Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Les contrôles et le risque des systèmes d’information 2ème édition Contenu 3 Ré

Les contrôles et le risque des systèmes d’information 2ème édition Contenu 3 Résumé ............................................................................................................................................................. 4 1. Introduction ................................................................................................................................................ 5 2. Fondamentaux concernant les risques et les contrôles des SI ................................................................ 8 2.1 Concepts clés ....................................................................................................................................... 8 2.2 Gouvernance des SI ............................................................................................................................ 9 3. Parties prenantes internes et responsabilités des SI .............................................................................. 12 4. L’analyse des risques ................................................................................................................................ 14 4.1 Prise en compte du risque dans l’évaluation de l’adéquation des contrôles des SI .................... 14 4.1.1 L’environnement des SI ............................................................................................................ 15 4.1.2 Les risques informatiques rencontrés par l’organisation ...................................................... 15 4.1.3 L’appétence pour le risque et la tolérance au risque .............................................................. 15 4.1.4 L’analyse des risques ................................................................................................................ 16 4.2 Stratégies de traitement des risques ................................................................................................ 16 5. Évaluation des SI — une vue d’ensemble .............................................................................................. 18 6. Comprendre l’importance des contrôles des SI ..................................................................................... 22 6.1 Les contrôles généraux et applicatifs des SI ................................................................................... 22 6.1.1 Les contrôles généraux ............................................................................................................. 22 6.1.2 Les contrôles applicatifs ........................................................................................................... 23 6.2 Les contrôles de la gouvernance, du management et techniques des SI ..................................... 23 6.2.1 Les contrôles de la gouvernance des SI .................................................................................. 24 6.2.2 Les contrôles du management ................................................................................................ 24 6.2.3 Les contrôles techniques .......................................................................................................... 24 6.2.4 Les contrôles applicatifs ........................................................................................................... 24 6.3 Quels contrôles des SI ? ................................................................................................................... 24 6.3.1 Règles et procédures ................................................................................................................. 25 6.3.2 Normes ...................................................................................................................................... 25 6.3.3 Organisation et management .................................................................................................. 26 6.3.4 Contrôles physiques et environnementaux ............................................................................ 27 6.3.5 Contrôles des logiciels systèmes ............................................................................................. 28 6.3.6 Contrôles de l’acquisition et de développement des systèmes ............................................. 28 6.3.7 Contrôles applicatifs ................................................................................................................. 29 6.4 Sécurité informatique ....................................................................................................................... 30 6.5 Cadre de contrôle des SI .................................................................................................................. 30 7. Compétences et savoir-faire dans le domaine de l’audit des SI ........................................................... 31 8. Utilisation du cadre de contrôle .............................................................................................................. 32 8.1 Techniques d’audit assisté par ordinateur et analyse des données ............................................... 32 8.2 Recours à l’évaluation automatisée des risques ............................................................................. 33 8.3 Reporting des contrôles des SI ........................................................................................................ 33 9. Conclusion ................................................................................................................................................ 35 Auteurs et réviseurs ...................................................................................................................................... 36 Annexe : Liste de vérification du Cadre de contrôles des SI ..................................................................... 37 A propos du CRIPP ...................................................................................................................................... 39 Résumé 4 Ce guide pratique d’audit des technologies (GTAG) aide les responsables de l’audit interne (RAI) et les auditeurs internes à rester en phase avec l’univers en constante évolution et parfois complexe des systèmes d’information (SI), en pro- posant un document destiné aux dirigeants d’en- treprise - et non aux responsables des SI. La direction générale et le Conseil attendent de l’au- dit interne qu’il donne une assurance concernant les risques majeurs, notamment ceux introduits ou induits par la mise en œuvre des SI. La série des GTAG aide les RAI et les auditeurs internes à mieux comprendre les risques liés aux SI ainsi que les problématiques de contrôle et de gouvernance y afférents. Ce GTAG a pour objectif d’aider les auditeurs internes à mieux appréhender les contrôles géné- raux des SI de façon à pouvoir échanger avec leur Conseil et partager des idées sur les risques et les contrôles avec le directeur des systèmes d’infor- mation. Ce GTAG décrit la façon dont la direction générale, le management, les spécialistes des sys- tèmes d’information et les auditeurs internes gèrent les problématiques importantes relatives aux risques et aux contrôles, et présente des cadres pertinents pour évaluer les risques et les contrôles des SI. En outre, il pose les bases des GTAG sui- vants, qui sont consacrés à des sujets plus précis et présentent avec plus de détails les fonctions et responsabilités correspondantes dans l’entreprise. Ce guide est la deuxième édition du premier volet de la série des GTAG - GTAG 1 : « Les contrôles des systèmes d’information » - publié en mars 2005. GTAG – Introduction 5 1. Introduction Ce GTAG a pour objectif d’expliquer les risques et les contrôles des SI afin de permettre aux RAI et aux auditeurs internes de comprendre et de com- muniquer sur la nécessité de disposer de solides contrôles des SI. Ce GTAG présente les compo- santes clés de l’évaluation des contrôles des SI, en mettant l’accent sur les fonctions et les responsa- bilités des principaux acteurs de l’organisation qui peuvent dicter la gouvernance des SI. Certains lec- teurs reconnaîtront peut-être des éléments de ce GTAG, toutefois certaines parties offrent de nou- velles perspectives sur la façon d’aborder les risques et les contrôles des SI. L ’un des objectifs de la série des GTAG est d’utiliser différentes com- posantes de l’évaluation des contrôles des SI comme moyens de sensibilisation aux risques et aux contrôles des SI ainsi qu’aux raisons pour les- quelles la direction générale et les auditeurs internes devraient veiller à ce qu’un environne- ment de contrôle efficace et pérenne soit mis en place pour maîtriser les risques liés aux SI. Bien que la technologie offre des opportunités de croissance et de développement, elle s’accom- pagne également de menaces telles que des dys- fonctionnements, des manœuvres répréhensibles, des vols et des fraudes. Les recherches montrent que les organisations sont menacées par des attaques externes, néanmoins les personnes de confiance, bien informées, représentent une menace bien plus importante. Heureusement, la technologie peut également protéger des menaces, comme le montre ce guide. Les diri- geants devraient être en mesure de poser les questions appropriées et d’appréhender les réponses apportées. Par exemple : • Pourquoi devrais-je comprendre les risques et les contrôles des SI ? La réponse tient en deux mots : assurance et fiabilité. Les dirigeants jouent un rôle clé dans l’assurance de la fiabi- lité des informations. L’assurance repose sur un ensemble de contrôles métier interdépen- dants, ainsi que sur des preuves que les contrôles sont continus et suffisants. Le mana- gement doit examiner les preuves résultant de ces contrôles et des missions d’audit et conclure qu’ils donnent une assurance raison- nable. • Que signifie être protégé ? La confiance repré- sente le fondement de l’organisation et de son efficacité. Ainsi, la fiabilité des informations et des processus financiers – obligatoires pour de nombreuses organisations – repose sur la confiance. Cette confiance s’appuie sur des contrôles qui passent souvent inaperçus car ils sont intégrés dans le SI. • Dans quels domaines les contrôles des SI s’ap- pliquent-ils ? Dans tous les domaines. Les SI englobent les composantes, les processus, les ressources humaines, l’organisation et l’archi- tecture technologiques, ainsi que les informa- tions. Bon nombre de contrôles des SI sont de nature technique, et les SI fournissent les outils pour un grand nombre de contrôles métiers. • Qui est responsable ? Chacun est responsable. Toutefois, l’affectation du contrôle et des res- ponsabilités doit être définie et communiquée par le management, faute de quoi personne ne sera effectivement responsable, ce qui peut entraîner de graves conséquences. • Quand les risques et les contrôles des SI devraient-ils être évalués ? Toujours. L ’environ- nement des SI, qui favorise l’évolution des processus et de l’organisation, connaît des changements rapides. De nouveaux risques émergent rapidement. Les contrôles doivent apporter continuellement la preuve de leur efficacité, preuve qui doit être appréciée et éva- luée constamment. • Quel est le niveau de contrôle suffisant ? Il appartient au management d’en décider, en fonction l’appétence pour le risque, de la tolé- rance au risque et des réglementations en vigueur. Les contrôles ne représentent pas un objectif ; ils visent à contribuer à la réalisation des objectifs de l’organisation. Les contrôles constituent un coût intrinsèque à l’activité, qui GTAG – Introduction 6 peut être élevé, mais sans commune mesure avec les éventuelles conséquences de contrôles inadéquats. Les contrôles des SI sont essentiels pour protéger les actifs, les clients, les partenaires et les données sensibles, pour faire preuve d’un comportement sûr, efficace et éthique, et pour préserver la marque, la réputation et la confiance. Dans l’envi- ronnement actuel de mondialisation et de régle- mentation, il est facile de perdre ces actifs. Un RAI peut s’appuyer sur ce guide pour évaluer le cadre et les pratiques d’audit interne de l’organisation dans le domaine des risques et des contrôles des SI, de la conformité et de l’assurance. Ce guide peut également être utilisé pour relever les défis inhérents à des menaces qui changent constam- ment, sont de plus en plus complexes et évoluent rapidement, ainsi qu’à la nécessité d’accroître l’ef- ficacité. Les contrôles des SI n’existent pas isolément. Ils forment un dispositif continu de protection dont les éléments sont interdépendants, et dont l'inté- grité peut être compromise si les liens entre eux sont peu solides. Potentiellement sujets à des erreurs et des contournements, les contrôles des SI vont du plus simple au plus complexe, et s’in- tègrent dans un environnement dynamique. Les contrôles des SI comportent principalement deux volets : l’automatisation des contrôles métiers (en appui du management de l’organisation et de la gouvernance) et le contrôle de l’environnement des SI et des activités (en appui des applications et de l’infrastructure des SI). Le RAI doit prendre en compte et évaluer ces deux éléments. Il peut considérer les contrôles métiers automatisés comme étant les contrôles nécessitant le regrou- pement de compétences d’audit opérationnel et d’audit informatique associées sous la forme d’au- dit uploads/Management/ les-risques-et-controles-des-systemes-de-l-x27-information-2e-ed.pdf