Analyse et audit

Interrogations des dirigeants

Exigences pour le SI et Audit informatique

Un audit du SI doit permettre de répondre aux questions – entre autres – suivantes :

⇒ Le SI est-il en mesure de s’adapter aux changements de l’entreprise ?
⇒ Le SI fournit-il à la direction les données nécessaires à la prise de décision ?
⇒ Comment mesurer la performance et les bénéfices de l’investissement informatique ?
⇒ le SI est-il protégé contre les risques d’accidents, de malveillance et d’erreur ?
⇒ les applications permettent-elles d’obtenir des données authentiques, exhaustives, exactes et détaillées ?

Exigences classiques envers un SI

⇒ Disponibilité du système et accessibilité des informations, la nécessité de garantir 24h sur 24 le fonctionnement d'un système ou d'un réseau, si c'est une exigence stratégique.
⇒ Alimentation en courant électrique, chaleur, durée de vie des composants, vols, etc.
⇒ Plans de secours destinés à assurer la continuité de service.
⇒ Intégrité, confidentialité et authenticité de l’information doivent être garanties
⇒ « Auditabilité » des évènements doit permettre de savoir tout ce qui s'est passé dans un système ou sur un réseau afin de remédier aux incidents ou d'interdire à l'avenir l’apparition de tel ou tel problème, qu'il soit humain ou technique.
⇒ Est-ce que le processeur chauffe trop ?
⇒ Qui s'est connecté ?
⇒ Qui a effacé tel ou tel fichier ?
⇒ Quelle application est instable ?
⇒ Confidentialité des informations et des transactions : ceux qui ne doivent pas connaître certaines informations ne doivent pas avoir la possibilité d’y accéder.
⇒ La non « répudiabilité » des échanges permet de prouver de façon certaine et non contestable par les parties en présence que telle ou telle action a bien été effectuée par une personne et non par une autre. Par ex., ce n'est pas à vous de prouver que vous n'avez pas passé une nuit à Paradiso il y a 15 jours et payé celle-ci avec votre carte Visa, mais à votre banque de fournir la preuve que vous avez bien tapé votre code PIN sur le terminal du réceptionniste.

Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :

1. Définition précise du plan de travail, récolte d'informations, recherche et schématisation des processus métiers et/ou informatiques à évaluer, définition des rôles et responsabilités, analyse des forces et faiblesses, des chances et des risques.
2. Analyse des processus pérennes importants, définition des risques, évaluation préliminaire des risques, de l'efficacité des contrôles.
3. Tests des contrôles.
4. Tests de matérialité.

Audit de l'infrastructure informatique

Mission : évaluer les risques des systèmes d'informations nécessaires au fonctionnement des applications. Par exemple : sécurité physique, sécurité logique, sécurité des réseaux, plan de secours.
Livrable : rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

Audit d'un système - d'une application informatique en cours de réalisation

Mission : assister l'équipe de projet à évaluer les risques lors des différentes phases de réalisation d'un système, d’une application informatique; proposer des mesures de réduction et de contrôle des risques importants et vérifier la qualité des processus de gestion des changements et de test du nouveau système, de la nouvelle application.
Livrable : mesures proposées de réduction et de contrôle des risques importants du nouveau système / application informatique.

Audit d'une application informatique

Mission : apprécier une application informatique en production. La mission débute par la définition des processus métiers concernés, puis les évalue dans le déroulement de chaque processus. Très souvent plusieurs domaines font partie d'un audit d'une application, en particulier: 
 
⇒ les données opérationnelles,
⇒ les données de base,
⇒ les paramètres,
⇒ les interfaces entre l'application et d'autres applications,
⇒ la gestion des droits d'accès à l'application.

Livrable : rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

Sources :
- Pierre-Robert Girardin, Cours SIPD, ESIG-Jura 2008,
- Aud-IT Sàrl Geneva. Copyright © 2009, All rights reserved,
http://www.aud-it.ch/audit%20informatique.html consulté le 30.07.2010,
http://www.aud-it.ch/boite%20a%20outils.html consulté le 30.07.2010.

Autres ressources intéressantes :
http://www.enclaveforensics.com/Blog/files/13c1d8bad2e7c2948cd088f4fab904ea-23.html consulté le 31.07.2010,
http://blogs.sans.org/it-audit/2009/05/08/pcidss-self-assessment-tools-update/ consulté le 30.07.2010,
http://www.afai.fr/ consulté le 30.07.2010,
https://www.isaca.org/Pages/default.aspx consulté le 30.07.2010,
http://www.xmcopartners.com/article-paiement-bancaire-securises.html consulté le 30.07.2010,
http://www.clusif.asso.fr/fr/production/mehari/mehari.asp consulté le 30.07.2010,
http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES consulté le 30.07.2010,
http://www.btcweb.com/btc/fr/services/organisation/cobit/index.html consulté le 30.07.2010,
http://www.afai.fr/index.php?m=345 consulté le 30.07.2010,
http://www.networkworld.com/slideshows/2010/062410-security-quiz.html?hpg1=bn consulté le 31.07.2010,
http://www.pcworld.com/businesscenter/article/200960/top_10_social_networking_threats.html consulté le 31.07.2010.