Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Audit des Systèmes d’Information Paris
Audit des Systèmes d’Information Paris
DURéE
2 jours
DATES
15-16 juin 2017
4-5 décembre 2017
LIEU
Paris
PRIX
1 910 € ht (2 292 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Audit des Systèmes d’Information

    >  Concepts, méthodes, outils, pratiques actuelles




    Ce séminaire dresse l’état de l’art actuel dans le domaine de l’audit des systèmes d’information et vous aide à construire une démarche permettant de répondre aux principales questions qui se posent en la matière :

    • pourquoi auditer ses systèmes d’information ? Les grandes menaces qui pèsent sur les entreprises.
    • comment aligner la politique d’audit et un véritable outil de pilotage des risques ?
    • quels sont les référentiels d’audit appropriés au pilotage d’une direction des SI (COBIT, ITIL, CMMi, Prince…) et plus particulièrement à un métier donné (banque, assurance, santé, etc.) ?
    • comment réduire les risques de pénalités infligées par les juridictions US ?
    • quelle politique l’entreprise adopte-t-elle vis-à-vis des données personnelles (clients, employés, prospects), quels sont les référentiels en vigueur et les risques pour l’entreprise et ses mandataires sociaux ?
    • quel référentiel créer pour rendre conciliables les exigences du droit social français (et la jurisprudence) avec la charte de l’entreprise en matière de postes de travail, de mails, d’accès aux réseaux sociaux, de contenus stockés ?
    • comment auditer des centaines, voire des milliers de postes de travail disséminés dans l’entreprise ?
    • faut-il effectuer des audits d’applications, à quelle périodicité et comment s’y prendre ?
    • comment répondre aux exigences de sécurité des systèmes d’information ?
    • comment peut-on se prémunir contre les risques de fraude et les défauts de sécurité.
    • quelles sont les incidences du bouleversement des architectures (cloud, virtualisation, externalisation) sur les techniques d’audit ?
    • comment piloter la sous-traitance.
    • comment s’assurer de la conformité à des standards au travers des tiers.

    Basé sur de nombreux exemples, ce séminaire est destiné aux professionnels de l’informatique désirant comprendre et mettre en œuvre la démarche d’audit et son application à la fonction informatique et aux systèmes d’information. Il s’adresse également aux managers et aux auditeurs généralistes qui souhaitent effectuer ou piloter des audits.

    Un séminaire-conseil préparé et animé par des experts certifiés de l’audit et des systèmes d’information.

    Un séminaire pragmatique et directement opérationnel

    Prenant en compte une législation en évolution constante et basé sur de nombreux exemples pratiques, ce séminaire a un caractère très concret : données personnelles, données clients, sécurité des SI, gouvernance des SI, cloud.

    Il se base sur les meilleures pratiques des grands cabinets d’audit, les référentiels les plus utilisés, les obligations de conformité (règlementations, directives, lois) pour dresser un panorama complet.

    Enfin, ce séminaire est aussi un guide de management opérationnel pour se préparer aux situations d’audit.



    L’audit des SI aujourd’hui


    Recourir à un audit, pourquoi ? Qu’est-ce qu’un audit de conformité ? Où commence et où finit la qualification de l’auditeur ? Peut-il accéder à tout ce qu’il souhaite ? Comment un responsable doit-il réagir à l’annonce d’un audit ?

    • La notion de contrôle dans l’entreprise et son application aux systèmes d’information.

    - le concept général d’audit et ses grands principes. La démarche de l’audit.

    - audit et approche par les risques, notion de garantie « raisonnable ».

    - différence entre l’audit, le contrôle interne et l’expertise judiciaire.

    - déontologie de l’auditeur, indépendance.

    • Audit interne ou audit externe.

    - exemples d’audits ;

    - rôle des référentiels (normes ISO, référentiels divers, lois et règlements) ;

    - dans quelles conditions un audit est-il opposable ? En interne, vis-à-vis de tiers.

    L’audit des données


    La question des données personnelles devient un enjeu mondial. Comment comprendre la position de l’Europe, les dix points du rapport Albrecht, la position des USA ? Quelles sont les limites entre protection des données personnelles et liberté d’entreprendre ? Le consommateur est-il victime de sa propre incurie ?

    • Les bonnes pratiques observées en matière de données personnelles :

    - existence d’une charte de référence pour les utilisateurs ;

    - processus de contrôle de conformité à la CNIL et aux directives européennes ;

    - traitement des données clients, le profilage, les données génétiques.

    • Limites de la surveillance des postes de travail :

    - comment concilier domaine privé et domaine de l’entreprise ?

    - peut-on prendre en compte les exigences du droit social ?

    • Les méthodes :

    - analyses d’impact (EBIOS) ;

    - la notion de conception by design ;

    - gestion des documents d’activité (ISO 30301) ;

    - aspects judiciaires : les exigences de l’e-discovery, en particulier aux USA.

    • Les objectifs et points de contrôles :

    - le respect des dernières directives européennes et des exigences de la CNIL ;

    - l’identification des risques associés en cas de non-conformité et les mesures mises en œuvre ;

    - le processus d’archivage / destruction.

    • Exemples de missions d’audit :

    - audit des données clients dans une entreprise e-commerce ;

    - audit de la politique en matière de postes de travail.

    L’audit des projets informatiques


    L’état de l’art en matière de projets informatiques : quelles sont leurs particularités? Comment bâtir un référentiel d’audit afin de réduire les risques liés aux projets, mettre en place un dispositif de management adapté, lutter contre le dérapage des coûts et des délais, avoir un système de pilotage efficace ?

    • Les bonnes pratiques :

    - existence d’une méthodologie de conduite des projets ;

    - question cruciale de la maîtrise de la demande des commanditaires ;

    - importance des tests, notamment des tests utilisateurs ;

    - contractualisation et pilotage des sous-traitants.

    • Les objectifs et points de contrôles :

    - existence de procédures, de méthodes et de standards ;

    - évaluation du processus de gestion des demandes ;

    - intégration de la gestion de projet dans la gestion de portefeuille ;

    - réduction des risques projet.

    • Exemples de missions d’audit :

    - audit d’un grand projet au moment de la contractualisation ;

    - audit de la tierce maintenance (TMA) ;

    - audit d’un projet en cours de développement ;

    - précontentieux d’un projet de déploiement de progiciel.

    L’audit de la DSI


    Même si la DSI n’a plus le monopole des SI, que penser de son organisation, de ses processus, de son efficience ? Avec quels référentiels l’auditer ? COBIT, ITIL, CMMi, autres ? Quelle est la limite d’un tel exercice d’audit ?

    • Audit de la fonction études informatiques sous l’angle de la réalisation de projets :

    - mise en place d’outils et de méthodes ;

    - exemple du référentiel CMMi pour la conduite de projets applicatifs ;

    - exemple de Prince.

    • Audit du développement :

    - l’évaluation charges/ coûts / délais (points de fonction, etc.) ;

    - la qualité du code ;

    - la maîtrise de la gestion des exigences.

    • Exemples de missions d’audit :

    - audit de l’évaluation des charges par rapport aux expressions de besoin ;

    - audit de la maintenance applicative.

    • L’état de l’art du domaine de l’informatique de production, les bonnes pratiques :

    - clarté de l’organisation, contractualisation avec les tiers ;

    - existence d’un système d’information dédié à la production ;

    - mesure de l’efficacité et de la qualité de service de la fonction production.

    • Exemples d’audit de la production :

    - audit de la production par rapport au référentiel ITIL ;

    - audit du centre d’appels ;

    - audit des contrats avec les tiers.

    • L’audit de la gouvernance des systèmes d’information :

    - existence d’un système d’indicateurs et de mesures de performance ;

    - optimisation du balanced scorecard de la DSI ;

    - référentiel à adopter. Exemple de COBIT.

    L’audit de la sécurité des SI


    La sécurité des systèmes d’information est devenue un enjeu majeur. Comment se prémunir contre les vulnérabilités des diverses techniques de hacking, phishing, spear phishing, in-session phishing, etc. ?

    • Quatre notions fondamentales en matière de sécurité :

    - la menace ;

    - le facteur de risque ;

    - la manifestation du risque ;

    - la maîtrise du risque.

    • Les objectifs et points de contrôles des référentiels utilisables pour l’audit de sécurité, ISO 27001/27002, COBIT, OWASP, le référentiel RGS (ANSSI).
    • Différences entre Audit et Analyse de Risques :

    - méthode EBIOS ou MEHARI ;

    - méthode COBIT.

    • Les différents types d’investigation :

    - audit technique ;

    - tests d’intrusion ;

    - audit de gouvernance.

    • Les référentiels internes :

    - Directives de sécurité, chartes des utilisateurs ;

    - Règles de séparation des tâches ;

    - Outils d’administration et de gestion.

    • Exemples de missions d’audit :

    - audit de la sécurité d’infrastructures ;

    - audit de la sécurité des accès ;

    - audit de la sécurité applicative.

    Audit et cloud computing


    Parmi les nombreuses obligations auxquels les SI doivent se conformer, peu ont été élaborées avant l’émergence du cloud computing. Comment les auditeurs doivent-ils aborder la généralisation du cloud computing, ou un service cloud spécifique ?

    • Les bonnes pratiques :

    - compréhension des règles applicables vis-à-vis du CSP (cloud service provider) ;

    - termes du contrat et partage des responsabilités ;

    - droit à l’audit du CSP et de ses partenaires ;

    - particularités des règles applicables aux CSP américains.

    • Les objectifs et points de contrôles :

    - alignement entre le contrat du CSP et les obligations de son client ;

    - existence de procédures de vérification ;

    - écart entre les obligations légales d’un CSP étranger et celles de son client français.

    • Exemples de missions d’audit :

    - audit du contrat avec le CSP ;

    - audit du CSP conformément aux dispositions contractuelles ;

    - audit du pilotage du contrat avec le CSP.

    La conduite d’une mission d’audit


    Une idée reçue consiste à confondre à tort mission d’audit avec mission de conseil, de diagnostic, d’expertise. A quelles règles spécifiques obéit un audit ? Que ce soit sur le périmètre à auditer, sur les méthodes de recueil d’information ou sur la restitution ?

    • Les référentiels :

    - ISO 19011 ;

    - Autres référentiels spécifiques.

    • Le cadrage :

    - lettre de mission, commanditaire, périmètre, méthode ;

    - référentiel choisi.

    • L’exécution :

    - la collecte des faits, la réalisation des tests, l’importance des vérifications ;

    - les entretiens avec les audités. Les règles de conduite de l’auditeur.

    • Le rapport:

    - contenu, plan, conseils concernant la rédaction ;

    - la présentation et la discussion du rapport ;

    - de l’analyse des écarts par rapport au référentiel aux recommandations.