DURÉE
2 jours
DATES
2-3 décembre 2010
17-18 mars 2011
16-17 juin 2011
PRIX
1 680 € ht (2 009,28 € ttc)
Sommaire du seminaire
    Séminaires technique Institut Capgemini
     

    L’Audit Informatique
    en 2010


    > démarches, méthodes, concepts, outils, pratiques actuelles, mise en œuvre de CobiT




    		 L'audit informatique a beaucoup évolué ces dernières années et il est devenu un outil clé de la gouvernance informatique de l'entreprise, notamment grâce à l’adoption de référentiels largement reconnus comme CobiT. Ce séminaire dresse l’état de l’art actuel dans le domaine de l’audit informatique et vous aide à construire une démarche permettant de répondre aux principales questions qui se posent en la matière :
    • comment évaluer la fonction informatique d’une entreprise ?
    • peut-on réellement auditer sa stratégie informatique ?
    • la gestion de projets met-elle en œuvre les bonnes pratiques actuelles ?
    • comment se prémunir contre les risques de dérives fonctionnelles ?
    • peut-on détecter rapidement d’éventuels dérapages ?
    • comment auditer des centaines, voire des milliers de postes de travail disséminés dans l’entreprise ?
    • comment piloter efficacement la production informatique ?
    • quelles sont les principales procédures (études, exploitation, etc.) à mettre sous contrôle ?
    • peut-on se prémunir contre les risques de fraude et les défauts de sécurité ?
    • faut-il effectuer des audits d’applications, à quelle périodicité et comment s’y prendre ?

    Basé sur de nombreux exemples pratiques, ce séminaire est destiné aux professionnels de l’informatique désirant comprendre et mettre en œuvre la démarche de l’audit et son application à l’informatique. Il s’adresse également aux managers et aux auditeurs généralistes qui souhaitent effectuer ou piloter des audits informatiques.
    Un séminaire-conseil préparé et animé par Claude Salzman.

    Les concepts de base de l'audit informatique

    • La notion de contrôle dans l’entreprise et son application à l’informatique.
    • Le concept d’audit et ses grands principes. La démarche de l’audit.
    • Différence entre l’audit, le contrôle interne et le contrôle de gestion.
    • Ne pas confondre l’audit, l’expertise et le conseil. Audit et qualité.
    • Audit appliqué à l’informatique : points communs et différences avec les autres types d’audits.
    • Audit interne ou audit externe.
    • Exemples d’audits informatiques.
    • Partir des préoccupations des demandeurs d’audit.
    • Les différents types d’audits informatiques.
    • Rôle des référentiels et notamment de CobiT (Control Objectives for Information and related Technology). Le cadre conceptuel de CobiT. Les processus et les objectifs de contrôle. Le rôle des bonnes pratiques.

    L'audit de la planification informatique

    • L’état de l’art en matière de planification informatique : plan, schéma directeur, master plan, etc.
    • Les trois dimensions des schémas directeurs : architecture, coût et dispositif de travail.
    • Les bonnes pratiques observées en matière de planification informatique des investissements informatiques :
      • existence d’un document de référence ;
      • fixation d’orientations ;
      • capacité d’évolution ;
      • lier le moyen terme et le court terme.
    • Les objectifs et points de contrôles :
      • cohérence entre les objectifs du schéma directeur et la stratégie de l’entreprise ;
      • processus d'établissement et de validation du schéma directeur  ;
      • analyse de l’existant ;
      • dispositif de pilotage du schéma directeur ;
      • méthodes de suivi du schéma directeur ;
      • procédures d’actualisation du schéma directeur.
    • Points de contrôle CobiT PO 1 : définir un plan informatique stratégique.
    • Exemples de missions d’audit :
      • audit d’un schéma directeur à mi-parcours ;
      • audit en début de schéma directeur.

    L'audit de la fonction informatique

    • L’état de l’art : questions usuelles des demandeurs d'audit concernant la fonction informatique.
    • Positionnement et structure de la fonction informatique. Dimension hommes et structures. Nécessité de cibler l’audit.
    • Les bonnes pratiques :
      • relations entre la direction générale, la DSI et les utilisateurs ;
      • clarté des structures et des responsabilités ;
      • existence de dispositifs de mesures ;
      • compétences et qualifications du personnel.
    • Les objectifs et points de contrôles :
      • rôle des directions dans le pilotage des systèmes d’information ;
      • nécessité d’avoir des politiques, des normes et des procédures ;
      • responsabilité du service informatique : relations maîtrise d’œuvre - maîtrise d’ouvrage ;
      • existence d’une comptabilité analytique ou d’un mécanisme de refacturation ;
      • respect des dispositifs de contrôle interne.
    • Points de contrôle CobiT PO 4 : définir les processus, l’organisation et les relations de travail.
    • Exemples de missions :
      • évaluation de l’efficacité d’un service informatique ;
      • amélioration des relations avec les utilisateurs ;
      • audit de la procédure de suivi des coûts informatiques.

    L'audit des projets

    • L’état de l’art en matière de projets informatiques : la notion de projet, particularités des projets informatiques, évaluation des risques liés aux projets informatiques, mettre en place un dispositif de management adapté, lutter contre le dérapage des coûts et des délais, avoir un système de pilotage efficace.
    • Les bonnes pratiques :
      • existence d’une méthodologie de conduite des projets ;
      • conduite des projets par étapes ;
      • respect des étapes et des phases du projet ;
      • pilotage du développement ;
      • conformité des projets aux objectifs généraux de l’entreprise ;
      • mettre en place une note de cadrage ;
      • qualité des études amont : expression des besoins, cahier des charges ;
      • importance des tests, notamment des tests utilisateurs.
    • Les objectifs et points de contrôles :
      • évaluation du processus de développement ;
      • existence de procédures, de méthodes et de standards ;
      • vérification de l’application de la méthodologie ;
      • validation du périmètre fonctionnel ;
      • gérer les risques du projet.
    • Points de contrôle CobiT PO 10 : gérer les projets.
    • Exemples de missions d’audit :
      • audit d’un grand projet à la fin du cahier des charges ;
      • audit d’un projet de taille moyenne.

    L'audit des études

    • L’état de l’art. L’audit des études informatiques n’est pas l’audit des projets.
    • Un domaine d’activité hétérogène. Les différents domaines possibles d’audit des études.
    • Les bonnes pratiques :
      • organisation de la fonction études ;
      • mise en place d’outils et de méthodes ;
      • contrôle de l’activité hors plan ;
      • mise sous contrôle de la maintenance ;
      • suivi de l’activité d’études.
    • Les objectifs et points de contrôles :
      • évaluer l’organisation de la fonction études ;
      • respect des normes en matière de documentation ;
      • contrôle de la sous-traitance ;
      • évaluation de la qualité des livrables.
    • Exemples de missions d’audit :
      • audit d’un service d’études de taille moyenne ;
      • évaluation de la politique de maintenance.

    L'audit de l'informatique décentralisée

    • L’état de l’art en matière de décentralisation de l’informatique. Risques liés à la décentralisation.
    • Particularités : le suivi des matériels et des logiciels.
    • Procédures d’acquisition et de gestion de parc.
    • Respect des règles de sécurité.
    • Les bonnes pratiques :
      • instruction des demandes particulières ;
      • suivi de l’utilisation des logiciels ;
      • formation des utilisateurs ;
      • contrôle de l’auto-développement.
    • Les objectifs et points de contrôles :
      • qualité de l’architecture technique ;
      • gestion des configurations ;
      • analyse des demandes arrivant au help desk (incidents, difficultés, assistances, etc.) ;
      • existence de procédures d’achats et d’inventaires ;
      • mesure du TCO ;
      • appréciation de la qualité de service.
    • Exemples de missions d’audit :
      • évaluation du coût de possession et recherche d’améliorations ;
      • amélioration de la qualité de service.

    L'audit de la production

    • L’état de l’art. Domaine de l’informatique de production. Missions et enjeux.
    • Les particularités de la production. Le système d’information de la production.
    • Impact de ces particularités sur son système d’information. Existence d’outils de suivi de la production.
    • Les bonnes pratiques :
      • clarté de l’organisation ;
      • existence d’un système d’information dédié à la production ;
      • mesure de l’efficacité et de la qualité de service de la fonction production.
    • Les objectifs et points de contrôles :
      • qualité de la planification de la production ;
      • gestion des ressources ;
      • existence de procédures permettant de fonctionner en mode dégradé ;
      • gestion des incidents ;
      • procédures de sécurité et de continuité de service ;
      • maîtrise des coûts de la production.
    • Points de contrôle CobiT DS 13 (gérer l’exploitation) et DS 3 (gérer la performance et la capacité).
    • Exemples de missions d’audit :
      • audit de la gestion des incidents ;
      • évaluation de la qualité de service de la production.

    L'audit de la sécurité

    • L’état de l’art. Existence de risques importants liés aux systèmes d’information.
    • Les risques particuliers liés à Internet.
    • Quatre notions fondamentales en matière de risque : la menace, le facteur de risque, la manifestation du risque, la maîtrise du risque.
    • Les facteurs de limitation des risques :
      • existence d’une politique du système d’information ;
      • implication des utilisateurs ;
      • méthodes de travail et outils adaptés aux objectifs ;
      • compétence du personnel ;
      • outils d’administration et de gestion efficaces.
    • Les objectifs et points de contrôles :
      • repérage des actifs informationnels de l’entreprise ;
      • identification des risques ;
      • évaluation des menaces ;
      • mesure des impacts ;
      • définition des parades.
    • Points de contrôle CobiT DS 5 : assurer la sécurité des systèmes.
    • Référentiels spécifiques à la sécurité ISO 27001 et ISO 27002.
    • Exemples de missions d’audit :
      • audit de la sécurité d’une application ;
      • évaluation de la sécurité d’un centre de production.

    L'audit des applications opérationnelles

    • L’état de l’art. Nécessité d’évaluer périodiquement les applications opérationnelles.
    • Respecter les règles de contrôle interne.
    • Appréciation de la contribution de l’application à l’efficacité du dispositif.
    • La traçabilité des opérations.
    • Une démarche d’analyse rigoureuse : les tests d’audits.
    • L’analyse des données.
    • Les bonnes pratiques :
      • conformité aux besoins et à la documentation ;
      • appréciation des performances de l’application ;
      • intégrité des données ;
      • fiabilité des traitements ;
      • respect de la confidentialité ;
      • contrôle de la disponibilité.
    • Les objectifs et points de contrôles :
      • analyse de la conformité ;
      • vérification des dispositifs de contrôle des entrées, des stockages, des sorties et des traitements ;
      • analyse des erreurs ou des anomalies, évaluation de la fiabilité des traitements ;
      • mesure des performances ;
      • évaluation de la pérennité de l’application.
    • Exemples de missions d’audit :
      • audit d’une application comptable dans le cadre de la révision des comptes ;
      • diagnostic d’une application opérationnelle à mi-vie.

    La conduite d'une mission d'audit informatique

    • Préparation de la mission d’audit informatique.
    • Définition de la mission : rôle et importance de l’ordre de mission.
    • Les questions posées par les demandeurs d’audit : répondre objectivement aux questions posées.
    • Les six phases de la mission d’audit :
      • l’établissement de la lettre de mission ;
      • la planification de la mission : le choix de la démarche ;
      • la collecte des faits, la réalisation des tests, l’importance des vérifications, se méfier des opinions ;
      • les entretiens avec les audités. Les règles de conduite de l’auditeur. La tentation d’élargir la mission. Le rôle des faits, l’importance des vérifications ;
      • la rédaction du rapport d’audit : contenu, plan, conseils concernant la rédaction. Proposer des recommandations opérationnelles ;
      • la présentation et la discussion du rapport. Bâtir un plan d’action.
    • Le suivi des recommandations et du plan d’action.