant et apr s l op ration Objectifs de contr le de la piste d audit e valuation de la qualit des pistes couverture exploitabilit e valuation de la s curit des pistes s curit de ses constituants OS SGBD e valuation de la gestion des pistes procedures de contr le archivage 2 15 Les proc dures de transmission de fichiers en entr e assurent elles l exhaustivit et l exactitude des informations transmises contr les systemes 2 16 Les contr les mis en uvre lors de l int gration des donn es par fichiers a l application sont ils suffisants et identiques ceux mis en uvre dans le cadre d une saisie transactionnelle contr les applicatifs 2 17 Le syst me pr voit il de conserver toutes les donn es rejet es dans un fichier d anomalies prot g et de les diter en vue d un contr le et d un recyclage 2 18 Les donn es rejet es sont elles analys es et corrig es dans des d lais raisonnables et compatibles avec les d lais de validation des traitements 2 19 Les corrections des donn es rejet es subissent elles les m mes
138. roc dures connues et appliqu es 2 29 Les proc dures de validation des r sultats Qui Quand Comment de classement et d archivage des tats produits sont elles adapt es formalis es connues et appliqu es e existence d une proc dure identification des responsables d lai de mise a disposition des tats et d lai de validation proc dures a suivre en cas d incident 2 30 Lorsque l application est la juxtaposition de plusieurs modules l homog n isation des codifications et des r gles de gestion a t elle t assur e 2 31 L int grit et l exhaustivit des donn es transmises entre les diff rents modules de l application et ou a des applications en aval sont elles assur es 3 Audit de la s curit et de la fiabilit analyse des risques associ s a la fonction informatique 3 1 Au sein du service informatique les t ches relatives au d veloppement et l exploitation de l application sont elles s par es e Prendre connaissance de l organigramme de la DSI des descriptions de travaux Job description et de la proc dure de mise en production 3 2 L acc s aux biblioth ques de production donn es et programmes est il interdit aux analystes programmeurs e Sans r elle tanch it des environnements de d veloppement et de production la s paration des t ches reste toute th orique Analyser les droits d acc s Un acc s en lecture pour les chefs de projets est g n ralement admis
139. s contr ler qu un mot de passe temporaire est envoy pour la premi re utilisation et qu il est bien chang par l utilisateur d s la premi re utilisation contr ler que les mots de passe temporaires sont transmis aux utilisateurs de mani re s re contr ler que le syst me impose un changement r gulier du mot de passe contr ler que le syst me impose le choix de mots de passe robustes discipline utilisateur pour la d connexion la d connexion doit tre automatique en cas d inactivit prolong e 9 4 V rifier le contr le des acc s aux r seaux e authentification des utilisateurs pour les connexions externes e protection des ports de diagnostic distance et de 46 t l maintenance contr le des flux firewalls cloisonnement 9 5 V rifier le contr le de l acc s aux syst mes d exploitation identification authentification des utilisateurs limitation du nombre de tentatives infructueuses enregistrement des tentatives infructueuses limitation des jours et heures de connexion affichage de la derni re connexion protection de l acc s aux utilitaires 9 6 V rifier le contr le de l acc s aux applications restriction des acc s l information isolation des syst mes critiques 9 7 V rifier la surveillance des acc s aux syst mes et leur utilisation consignation des v nements constitution des journaux d audit v qui quand quoi d o
140. s taux d utilisation des CPU espace disque analyse du portefeuille des demandes utilisateurs productivit des tudes formation et gestion des comp tences internes etc enqu te p riodique de satisfaction aupr s des utilisateurs etc 4 6 Est il syst matiquement effectu un bilan apr s chaque projet et notamment un bilan conomique bilan rapproch des pr visions de 39 l tude pr alable 5 Organisation et structure de la DSI 5 1 V rifier l existence d un organigramme jour de la DSI 5 2 Existe il une d finition de fonction et un partage clair des r les et des responsabilit s pour chaque poste figurant sur l organigramme 5 3 V rifier que l ensemble des composantes d une fonction informatique est convenablement pris en compte notamment la veille technologique la s curit informatique la fonction qualit amp m thodes la gestion des ressources humaines le contr le de gestion le support utilisateurs de proximit et distance l administration des serveurs 5 4 valuer l ad quation des effectifs aux besoins et aux enjeux e analyse de la couverture fonctionnelle et g ographique de l informatique benchmarks internes et externes ratios effectifs CA et Budget IT CA analyse du recours a la sous traitance analyse de la charge du personnel informatique horaires pratiqu s portefeuille des demandes utilisateurs 5 5 valuer l ad quation des qua
141. s 2 7 La s paration des t ches est elle respect e dans le param trage des profils e comparer les droits d acces avec les fonctions des utilisateurs e v rifier llad quation entre les droits et les profils e v rifier que toutes les personnes ayant des droits d acces sont toujours dans le service l organisation 2 8 La piste d audit sur le systeme d administration de l application est elle assur e et r gulierement contr l e 2 9 Tous les documents servant de base a la saisie sont ils pr par s pr format s complets et approuv s avant saisie 2 10 Les facilit s de saisie l ergonomie de la saisie les messages crans et les contr les de format sur les donn es permettent ils d viter puis de filtrer les erreurs de premier niveau Y a t il unicit de la saisie de l information 2 11 Les contr les de validation permettent ils de detecter les doubles saisies les saisies incompl tes les incoherences contr le de vraisemblance et de rapprochement avec d autres valeurs contr le de limite et d tendue et certaines erreurs de saisie contr le de sommation totaux de contr le pour les saisies de masse 2 12 Utilise t on des brouillards de saisie pour validation par reconciliation avec les documents sources Cette validation est elle independante 2 13 Les saisies des donn es sensibles et notamment les donn es permanentes et les param tres de l application sont elles auto
142. s PGI Entreprise Ressource Planning ERP en anglais pr sentent l avantage de couvrir plusieurs domaines m tiers d une entreprise en une seule application par l interm diaire de modules Par exemple le PGI le plus connu SAP sur lequel repose CHORUS int gre sous forme de modules les principales fonctions suivantes e module FI Financial comptabilit g n rale e module CO Controlling contr le de gestion comptabilit auxiliaire e module SD Sales amp Distribution administration des ventes e module MM Material Management achat et gestion des stocks e module PP Production Planning gestion de la production e module RE Real Estate gestion immobili re 17 Les principaux avantages des PGI sont les suivants r duction des d lais administratifs saisie unique dans le SI de l organisation disponibilit imm diate de l information piste d audit garantie en principe la r duction des co ts informatiques est parfois mise en avant malgr un investissement initial lev En contrepartie certaines exigences sont g n ralement impos es par la mise en place d un PGI mise en ceuvre rigoureuse et exigeante en matiere d int gration de param trage et de d veloppements sp cifiques potentiellement co teux y compris dans la dur e revue de l architecture technique pouvant conduire au remplacement des infrastructures mat rielles et r seaux une ad
143. s applications et les syst mes op r s g n rent des fichiers 3 R A a z Annulation d un ensemble de requ tes ou transactions r alis es sur une base de donn es transactionnelle 4 A Horodatage d une donn e ou transaction d erreurs exploitables tracelog e ordonnanceur de production ou les outils utilis s batch d ex cution permettent l arr t du d roulement des traitements en cas d erreur grave e le niveau d automatisation de la production permet de d caler des jobs non critiques et de mesurer l impact sur le chemin critique i e le chemin critique de production et les marges de s curit sont identifi s e les outils syst mes offrent des garanties comme int grit et timeliness des fichiers interm diaires puits de donn es gt Cortex Sink et capacit de retour arri re Roll Back automatique de SGBD si non pris en compte dans le chemin d exploitation sauvegarde interm diaire ou dans les traitements 5 3 V rifier le patrimoine documentaire utilise par l exploitation existe t il des guides de production par application e le sequencement des t ches de production est il correctement document dans le robot ou sur papier e les diff rents points de reprise sont ils clairement identifi s e existe t il une main courante de production tra ant tout v nement anormal intervenu et les actions correctives entreprises e existe t il un r f rentiel listant typologies d incident
144. s cas une mauvaise anticipation des op rations r aliser sur les outils informatiques est susceptible d avoir un impact fortement n gatif sur le d roulement voire la r ussite du projet L audit d un projet devra donc en identifier les enjeux informatiques et v rifier leur correcte prise en compte L auditeur devra donc l occasion de l audit d un projet e identifier pr cis ment le p rim tre informatique mat riels applications donn es et ressources humaines du projet en distinguant clairement le projet lui m me et la cible vis e e s agissant du projet v rifier que les ressources mises disposition de l quipe projet mat riels applications support sont adapt es et que les r gles notamment celles relatives la s curit des syst mes d information SSI sont adapt es connues et appliqu es Il lui faudra notamment v rifier qu elle inclut des personnes capables de traiter les enjeux informatiques de la cible du projet e s agissant de la cible du projet v rifier que la dimension informatique des processus organisation etc vis s sont convenablement inventori s et pris en compte de mani re r aliste L auditeur devra rencontrer e la direction du projet pour s assurer qu elle dispose des leviers d action et des ressources n cessaires la bonne conduite du projet et pour v rifier qu elle a suffisamment anticip l impact du projet en mati re Sl notamment en mati re de
145. s d information minist riels et interminist riels Cette ambition se d cline en trois axes strat giques 1 Le SI doit cr er une valeur croissante pour ses utilisateurs cet effet les directions m tiers doivent mieux s appuyer sur les syst mes d information pour optimiser les processus de fonctionnement de l administration augmenter la performance de celle ci et la qualit du service rendu par les agents publics Le syst me d information doit tre mieux structur et utilis pour d velopper les relations num riques entre les m tiers et les usagers 2 Le SI de l tat doit tre construit de fa on efficiente Parall lement aux investissements d innovation qui cr ent de la valeur pour les utilisateurs du SI de l tat les co ts non justifi s des composantes de ce SI doivent tre r duits 3 La fonction SI de l tat doit tre pilot e Les visions minist rielles des SI et particuli rement leur alignement avec la strat gie des m tiers doivent s appuyer sur une vision transversale du syst me d information de l tat afin de concilier enjeux m tiers et enjeux globaux des politiques publiques En particulier certains enjeux d organisation et de politique publique de long terme constituent des chantiers essentiels pour la r ussite de l volution du syst me d information de l tat au del de visions trop locales ou minist rielles l urbanisation du SI de l tat est l outil pour le pilot
146. s et actions de r solution entreprendre aliment sur la base des anomalies r solues dans le pass 54 5 4 Analyser les procedures d exploitation existe t il une typologie claire de gravite d incident existe t il une proc dure d escalade d crivant sp cifiquement quels sont les moyens de r solution des probl mes troubleshooting mettre en uvre par chaque niveau et les d lais r gissant l escalade La proc dure d escalade permet elle le respect des engagements de disponibilit SLA les actions entreprendre en fonction du type d incident sont elles document es ex fermer le transactionnel faire une sauvegarde g n rer un clich snapshoot sur un environnement pour faire du d bogage v rifier un certain nombre d l ments les astreintes sont elles explicites Couvrent elles uniquement le support production ou incluent elles les tudes Sont elles en ad quation avec les engagements de disponibilit les comp tences disponibles au sein de la production permettent elles un support ad quat de tous les environnements 6 Proc dure de sauvegarde et de reprise 6 1 Identifier les diff rentes sauvegardes effectu es et les croiser avec les besoins existants Valider que toute sauvegarde r pond un besoin pr cis et que tous les besoins sont couverts peut on faire repartir l exploitation partir de sauvegarde sur site avec des caract ristiques de rechargement int
147. s reporting de suivi portables 2 Fonction support audit d efficacit et de performance 3 6 Le d ploiement de nouveaux logiciels ou mises jour est il possible distance utile pour les utilisateurs nomades 2 1 Existe t il une aide la saisie pour la saisie des tickets 3 7 Est il possible pour le HD de prendre la main distance Si oui quelle 2 2 Existe t il des revues qualit pour la saisie des tickets est la proc dure 2 3 Quelle est la proc dure de mise jour de la base de connaissance 3 8 Comment est g r le parc informatique Quel type de machine 2 4 Les appels sont ils enregistr s Quel outil 2 5 Des tudes de satisfaction sont elles r alis es aupr s des utilisateurs 3 9 L inventaire du parc informatique comprend t il la localisation des machines 2 6 Existe t il une valuation de l quipe HD Notamment pour les 3 10 Les logiciels non officiels sont ils r pertori s et suivis prestataires pour valuer leur niveau de connaissance 3 11 Les utilisateurs sont ils sensibilis s la s curit informatique 2 7 Les certifications ITIL ISO COBIT sont elles encourag es au sein de notamment l installation de logiciel non officiel la DSI du HD en particulier 3 12 Faire des copies d cran ou d extraction des outils de suivi des mises 2 8 Interroger le DSI le responsable HD des utilisateurs l quipe HD si a jour d ploiement possible participer a la vie
148. t ad quat 7 13 Les diff rentes solutions possibles ont t pr sent es au comit ad quat 7 14 La poursuite du projet a t approuv e par crit par une personne comp tente Il fournit les l ments n cessaires la prise de d cision en termes d architecture de lotissement de co ts de risques et de d lais 7 Conception g n rale et analyse e comparaison des diff rentes solutions e liste des contr les d exploitation 7 1 Il existe une analyse des diff rents sc narios possibles en termes de solution retenue 7 2 Tous les sc narios ont t envisag s m me celui de ne rien faire 7 3 Les contraintes li es aux technologies besoins en mat riels en formation en RH contraintes juridiques faisabilit op rationnelle ont t prises en compte 80 8 Conception d taill e O Ere RE el 8 1 Il existe une m thode d analyse et de conception conception d taill e informatique Ce dossier sp cifie de facon d taill e er OEA A y TS p architecture et mod les informatiques les composants logiciels mettre ee qe ode es u men SI pee l La phase de conception d taill e est ponctu e par un dossier de 8 3 Cette m thode est ma tris e par l quipe projet 8 4 Les sp cifications d taill es sont exhaustives par rapport au cahier des charges 8 5 Il existe des contr les adapt s chaque point critique du syst me pr ventifs et correctifs 8 6 Le responsable de la s curi
149. t quilibr La s curit informatique ne se r sume pas l informatique Elle int gre bien s r les s curit s logique et physique de l informatique y compris dans leur dimension r silience fr quemment oubli es notamment pour les syst mes p riph riques comme les imprimantes ou t l phones en r seau le contr le des acc s et temps de travail l informatique industrielle ou la gestion technique des b timents mais s tend bien au del Elle s int gre dans un dispositif global de s curit destin a prot ger tous les actifs de l organisation et non seulement ses actifs informatiques ou d mat rialis s et doit tre en coh rence avec les efforts r alis s en dehors du domaine informatique Elle d coule d une culture ou inculture de la s curit propre chaque organisation Elle proc de d une identification et d une valuation de l importance des actifs d une analyse des menaces pesant sur eux et des vuln rabilit s de l organisation d une d cision quant l aversion au risque de l organisation et aux modalit s et dispositifs de s curit qui en d coulent Elle doit aussi proc der d une juste valuation des contraintes normatives pesant sur l organisation Au del des aspects classiques d un audit de s curit informatique l auditeur doit donc examiner la qualit de l inventaire des actifs de l valuation des risques du processus d cisionnel ayant conduit la d f
150. t est impliqu dans le projet 8 7 Il existe des pistes d audit permettant de suivre la totalit des transactions 8 8 Les acteurs concern s sont impliqu s dans le projet utilisateurs en uvre ainsi que les interfaces selon le sc nario les modalit s et la route de d veloppement retenus administrateurs de donn es responsable s curit 8 9 La conception d taill e a t revue par les membres du COPROJ 8 10 La poursuite du projet a t approuv e par crit par une personne comp tente dossier de sp cifications d taill es ou de conception d taill e manuel utilisateur manuel d exploitation dossier d organisation de la reprise des donn es bilan de qualit logiciel bilan de la satisfaction des utilisateurs 81 31 9 DEVELOPPEMENT REALISATION OU 9 7 La documentation est revue par le responsable du service des tudes PARAMETRAGE 9 8 Il existe un programme g n ral de tests formalis 9 9 Il existe un plan de mise en place 9 10 Le plan de mise en place d finit la nature des travaux a r aliser et ar 3 7 leur ordonnancement La phase de r alisation consiste produire un ensemble de codes ex cutables programmes structur et document correspondant aux 9 11le plan de mise en place d finit les charges de travail E es ae correspondantes et la dur e de travaux sp cifications et respectant les dispositions du plan d assurance qual
151. taill e documents de suivi des risques 75 3 7 4 INSTANCES DE PILOTAGE Diff rentes instances de pilotage sont mises en place pour accompagner un projet Le choix des indicateurs et le formalisme du reporting jouent un r le important lors des prises de d cision Les comit s de suivi de projet sont g n ralement au nombre de trois comit s e Comit de pilotage parfois appel comit directeur Instance de d cision et de pilotage strat gique du projet lancement suivi du d veloppement de la solution conduite du changement et mise en uvre management du projet arbitrage allocation de ressources e Comit de projet parfois appel comit de pilotage Instance de pilotage op rationnel du projet agissant pour le compte du comit de pilotage comprenant des repr sentants de la ma trise d uvre y compris prestataires e Comit des utilisateurs instance charg e de l expression d taill e des besoins et des r gles de gestion de la validation des dossiers de conception pr sent s par l quipe projet de la participation aux tests du systeme l laboration de la documentation utilisateurs aux actions de formation de la r ception d finitive du logiciel 4 Les instances de pilotage 4 1 La structure de pilotage est formalis e et connue de tous les acteurs 4 2 Les diff rentes instances de pilotage connaissent leurs niveaux de d l gation 4 3 Les object
152. teurs des ressources informatiques Elle peut tre tablie sur le mod le suivant e les modalit s d utilisation des moyens informatiques et de t l communications mis a disposition Par exemple o le poste de travail o les quipements nomades o l espace de stockage individuel o le r seau local o internet o la messagerie lectronique o let l phone les r gles de s curit auxquelles se conformer ce qui peut inclure par exemple o les moyens d authentification o les modalit s d intervention du service de l informatique interne 102 o signaler au service informatique interne toute violation ou tentative de violation suspect e de son compte informatique et de mani re g n rale tout dysfonctionnement o de ne jamais confier son identifiant mot de passe un tiers o de ne pas modifier les param trages du poste de travail o dene pas installer copier modifier d truire des logiciels sans autorisation o de verrouiller son ordinateur d s que l on quitte son poste de travail o de ne pas acc der tenter d acc der ou supprimer des informations qui ne rel vent pas des t ches incombant l utilisateur o les modalit s de copie de donn es sur un support externe les conditions d administration du SI et l existence le cas ch ant de syst mes automatiques de filtrage ou de tra abilit les responsabilit s et sanctions encourues en cas de non respect
153. tifs du projet 2 11 Ce document comprend l analyse des d ficiences des systemes existants 2 12 Ce document comprend les enjeux et la faisabilit du projet 2 13 Ce document comprend les b n fices attendus et la rentabilit 2 16 L tude d opportunit a t revue par les directions utilisatrices et par la direction informatique 2 17 L approbation de l tude d opportunit a t formalis e par crit par une personne ayant autorit pour le faire 74 3 7 3 PLANIFICATION L organisation doit tre en mesure d valuer d organiser et de planifier la r alisation des travaux a venir La mutualisation des ressources tant au sein de la DSI que pour les entit s m tiers est devenue une n cessit Il est n cessaire de contr ler si l organisation est en mesure de planifier de mani re coh rente l utilisation de ses ressources 3 5 Ces plans ont t r vis s 3 6 Les plans int grent une gestion optimale des ressources 3 7 Il existe une valuation des risques li s a la nature du projet 3 8 ll existe une valuation des risques li s la technologie utilis e 3 9 Il existe une valuation des risques li s aux projets en cours 7 2 3 10 Il existe une valuation des risques li s aux d lais 3 11 Il existe une valuation des risques li s la synchronisation des activit s 3 21 La mise en ad quation des moyens techniques est coh rente e macro planning du projet e plan de projet d
154. tion aupr s des utilisateurs l aide ou non de ces enqu tes valuer le 64 niveau de satisfaction des utilisateurs performance de application appropriation et ma trise qualit de la formation et du support absence de phenomene de rejet 5 Audit d efficacit et de performance analyse de la performance et de la rentabilit 5 1 Une valuation de la rentabilit de l investissement a t elle t tablie pr alablement au d veloppement ou a l acquisition de application 5 2 Cette evaluation a t elle int gr les co ts de d ploiement mais aussi les co ts d exploitation charges r currentes 5 3 A t on tudi s rieusement les offres du march progiciel avant de se lancer dans un d veloppement sp cifique 5 4 Les d lais de mise en ceuvre de l application sont ils raisonnables impact d un ventuel effet tunnel et conformes au planning initial 5 5 Un bilan post projet a t il t effectu afin de mesurer l atteinte des objectifs 5 6 La r duction des charges notamment de personnel et d exploitation et ou des d lais d lais de traitements d lais de cl ture est elle conforme a la reduction attendue lors de l tude pr alable 5 7 A t on constat des am liorations non quantifiables d finies ou pas lors de l tude pr alable am lioration de la s curit du service client 5 8 A t on r alis une r ing nierie des processus Business Process Ree
155. tructure d di e a la gestion de la s curit de l information un comit s curit un responsable de la s curit du syst me d information RSSI et des correspondants s curit dans les unit s 3 2 lly a une attribution claire des responsabilit s 3 3 Un propri taire est d sign il est responsable de la mise en uvre et du suivi des volutions apporter 3 4 Il existe des proc dures d autorisation de nouveaux mat riels ou logiciels 43 3 5 Il existe des procedures applicables a l acc s aux informations de l organisation par des tiers e les acc s par des tiers aux infrastructures de traitement de l information sont contr l s e une analyse des risques a t men e e des mesures de protection de l information ont t tablies et sont accept es contractuellement par le tiers clause de confidentialit transfert de propri t responsabilit s r gles d acc s physique et logique restitution ou destruction de l information confi e remplacement de collaborateur 3 6 En ce qui concerne les modalit s de protection de l information confi e des sous traitants il faut v rifier e la prise en compte des exigences de s curit dans les conditions contractuelles mesures prises pour s curiser les donn es pendant l change et pendant la conservation par le sous traitant modalit de restitution ou de destruction de l information confi e possibilit pour le sous traitant de faire ap
156. ue la fonction de support d une part anticipe ses besoins et dimensionne convenablement ses quipes et d autre part contribue 1 10 Les incidents de production de nuit sont ils saisis aussi dans l outil la mise en place de regles de gestion du mat riel et des applications 1 11 Quels sont les comit s mis en place pour suivre les incidents et leur A 4 informatiques de l organisation en analysant le retour d exp rience r solution Qui participe Comment sont suivies les actions 1 12 Si le HD est externalis existe t il un contrat de service 1 13 Quels sont les indicateurs pour suivre le contrat de service 1 14 Y a t il un planning syst matique concernant les mises en production 1 15 Interroger le DSI le responsable HD des utilisateurs l quipe HD si possible participer a la vie du HD 1 16 Demander des extractions de la base de ticket e v rifier le nombre la compl tude des crit res l ad quation Les aspects relatifs a la gouvernance et a la s curit sont trait s dans les fiches 3 1 et 3 2 Les points de contr le propos s ci dessous leur sont compl mentaires de la qualification la description de l incident 67 e analyser les d lais de cl ture 3 4 L installation des PC portables est elle faite partir d un master configuration minimum et standardis e 3 5 Existe t il un processus sp cifique pour le suivi des mises jour sur les 1 17 Demander le
157. ue vise a fournir a ces ressources l organisation Elle comprend donc outre le systeme informatique les personnes processus ressources financieres et informationnelles qui y contribuent Elle ne doit pas tre confondue avec la fonction d information ensemble organis de personnes de proc dures et d quipement qui a pour objet de r unir de trier d analyser d valuer et de distribuer en temps utile de l information pertinente et valide provenant de sources internes et externes a l organisation afin que tous ceux qui ont a prendre des d cisions disposent des l ments leur permettant de choisir l action la plus appropri e au moment ad quat La fonction d information qui doit tre pens e comme telle et non comme une manation de la fonction informatique s appuie videmment sur des ressources informatiques En raison de la confusion fr quente entre ces notions les commanditaires attendent parfois des auditeurs Sl un travail sur la fonction d information plus que sur le seul systeme informatique Il convient donc d tre tr s clair sur les attendus de l audit Un syst me informatique est constitu de ressources mat rielles et logicielles organis es pour collecter stocker traiter et communiquer les informations Les ressources humaines n cessaires son fonctionnement par exemple les administrateurs sont parfois incluses dans ce p rim tre Le syst me informatique ne doit pas tre con u comme une fin en soi
158. un environnement d di avant d tre livr s l exploitation 2 9 V rifier l existence d un bon niveau de s paration des t ches et des environnements entre les tudes et la production e v rifier l existence de job description et le niveau de s paration des t ches e v rifier que les tudes disposent de machines de d veloppement et de test d di es et s curis es dont les caract ristiques et tats techniques sont similaires celles des machines de production 4 Regroupement d une s rie d volutions mineures permettant d viter des modifications trop fr quentes d une application 71 v rifier l existence d une proc dure de recette entre les tudes et l exploitation v rifier l existence et la qualit de la proc dure de transfert des programmes entre les environnements de d veloppement et d exploitation v rifier que le niveau de s paration des t ches n est pas d grad en cas d absence de membres des tudes et ou de production profil administrateur mot de passe 2 10 La documentation de l application est elle syst matiquement mise a jour apres chaque intervention de maintenance V rifier dans les programmes l existence d historique des modifications sous forme en commentaires 2 11 Les corrections urgentes bug bloquant de gravit 1 sont elles trac es logs et effectu es dans un cadre bien d fini et font elles l objet d un rapport syst matique revu par la DSI resp
Download Pdf Manuals
Related Search