Audit que
Short Description
Download Audit que...
Description
ECOLE NATIONALE DE COMMERCE ET DE GESTION KENITRA
Audit informatique
Réalisé par : BATITI Samah BERRADA Meriam EL OUAZZANI Imane EL ORCH Nassima
ABREVIATIONS
AFAI :
Association
Française
de
l'Audit
et
du
Conseil
informatique
COBIT : Control Objectives for Information and related Technology CRAMM : CCTA Risk Analysis and Management Method DCSSI : Direction Centrale de la Sécurité des S ystèmes d'Information EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité ISACA : The Information System Audit & Control Association & Foundation SGSI : Système de Gestion de Sécurité de l’Information MEHARI : Méthode Harmonisée d’Analyse de Risques OCTAVE : Operationnally Critical Threat, ASSET and Vulnérability Evaluation
2
SOMMAIRE
INTRODUCTION ................................................................................................................................................ 4 I-
GENERALITES SUR L’AUDIT INFORMATIQUE : .......................................................................................... 5
I.1. DEFINITION DE L AUDIT INFORMATIQUE : ........................................................ ....................................................... 5 ’
I. 2. OBJECTIFS DE L AUDIT INFORMATIQUE .................................................................................................................. 5 ’
I.3. DIFFERENTS TYPES D'AUDIT INFORMATIQUE ........................................................................................................... 6 I.4. CHAMP D APPLICATION ....................................................................................................................................... 9 ’
II-
LA DEMARCHE DE L’AUD IT IN FORMATIQUE .......................................................................................... 10
II.1. PRISE DE CONNAISSANCE DE L ENVIRONNEMENT INFORMATIQUE :............................................................................ 11 ’
II.2. EVALUATION DES RISQUES : .............................................................................................................................. 12 II.3. OBTENTION DES ELEMENTS PROBANTS ................................................................................................................ 12 III-
LES OUTILS DE L’AUDI T INFORMATIQUE ............................................................................................... 13
III.1. REFERENTIELS : ............................................................................................................................................. 13 III.2. METHODES :........................................................... ................................................................. ..................... 15 IV-
ETUDE DE CAS : ..................................................................................................................................... 18
BIBLIOGRAPHIE .............................................................................................................................................. 19
3
INTRODUCTION L'audit informatique a beaucoup évolué ces dernières années en tant que moyen de renforcement de la gouvernance informatique de l'entreprise, notamment grâce à l’adoption de référentiels largement reconnus comme le CobiT. L'objectif est de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement l'activité informatique. En effet, la démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui peut être le directeur général, le directeur informatique, le directeur financier, ect. Il va pour cela mandater l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement, référence à l'état des bonnes pratiques connues dans ce domaine. Celui-ci va ensuite s'attacher à relever des faits puis il va mener des entretiens avec les intéressés concernés. Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels largement reconnus. Sur cette base il va proposer des recommandations. Ainsi, le présent rapport s'attache à clarifier :
En premier lieu, la notion de l’audit informatique, ses objectifs et ses différents types,
En deuxième lieu, la démarche empruntée par l’auditeur informatique ainsi que les différents référentiels qui lui servent de base.
4
I-
Généralités sur l’audit informatique : I.1. Définition de l’audit informatique :
Un audit informatique peut être assimilé à un examen approfondi. Son objectif est de s’assurer que les activités informatiques d’une entreprise ou d’une administration se déroulent conformément aux règles et aux usages professionnels, appelés de manière traditionnelle les bonnes pratiques. Il faut en outre que la gestion et l’organisation du système d’informations soient en parfaite conformité avec les différentes normes et règles en vigueur. L’audit informatique apporte à l’entreprise l’assurance que la gestion, l’organisation et les processus utilisés et gérés par le système d’informations ayant une incidence sur les états financiers soient adéquats et opérés correctement. Ce résultat permet d’influer sur la politique globale des risques présents et futurs auxquels l'entreprise peut êt re appelée à faire face.
I. 2. Objectifs de l’audit informatique L’objectif de l’audit informatique est multiple :
a-
En termes de fiabilité de l’environnement informatique Bonne organisation de l’ensemble de l’activité informatique
Réduire les risques de malveillance : L’audit vise à repérer les lacunes du système en place et les corriger avant qu’elles n’occasionnent des dommages ou des pertes d’efficacité. L’audit informatique effectue une observation des outils de l’entreprise et compare leur usage avec les bonnes pratiques en 1
vigueur. Les risques encourus sont relevés, documentés et intégrés dans le rapport .
Des procédures formalisées bien comprises : L’audit informatique vérifie s’il existe des procédures permettant d’anticiper des pertes de données, de réagir plus efficacement en cas de panne matérielle, de garantir un niveau élevé de confidentialité des informations qui transitent par le système. Pour être efficaces, ces procédures doivent être mises en place de manière anticipative. Amélioration de l’efficacité de l’activité informatique :
Améliorer la cohérence entre les outils informatiques et les objectifs de l’entreprise permet de réaliser des économies de temps et d’argent.
1
http://www.outwares.com/pme/Audit-informatique.html
5
b-
En termes d’efficacité et de performance
étude approfondie de la performance et du dimensionnement des machines adéquation aux besoins des logiciels système : Dans l’audit informatique, on passe en revue l’ensemble des objectifs que doivent fournir les outils, de l’entreprise auditée, entrant dans le domaine de l’information et de la communication. On compare ensuite ces objectifs avec la réalité du terrain. Il s’agit de s’assurer que les outils en place correspondent à l’usage qui leur est demandé. Un outil mal adapté est plus cher et moins efficace que la solution adéquate. mise en place d’un plan de secours
En d’autres termes l’audit d’efficacité, constitue une mission mandatée soit par la direction générale, afin de s’interroger sur le coût de son informatique, soit par le responsable du service, de manière à vérifier la pertinence de sa configuration.
Donc : Un audit informatique a pour objectif principal l'évaluation du niveau de contrôle des risques associés aux activités informatiques. L'objectif réel est d'assurer l'adéquation du système informatique aux besoins de l'entreprise et de valider que le niveau de service est 2
adapté aux activités de celle-ci .
I.3. Différents types d'audit informatique 3
a. L'audit de la planification informatique C’est un audit qui a pour objectif de vérifier et évaluer : La cohérence entre les objectifs du schéma directeur et la stratégie de l’entreprise ; Le processus d'établissement et de validation du schéma directeur, son dispositif de pilotage aussi ; l’existence de procédures d’actualisation du schéma directeur. Exemples de missions d’audit :
audit d’un schéma directeur à mi-parcours ;
audit préalable à un schéma directeur.
2
http://www.easeo.fr/Prestations-de-service/audit-informatique.html
3
Un séminaire-conseil préparé et animé par Claude Salzman.
http://www.institut.capgemini.fr/index.php?p_id=30#top
6
b. L'audit de la fonction informatique La particularité de ce type d’audit est le fait qu’il a une dimension hommes et structures. Ainsi, son rôle est d’évaluer :
les relations entre la direction générale, la DSI et les utilisateurs ;
clarté des structures et des responsabilités ;
compétences et qualifications du personnel.
la responsabilité du service informatique dan les relations maîtrise d’œuvre - maîtrise d’ouvrage ;
L’existence et le respect des dispositifs de contrôle interne. Exemples de missions :
audit de l’efficacité d’un service informatique ;
audit pour améliorer les relations avec les utilisateurs ;
audit de la procédure de suivi des coûts informatiques.
c. L'audit des projets Evaluation des risques liés aux projets informatiques, mettre en place un dispositif de management adapté, lutter contre le dérapage des coûts et des délais, avoir un système de pilotage efficace. ↄ
Les bonnes pratiques :
existence d’une méthodologie de conduite des projets ;
découpage efficace des projets ;
respect des étapes et des phases du projet ;
pilotage du développement ;
conformité des projets aux objectifs généraux de l’entreprise ;
mettre en place une note de cadrage ;
qualité des études amont : expression des besoins, cahier des charges ;
importance des tests, notamment des tests utilisateurs. Exemples de missions d’audit :
audit d’un grand projet à la fin du cahier des charges ;
audit d’un projet de taille moyenne.
d. L'audit des études : Il a pour but de :
évaluer l’organisation de la fonction études ;
vérifier le respect des normes en matière de documentation ;
contrôle de la sous-traitance ;
7
ↄ
évaluation de la qualité des livrables.
Exemples de missions d’audit :
audit d’un service d’études de taille moyenne ;
audit de la politique de maintenance.
e. L'audit de l'informatique décentralisée ↄ
Les objectifs et points de contrôles :
qualité de l’architecture technique ;
gestion des configurations ;
analyse des demandes arrivant au help desk (incidents, difficultés, assistances, etc.) ;
appréciation de la qualité de service. Exemples de missions d’audit :
ↄ
audit du coût de possession et recherche d’améliorations ;
audit de la qualité de service.
f. L'audit de la production : Domaine de l’informatique de production. ↄ
Les objectifs et points de contrôles :
qualité de la planification de la production ;
gestion des ressources ;
existence de procédures permettant de fonctionner en mode dégradé ;
gestion des incidents ;
procédures de sécurité et de continuité de service ;
maîtrise des coûts de la production. Exemples de missions d’audit :
ↄ
audit de la gestion des incidents ;
audit de la qualité de service de la production.
g. L'audit de la sécurité Il existe quatre notions fondamentales en matière de sécurité dont l’AI doit tenir compte: la menace, le facteur de risque, la manifestation du risque, la maîtrise du risque. ↄ
ↄ
Les facteurs de limitation des risques :
existence d’une politique du système d’information ;
implication des utilisateurs ;
méthodes de travail et outils adaptés aux objectifs ;
compétence du personnel ;
outils efficaces d’administration et de gestion.
Exemples de missions d’audit :
audit de la sécurité d’une application ;
audit de la sécurité d’un centre de production.
8
h. L'audit des applications opérationnelles Il s’agit de se prononcer sur la qualité d’une application donnée. A travers :
contrôle de l’adéquation des logiciels développés aux spécifications fonctionnelles de l’entreprise ;
analyse des erreurs ou des anomalies, évaluation de la fiabilité des traitements ;
respect de la confidentialité ;
Evaluation de la pérennité de l’application.
contrôle de la qualité des méthodes de développement des logiciels ou contrôle de la qualité des procédures d’exploitation. (Mesure des performances) Exemples de missions d’audit :
ↄ
audit d’une application comptable dans le cadre de la révision des comptes ;
audit d’une application opérationnelle à mi-vie.
I.4. Champ d’application L’audit dans ce domaine doit porter sur :
1) Exploitation des machines o
La charge des machines : Pour déterminer le taux d’occupation des machines et par conséquent situer les saturations.
o
Nombre de terminaux connectés
o
Les performances et la productivité du service exploitation
o
Temps de réponse lors de l’utilisation des machines en mode conversationnel
2) maintenance o
Les pannes et appels au service dépannage
o
Taux de panne
o
Durée moyenne des indisponibilités des machines
o
Les erreurs de logiciels et la manière du recyclage
3) La sécurité
Sécurité Physique : o
Accès au centre informatique :
L’accès physique à l’environnement informatique est -il protégé ?
L’accès physique aux endroits où sont stockés les supports des sauvegardes, d’archives, de la documentation … est -il réglementé ?
9
o
Fiabilité de l’alimentation électrique
Y’a-t-il une protection contre l’incendie ? La salle des serveurs est-elle protégée contre les défauts d’alimentation électrique ?
La salle des serveurs est-elle protégée contre les intrusions (en dehors des heures de travail) ?
L’entreprise a-t-elle souscrit une assurance couvrant les risques informatiques :
Destruction, vol de matériel,
Destruction de fichiers
Sécurité Logique : concerne la protection et la confidentialité des données (Fichiers et programmes) pour éviter :
o
Le détournement de fond
o
La destruction de l’environnement
o
Les erreurs (contrôle dans les logiciels)
Il s’agit alors de vérifier : o
Sécurité d’accès à l’information (mots de passe, identification des 4
terminaux , vol et piratage,…) o
5
Sauvegarde des données (cryptage des données , procédure d’exploitation,…)
II-
La démarche de l’audit informatique
La dimension informatique devient une donnée importante de l'environnement d'audit d'une part au regard de l'appréciation des risques et d'autre part en ce qu'elle rend plus complexe l'identification du chemin d'audit. L'auditeur doit alors évaluer si des compétences informatiques particulières sont nécessaires pour réaliser la mission. L'informatique est abordée sous deux plans :
En informatique, un terminal désigne un ensemble de périphériques de sortie (écran...) ou d'entrée (clavier, souris...), en quelque sorte l'extrémité d'un réseau. 5 Pour éviter qu’elles ne soient accessibles en cas de vol ou qu’elles ne soient divulguées aux agents n’ayant pas droit (données confidentielles) 4
10
prise en compte lors de la prise de connaissance et l'appréciation du système de contrôle interne,
prise en compte lors de la recherche des éléments probants (utilisation de copie de fichiers, extraction de données par voie de requête, …).
II.1. Prise de connaissance de l’environnement informatique :
Définition et objectifs de la prise de connaissance
Elle doit permettre d'apprécier :
la complexité du système et notamment les données issues de celui-ci fi gurant dans les états financiers : le volume des opérations concernées, les traitements effectués par le système, la part de l'automatisme dans la génération des écritures, le lien entre les différentes applications, les échanges avec les tiers,
le degré de centralisation du traitement informatique dans l'entité, de dépendance envers un produit, un homme.
Le niveau de disponibilité des données et les phases de contrôle intégrées dans la chaîne de production de l'information.
La
prise
de
connaissance
des
traitements
informatiques
aboutissant
plus
particulièrement aux données d'ordre financier, permet à l'auditeur de localiser les fichiers, traitements et contrôles clés sur lesquels il peut s'appuyer lors de son audit.
Démarche de la prise de connaissance La prise de connaissance suit un canal usuel comportant des phases de :
collecte documentaire (documents système, utilisateur, contrats),
entretiens visant à compléter l'information de base,
notes descriptives de l'organisation, des intervenants (internes et externes), des fonctions (dont identification de la séparation des tâches), des compétences, des charges de travail, des équipements ("soft" et "hard"), des capacités, des projets,
un intérêt tout particulier devant être porté aux fonctions externalisées.
Elle comporte plus spécialement une phase dédiée à l'identification des informations et traitements constituant le chemin d'audit dans le cadre de la mission de l’auditeur.
11
II.2. Evaluation des risques : Les risques issus du système informatique sont spécifiques ; ils peuvent résulter :
de déficiences des activités,
de développement et maintenance des programmes,
de support logiciel,
de sécurité des équipements et des accès,
de traitement des opérations,
de la multiplicité des systèmes utilisés.
Ils peuvent exister aussi plus généralement, par non-respect de règles propres à des réglementations sectorielles ou des règles sur la propriété intellectuelle (des licences, des images). Les risques peuvent se percevoir à partir d'indices tels que :
maîtrise déficiente du système et des solutions informatiques,
couverture en terme de maintenance insuffisante,
séparation insuffisante des tâches ou accès non maîtrisés,
erreurs de programmation engendrant un traitement incorrect des opérations,
manque de traçabilité des opérations dans le système (soit par absence de matérialisation soit par non-conservation),
possibilité pour les utilisateurs d'accéder à des données pour les modifier,
Non-maîtrise du déclenchement de traitements automatisés,
multiplication des interfaces entre applications,
absence de procédures et / ou d'outils permettant des contrôles de cohérence,
absence de protection physique ou logicielle des données.
II.3. Obtention des éléments probants
L'environnement informatisé ne doit pas être un frein aux investigations de l'auditeur, bien au contraire. Celui-ci doit toujours se trouver en situation de :
réaliser des tests sur le système (en tant que composante du contrôle interne),
traiter les données qui collaborent à la production de l'information comptable,
automatiser les travaux de contrôle à partir de données plus nombreuses et parfois plus diffuses.
12
Dans tous les cas, la démarche englobera les phases suivantes :
contrôle de cohérence des informations produites,
traçabilité des données et des traitements, manque de traçabilité des opérations dans le système (soit par absence de matérialisation soit par non-conservation),
documentation des travaux. (la collecte des pièces justificatives)
L'auditeur dispose pour obtenir les éléments probants recherchés :
des outils de requête propres au système de l'entité,
d'outils travaillant à partir de données exportées du système (ce peut être tout simplement un tableur ou ce peut être un outil dédié - par exemple : IDEA).
III-
Les outils de l’audit informatique
III.1. Référentiels :
i. Normes ISO 20 000 Les normes
ISO 20000-1 et ISO 20000-2 sont des standards décrivant des processus
de gestion pour la livraison efficace et efficiente de services informatiques à l'entreprise et à 6
ses clients. Elles respectent les exigences ITIL .
j. Famille ISO 27000 / ISMS ou SGSI Normes de la famille
27000 pour la mise en place, l'utilisation, la tenue à jour et la gestion
d'une politique de sécurité informatique, de sécurité des systèmes d'information ou
SGSI
(ISMS) : Système de gestion de la sécurité de l'information.
ISO 27 001 7 : La norme ISO 27001 spécifie les exigences et les processus qui permettent à une entreprise d’établir, de mettre en œuvre, de revoir et de surveiller, de gérer et d’actualiser une sécurité de l’information qui soit efficace. Autrement dit, elle spécifie les exigences concernant un
6
Système de management de la Sécurité de
ITIL ( Information Technology Infrastructure Library) : elle signifie plus ou moins bibliothèque
d’infrastructure des technologies de l’information. Il s’agit d’un ensemble de livres dans lesquels sont reprises et référencées de nombreuses pratiques, procédures et méthodes permettant de gérer les systèmes d ’information. ème édition de Christian DUMONT source : ITIL : pour un service informatique optimal 2 7 Article publié par Bureau Veritas certification « Protéger vos systèmes d’information », Septembre 2006 et article écrit par Ted Humphreys « ISO/CEI 27001:2005 – l’état de l’art en gestion de sécurité » de l’information
13
l’Information (SMSI). Cette norme fournit les outils pour une évaluation des risques
pertinentes et la mise en place de contrôles appropriés pour préserver la confidentialité, l’intégrité et la disponibilité de l’information. Le but est de protéger l’information de l’organisation contre toute perte ou intrusion. Comme ISO 9001, elle est construite sur le modèle du cycle de processus Planifier (concevoir) –Faire (mettre en œuvre et pratiquer le SGSI) – Vérifier (surveiller et revoir le SGSI) -Agir (actualiser et améliorer le SGSI) (PDCA) et sur l’exigence d’une amélioration continue. Différents organismes ont élaboré la norme relative au
Système de Gestion de
Sécurité de l’Information (SGSI) pour leur permettre de créer des solutions rentables en sécurité de l’information et protéger ainsi leurs activités.
ISO 27 0028 : C'est un guide de pratique pour la gestion de la Sécurité de l'information. En complément d'IS/IEC 27 001 il permet d'accompagner le processus de mise en œuvre d'un SMSI. Il est à noter que cette norme ne donne aucune indication quant à la méthode de gestion des risques.
ISO 27 005 : La norme ISO 27005, quant à elle, explique en détails comment conduire l'appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l'information.
k. Norme ISO 38 500 : gouvernance de la sécurité informatique
L’exploitation de systèmes informatiques (TI) inadéquats peut pénaliser les résultats et la compétitivité des entreprises ou les exposer au risque de contrevenir à la législation. La nouvelle norme ISO/CEI 38500 donne, à cet égard, des recommandations générales concernant le rôle de la direction d’entreprise en matière de gouvernance informatique. Pour François Coallier, Président du sous-comité ISO, Ingénierie du logiciel et des
systèmes , qui a élaboré la norme: «la plupart des entreprises utilisent l’inf ormatique comme
un outil professionnel essentiel et rares sont celles qui peuvent s’en passer. L’informatique permet également à bon nombre d’entre elles de concevoir leurs plans d'action prospectifs.
8
www.itil.fr
14
L’ISO/CEI 38500 aidera les instances dirigeantes à évaluer, à orienter et à surveiller les systèmes informatiques.
l. CobiT La méthode « Control OBjectives for Information and related Technology» a été créée en 1996 par l’ISACA / AFAI9. Cette méthode contient les éléments suivants :
Synthèse Cadre de référence Guide d’audit Guide de management Outils de mise en œuvre
Les Intérêts de cette méthode sont :
Le lien entre les objectifs de l’entreprise et ceux de technologies d’information L’intégration des partenaires d’affaires L’uniformisation des méthodes de travail La sécurité et le contrôle des services informatiques Le système de gouvernance de l’entreprise
III.2. Méthodes 10 : Les méthodes d'audit sont essentielles pour assurer une efficacité aux plans d'action découlant de la politique sécurité de l'entreprise. La plupart des entreprises de moyenne et grande taille déploient, à leur manière, une politique de sécurité. Quelle soit minimaliste ou omniprésente, cette dernière se doit d'être périodiquement auditée, pour plus de performance et d'efficacité.
Pour procéder à ces contrôles réguliers, un certain nombre de méthodes existent, parfois similaires, parfois opposées, mais toujours complémentaires dans leur approche.
9
L'AFAI, Association Française de l’Audit et du Conseil Informatiques est le c hapitre français de l'ISACA. Créée en 1982, l'AFAI regroupe aujourd'hui plus de quatre cents membres représentant les auditeurs externes, les consultants et diverses fonctions au sein des entreprises : direction de l'informatique, de l'audit, d e la finance et du contrôle de gestion. L'AFAI a pour objectif de développer les solutions de l'ISACA, en informant les entreprises françaises et en participant à des pro jets tels que l'IGSI. 10 Source : Frédéric MOTHY, « CNAM, Audit et Contrôle », SYLIS Fr ance, 2008
15
a. CRAMM La méthode « CRAMM » signifie « CCTA Risk Analysis and Management Method », elle a été créée en 1986 par Siemens en Angleterre. Cette méthode se décompose en 3 étapes : Identifier le software/ le hardware/ Les données Evaluer les menaces et vulnérabilités Choisir des remèdes.
Cette méthode est lourde car elle s’appuie sur 3000 points de contrôle.
b. EBIOS La méthode « EBIOS » signifie « Expression des Besoins et Identification des Objectifs 11
de Sécurité », elle a été créée en 1995 par la DCSSI .
Structure :
Les intérêts de cette méthode sont : - Construction d’une politique de sécurité basée sur une analyse des risques - L’analyse des risques repose sur l’environnement et les vulnérabilités du SI
c. MEHARI La méthode « MEHARI » signifie « Méthode Harmonisée d’Analyse de Risques », elle a été créée en 1995 par le CLUSIF, remplaçant MARION. 11
Direction Centrale de la Sécurité des Systèmes d'Information
16
Les Phases de « MEHARI » sont les suivantes : Phase 1: Etablissement d’un Plan Stratégique de Sécurité (Global) Phase 2: Etablissement de Plans Opérationnels de Sécurité réalisés par les différentes
unités de l’entreprise. Phase 3 : Consolidation des plans opérationnels (Global) Structure: Synoptique de la démarche MEHARI.
Les intérêts de cette méthode sont : - Appréciation des risques aux regards des objectifs de sécurité - Contrôle et gestion de la sécurité
d. OCTAVE La méthode « OCTAVE » signifie « Operationnally Critical Threat, ASSET and Vulnérability Evaluation», elle a été créée en 1999 à l’université aux Etats-Unis.
Elle a pour but de permettre à une entreprise de réaliser par elle-même l’analyse des risques de leur SI, sans aide extérieure (Consultant). Elle se déroule en 3 phases : Vue organisationnelle Technique Stratégie de sécurité
17
IV-
Etude de cas :
Certaines associations ont l’obligation de nommer un CAC :
l’association exerce une activité économique et remplit deux des critères suivants : 50 salariés, 3,1 millions CA, 1,55 million de bilan
l’association perçoit des financements publics supérieurs à 153 000¼.
Les associations reconnues d’utilité publique
Les associations émettant des obligations
Les associations collectant la participation des employeurs à l’effort de construction
Les organismes de formation remplissant deux des trois crit ères suivants: 3 salariés,
153 000¼ de CA, 230 000¼ de bilan
Les associations sportives affiliées collectant des recettes d’un montant supérieur à
380 000¼ et employant des sportifs dont la masse salariale excède 380 000¼
Les associations et les fondations bénéficiaires de plus de 153 000 euros de dons
Auditeur : Commissaire aux comptes Audité :
Nature: Association Affres (association loi 1901) Chiffre d’affaires: 30 millions ¼
PROBLÈMES DÉTECTÉS
Accessibilité des imprimantes
Accès aux applications
Topologie du réseau
Absence de véritable administrateur
Procédure de sauvegarde des données
Organisation de la comptabilité informatique
Base de données
SOLUTIONS
Mieux répartir les imprimantes dans les locaux
Restreindre l’accès aux applications à la fonction de l’utilisateur
Créer 2 sous-réseaux (DAF et E&R) indépendants
Nommer un administrateur qualifié
L’administrateur sera chargé des sauvegardes, en veillant à les sécuriser
Valider l’intégration des écritures tous les jours
Modifier la structure de la BD informatisée
18
BIBLIOGRAPHIE
Ouvrages /Articles : ↄ
Frédéric MOTHY, « CNAM, Audit et Contrôle », SYLIS France, 2008.
ↄ
« Guide pratique de l’audit », Ordre des Experts Comptables du Royaume du Maroc.
ↄ
La Loi sur l'Informatique et les
ↄ
Ted Humphreys, Article publié par Bureau Veritas certification « Protéger vos
Libertés
systèmes d’information », Septembre 2006, « ISO/CEI 27001:2005 – l’état de l’art en gestion de sécurité » de l’information ↄ M.GILLET et P. GILLET, « DSCG Management et système d’ information », 2007.
Webographie : ↄ
www.easeo.fr
ↄ ↄ ↄ
www.institut.capgemini.fr www.itil.fr www.outwares.com
ↄ ↄ
www.scribd.com www.slideshare.net
19
View more...
Comments