Axe 3 : Processus, procédure, Logiciels Les processus sont désormais pour la plupart très fortement dépendants des outils informatiques. Dans le meilleur des cas, ils s’appuient sur un système informatique répondant leurs !esoins. "ou#ent, ils s’appuient au $l de leur déroulement sur des outils disparates, con%us dans une logique d’organisation et leur imposant des ruptures de c&arges. Ainsi, la performance d’un processus est intimement liée l’alignement et la qualité des systèmes informatiques. Dans une organisation pratiquant le pilotage par les processus, les pro'ets informatiques de#raient (tre pensés nati#ement dans une logique de processus. L’audit d’un processus doit donc inclure un audit des outils informatiques sur lesquels il s’appuie. )et audit doit inclure l’examen des données et informations manipulées au cours du déroulement du processus, y compris celles pro#enant d’autres processus, des applications qui ser#ent ou automatisent tout ou partie des t*c&es ou procédures qui le composent, et des infrastructures informatiques de traitement et communication qu’il utilise.
Description Processus +. Les instances de gou#ernance qui pilotent ce processus sontelles compétentes pour pou#oir orienter les "- y concourant /. 0xistetil une co&érence entre les outils informatiques et les processus qu’ils ser#ent 3. La sécurité p&ysique et logique des données, informations, applications et infrastructures est elle en co&érence a#ec l’analyse des risques de ce processus 1. 0xistetil un dispositif de contr2le interne destiné matriser ce processus 0stil pertinent Les outils informatiques y contri!uentils de manière e4cace et e4ciente 5. L6organisation du traitement des données pré#oitelle une séparation adéquate des fonctions
Logiciels et applications informatiques 7 La &iérarc&ie supérieure 8ou &autes instances9 de l6organisation auditée dé$nitelle un !udget détaillé dédié l6informatique, au dé!ut de c&aque année "i la réponse est négati#e, sur quelle !ase se fait l6engagement des dépenses informatiques "i la réponse est positi#e, ce !udget, estil éta!li en référence aux actions pré#ues dans le plan informatique 7 uelle est la procédure pour l’éta!lissement du !udget informatique Lister les principales ru!riques du !udget fonctionnel et d’in#estissement
;. 0xistetil des procédures de contr2le des sélections, de test et d’acceptation des logiciels em!allés <. 0xistetil une $c&e signalétique pour tous les logiciels acquis
OUI
NON
N/A
=. Les garanties fournisseurs sontelles tou'ours #ala!les >. Les logiciels acquis sontils détenus par des tiers +?. Les copies et les sau#egardes des manuels des opérations sontelles gardées &ors du site ++. 0xistetil une codi$cation des logiciels acquis +/. L’entreprise disposetelle des duplicatas des logiciels acquis 80n cas de disfonctionnement des logiciels principales9 +3. 0xistetil un in#entaire des con$gurations des logiciels 7 Parmi ces applications, faire la distinction entre les applications qui ont été dé#eloppées en interne, et celles qui ont été acquises 7 )omment est opéré le c&oix de l6une ou l6autre option et quels sont les critères qui sont pris en compte 7 Pour les applications dé#eloppées en interne, atil été éla!oré un ca&ier des c&arges dé$nissant les !esoins fonctionnels des utilisateurs 7 Décrire la procédure sui#ie pour l6acquisition de solutions informatiques. 7 Dans les cas o@ la solution informatique a été acquise, existetil un contrat de ser#ice Les utilisateurs ontils été formés au produit et ontils été assistés pour son paramétrage Le paramétrage atil été réalisé dans les règles de l6art 7 0xistetil, pour c&aque application, un document décri#ant l6analyse fonctionnelle et les !esoins des utilisateurs Décrire, pour c&aque application informatique, les principales fonctionnalités et leur degré de réponse aux !esoins des utilisateurs
7 Pour c&aque application informatique, existetil une documentation utilisateur, un dossier d6exploitation, et un dossier de maintenance )es documentations sontelles régulièrement mises 'our en cas de c&angement de #ersements et sontelles conser#ées en lieu sr 7 )ette documentation estelle communiquée aux utilisateurs concernés 7 )ette documentation estelle de qualité et estelle facilement compré&ensi!le )ette documentation pré#oitelle des illustrations des diBérents écrans de saisies et écrans de sorties Coutes les ru!riques sont elles !ien expliquées
Schéma logiciel )ette arc&itecture répond elle aux !esoins des utilisateurs uels sont les domaines d’acti#ité cou#erts par l’informatique Pour c&aque sous système d’information, uels sont les inputs de c&aque sous système d’information uels sont les outputs de c&aque sous système d’information )es outputs sontils adaptés et répondentils aux !esoins et attentes des utilisateurs "i la réponse cette question est négati#e, décrire les !esoins des utilisateurs en termes d’output uels sont les moyens tec&niques mis la disposition du système d’information uels sont les acteurs du système d’information uel est le ni#eau dautomatisation du "ystème d-nformation uels sont les traitements automatisés du système d’information Eecenser les applications informatiques et leurs fonctionnalités )es applications informatiques sontelles intégrées. uels sont les traitements non automatisés du system d’information 8les procédures et les règles de gestion sontelles formalisées9
)es procédures et règles de gestion sontelles diBusées et communiquées l’ensem!le des acteurs concernés +3. Les indicateurs de capacité réseau, )PF et média de stocGage ainsi que de temps de réponse, cou#rentils les consommations moyennes et les pics d’acti#ité +1. Les !udgets reHètentils des in#estissements nécessaires l’augmentation de la capacité de traitement des arc&itectures existantes +5. L’é#oluti#ité des arc&itectures présentes est elle satisfaisante +;. La scala!ilité, la modularité I des arc&itectures et le ni#eau de maturitéJo!solescence des arc&itectures opérées 8date de $n de maintenance des systèmes et progiciels, #ersions des langages, ...9 sontils pris en compte +<. Le dimensionnement des arc&itectures actuelles permetil de répondre aux engagements de ser#ices +=. Les infrastructures sontils surdimensionnées en regard des !esoins actuels et pré#isi!les +>. Les systèmes de disques ou de stocGage d’information 8"AK, 9 prémunissentils contre des pertes d’information /?. Les sau#egardes, leur périmètre, et les temps de restauration sontils adaptés et en ligne a#ec les engagements de la production /+. les accès réseaux et les arc&itectures sont ils dou!lés
Exigences légales //. L’entreprise disposetelle de tous les droits d’accès relatifs c&aque logiciel /3. Les prescriptions et les exigences légales concernant les logiciels sontelles respectées
/1. )es exigences sontelles documentées au ni#eau de l’organisation /5. Des actions de sensi!ilisation et de formation sur les risques qui peu#ent (tre encourues par l’organisation sontelles organisées au pro$t du personnel de l’organisation auditée /1. La loi sur la fraude informatique estelle connue Des mesures pré#enti#es ontelles été prises /5. La loi sur la propriété intellectuelle J logiciel M pirate N estelle connue 0stelle rigoureusement respectée
aintenance /<. 0xistetil des normes pour la maintenance /=. )es normes sontelles appliquées et respectées />. )es normes sontelles examinées et approu#ées 3?. 0xistetil des procédures qui assurent l’indépendance de la maintenance de c&aque programme 3+. Le c&angement des programmes estil approu#é 3/. Les c&angement initiés par la D"- estil communiqué et approu#é par les utilisateurs 33. Les tests d’acceptation du système et les tests sur les données sontils documentés
Sécurité 7 La politique de sécurité informatique (physique et logique) est-elle formalisée au niveau de l'organisation ?
7 La structure en charge de l'informatique et des systèmes d'information a-telle élaboré un document officiel ou charte sur la sécurité qui décline cette politique en actions et procédures concrètes ?
7 Est-il désigné pour des raisons d'efficacité au niveau de l'organisation auditée un correspondant de la sécurité informatique qui a une vision globale (aspects physiques et aspects logiques) de l'organisation ainsi que de l'environnement informatique afin ! - de pouvoir détecter des incohérences notoires et donc de proposer si nécessaire des évolutions -de veiller en relation avec les autres administrateurs " l'application des règles -pouvoir coordonner les actions de #riposte$ en cas d'incident
7 %ette charte ou document officiel sur la sécurité informatique a-t-elle été entérinée par l'ensemble des instances de l'organisation auditée ?
7 %ette charte ou document officiel sur la sécurité est-elle diffusée " tous les utilisateurs de l 'informatique ? est-elle respectée et appliquée ?
7 &es séances de formation etou de sensibilisation s ont-elles organisées dans ce cadre ?
)ette c&arte pré#oitelle des mesures de sanctions l6égard des personnes qui l6enfreignent Sécurité ph!sique et acc"s aux locaux informatiques 7 Est-il procédé " une identification de l'ensemble des risques et menaces en relation avec la sécurité physique des données et équipements informatiques (accès au locau d'eploitation protection physique des équipements mesures de sécurité contre les intempéries incendies) ?
7 %ette liste des risques et menaces est-elle connue par tous les utilisateurs de l'informatique et des systèmes d'information ?
7 *our faire face a-t-il été établi une matrice des solutions et actions " entreprendre pour contrer chacun des risques identifiés (*l an de reprise en cas d'incident)?
7 + a-t-il des risques qui ne sont pas couverts ? "i la réponse cette question est positi#e, éta!lisseO la liste de ces risques non cou#erts et argumenter pourquoi il n6a pas été identi$és pour eux des solutions etJou actions entreprendre pour les contrer ou les réduire
Axe 1 : Données Les données, surtout lorsqu’elles sont su4samment importantes pour susciter un audit, sont parmi les actifs les plus précieux d’une organisation. La qualité des données est généralement indispensa!le au !on déroulement des processus. 0lle porte sou#ent un en'eu $nancier 8références fournisseurs, éléments de calcul de la paie, etc.9, parfois #ital 8s’agissant par exemple des dossiers médicaux informatisés9.
La qualité de la donnée est duale : elle est M interne N, s’agissant par exemple de l’exactitude de la donnée, mais aussi M externe N, notamment les métadonnées s’y rapportant. 0n eBet, la catégorisation d’une donnée 8identi$cation de données comme étant sensi!les, telle des coordonnées !ancaires ou des écritures compta!les, des données personnelles, ou rele#ant du secret industriel, médical, de la défense nationale, etc. de#ant ce titre (tre protégées9, qui conditionne le régime qui lui est applica!le 8droits d’accès et de modi$cation9, peut (tre aussi importante que la donnée ellem(me.
De m(me, la qualité des li!ellés en plein texte ou le renseignement des mots clé associés aux documents peu#ent (tre indispensa!les au !on fonctionnement des fonctions de tri et des algorit&mes de rec&erc&e automatique.
De nom!reux acteurs et processus produisent de la donnée, et de nom!reux acteurs et processus peu#ent (tre impliqués dans la création, la mise 'our et la destruction d’une donnée particulière ou de ses métadonnées. )’est pourquoi, toute donnée de#rait a#oir un propriétaire explicitement désigné dans l’organisation, responsa!le sinon de sa création, de son entretien, de sa suppression, de sa protection, de son intégrité, de sa disponi!ilité et de sa localisation, du moins de la dé$nition des droits et règles applica!les la totalité de ces dimensions et de la #éri$cation de leur attri!ution et de leur respect. Par ailleurs, pour le fonctionnement d’une organisation, la non duplication 8par exemple dans des $c&iers !ureautiques locaux9 est un en'eu au moins aussi important que la qualité interne ou externe d’une donnée. 0n eBet, une donnée périmée conser#ée localement peut (tre utilisée en lieu et place de la donnée actualisée conser#ée dans la !ase de données adéquate, et il est très pro!a!le que la copie ne !éné$ciera pas des règles de gestion applica!les l’originale.
Audel de la #éri$cation ponctuelle de la qualité interne d’un ensem!le de données, l’auditeur doit donc examiner leur qualité externe. -l de#ra s’intéresser aux processus a!outissant une opération sur les données, aux responsa!ilités relati#es la dé$nition des règles applica!les en la matière et au respect de leur mise en u#re.
Description 7 L'accès au locau abritant le matériel informatique (serveurs et autres) est-il limité au seuls administrateurs du système informatique ?
7 La procédure de sécurité logique des données est-elle formalisée connue et appliquée par tous les acteurs concernés de l'organisation ?
7 &écrire succinctement les grandes li gnes de cette procédure ? 7 %ette procédure de sécurité logique des données permet-elle de couvrir les trois ob,ectifs suivants -L'intégrité des données -La confidentialité consistant " assurer que seules les personnes autorisées ont accès au ressources -La disponibilité permettant de maintenir le bon fonctionnement du système informatique
7 i cette procédure n'est pas formalisée essa yer de dégager au vu des entretiens avec le responsables informatique les modalités de gestion de la sécurité des données informatiques
7 Est-il établi une liste des risques et menaces relatives " la gestion des données encourus par l'organisation ?
7 Est-il établi une matrice des solutions et actions " entreprendre pour contrer ces risques et menaces ?
7 Les procédures d.autorisation au ressources dont /nternet sont-elles limitées et contr0lées ?
7 &es sessions de formation et de sensibilisation sont-elles organisées au profit personnel dans ce cadre ?
7 %omment est gérée la protection des données ? 1 Est-il formalisée une procédure d./dentification 2uthentification pour protéger les données contre des accès frauduleu ou malveillants au ordinateurs de l.organisation 1 Est-il formalisée une procédure de auvegarde 3estauration pour conserver les données sensibles en sécurité afin de les restaurer en cas de sinistre (erreur humaine incendie virus etc) procédure de contr0le des accès procédures de sauvegarde et de restauration des données ?
7 Le système de stoc4age et de sauvegarde des données est-il évolutif ?
Politique de sauvegarde
Equipment (ordinateurs et accessoires) Eiste-t-il un entretien préventif régulier? Eiste-t-il un accord formel entrele fabricant pour l'installation de la sauvegarde ? 5emps d'ordinateur est-il suffisant pour le bac4-up? 5est du bac4-up est-il effectué régulièrement ? Fournisseurs extérieurs (non continuation / catastrophe) (*ar eemple les fournisseurs d'équipements temps
OUI
NON
N/A
d'ordinateur logiciel) 6ne documentation adéquate et sécurisée bac4-up des données et des programmes Les copies de sauvegarde et la documentation du système sont-elles conservées dans un endroit s7r? le transport de fichiers est-il sous protection physique adequate les fichiers de sauvegarde sont-ils testés périodiquement 2u moins trois générations de fichiers de bandes importantes sont-elles retenues? &es copies de toutes les transactions de mise " ,our sont-elles gardées ?
&escription
Qui
Kon
KJA
