L'audit technique informatique , livre ebook
234
pages
Français
Ebooks
2022
Obtenez un accès à la bibliothèque pour le consulter en ligne En savoir plus
Découvre YouScribe en t'inscrivant gratuitement
Découvre YouScribe en t'inscrivant gratuitement
234
pages
Français
Ebooks
2022
Obtenez un accès à la bibliothèque pour le consulter en ligne En savoir plus
Publié par
Date de parution
02 septembre 2022
Nombre de lectures
16
EAN13
9782746228306
Langue
Français
L'Internet, la micro-informatique, les centres de serveurs et C.T.I. sont les moyens et outils quotidiens d'exploitation et de travail des entreprises en général et de leurs cadres en particulier avec le foisonnement des micro-ordinateurs. Mais la majorité des utilisateurs ne se soucient guère de la sécurité, de l'optimisation des systèmes et de l'organisation informatisée. L'audit informatique, moyen et outil de la Direction est donc plus que jamais nécessaire par ce temps de rigueur et de rationalisation de l'informatique.
Ce livre a un double objectif. D'une part, avec la présentation de l'historique de l'audit, du contrôle de gestion ainsi que des acteurs et de leurs rôles, il permet aux lecteurs de mieux appréhender l'existence et l'importance de ces fonctions au sein d'une entreprise, d'autre part, grâce à des exemples concrets et quelques extraits de rapports, il initie à l'audit informatique et précise l'importance des rôles et des recommandations des auditeurs informatiques.
Publié par
Date de parution
02 septembre 2022
Nombre de lectures
16
EAN13
9782746228306
Langue
Français
L’audit technique informatique
©LAVOISIER, 2005
LAVOISIER 11, rue Lavoisier 75008 Paris
www.hermes-science.com
www.lavoisier.fr
ISBN 2-7462-1200-5
Tous les noms de sociétés ou de produits cités dans cet ouvrage sont utilisés à des fins d’identification et sont des marques de leurs détenteurs respectifs.
Le Code de la propriété intellectuelle n'autorisant, aux termes de l'article L. 122-5, d'une part, que les "copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause, est illicite" (article L. 122-4). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.
L’audit technique informatique
Henri Ly
COLLECTIONS SOUS LA DIRECTION DE NICOLAS MANSON
Collection Management et Informatique
Collection Etudes et Logiciels Informatiques
Collection Nouvelles Technologies Informatiques
Collection Synthèses Informatiques CNAM
La liste des titres de chaque collection se trouve en fin d’ouvrage.
TABLE DES MATIÈRES
Préface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Claude PINET
Avant-propos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 1. Historique et nécessité de l’audit. . . . . . . . . . . . . . . . . . .
1.1. Management et système d’information . . . . . . . . . . . . . . . . . . . 1.2. Rappel historique de l’audit . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3. Les différents acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4. Les besoins et les nécessités d’audit informatique . . . . . . . . . . . . . 1.4.1. Le système d’information et la résistance aux changements . . . 1.4.2. Les postes de coûts et le concept ROI . . . . . . . . . . . . . . . . . Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 2. Les contextes techniques pour les missions d’audit. . . . . . .
2.1. Les contextes techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2. Les cycles de vie et les systèmes . . . . . . . . . . . . . . . . . . . . . . . 2.3. Les référentiels relatifs aux logiciels de qualité . . . . . . . . . . . . . . 2.3.1. La norme ISO/SPICE 15504 . . . . . . . . . . . . . . . . . . . . . . 2.3.2. La norme ISO/IEC 12207 . . . . . . . . . . . . . . . . . . . . . . . . 2.3.3. La norme 9126 relative à l’évaluation des logiciels . . . . . . . .
11
13
15 15 18 20 24 25 26 33
39 40 45 51 52 54 56
6 L’audit technique informatique
2.4. Classification générique des types d’audit . . . . . . . . . . . . . . . . . Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 3. Les diverses phases d’une mission d’audit. . . . . . . . . . . . .
3.1. Les diverses phases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1. Les principales phases et le schéma global . . . . . . . . . . . . . . 3.1.2. L’enquête préliminaire . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.3. Phase de vérification . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.4. Phase de restitution et du rapport . . . . . . . . . . . . . . . . . . . 3.2. Les techniques, les outils et la formation . . . . . . . . . . . . . . . . . . 3.3. Exemple et démarche pour les audits qualité d’un service de support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1. Phase de pré-audit et de planification (14 %) . . . . . . . . . . . . 3.3.2. Phase de l’enquête préliminaire (25 %) . . . . . . . . . . . . . . . . 3.3.3. Phase de vérification rapide (20 %) . . . . . . . . . . . . . . . . . . 3.3.4. Phase de vérification ou réalisation de l’audit proprement dit (25 %) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.5. Phase de restitution et du rapport (16 %) . . . . . . . . . . . . . . . Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 4. Les missions d’audit demandées par la Direction générale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1. Audit de la politique informatique . . . . . . . . . . . . . . . . . . . . . . 4.1.1. Audit de la politique d’acquisition en vue de l’informatisation. .(adéquation des produits verticaux, rentabilité) 4.1.2. Audit des projets et futurs projets (audit de processus de développement) . . . . . . . . . . . . . . . . . . . 4.2. Audit relatif aux finances de la fonction informatique . . . . . . . . . . 4.2.1. Audit du budget et du suivi . . . . . . . . . . . . . . . . . . . . . . . 4.2.2. Audit sur la comptabilité analytique . . . . . . . . . . . . . . . . . 4.2.3. Audit sur les prestations internes . . . . . . . . . . . . . . . . . . . 4.2.4. Audit des coûts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59 63
67 67 67 69 72 74 77
77 78 79 79
80 81 83
87 87
87
90 94 94 95 96 97 101
Table des matières 7
Chapitre 5. Missions d’audit demandées par la Direction technique/informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1. Audit sur l’utilisation des logiciels (utilisation, licences, piratage) . . . 5.2. Audits de qualité de services et de l’informatique horizontale . . . . . . 5.2.1. La qualité de service des systèmes . . . . . . . . . . . . . . . . . . . 5.2.2. Audit de l’utilisation et de l’exploitation des logiciels horizontaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3. Audit d’un grand centre de serveur ou d’unBusiness Intelligence Centre. . . . . . . . . . . . . . . . . . . . . . . 5.3.1. Les outils et éléments d’investigation . . . . . . . . . . . . . . . . . 5.3.2. Quelques résultats de l’audit . . . . . . . . . . . . . . . . . . . . . . 5.4. Audit des ressources humaines . . . . . . . . . . . . . . . . . . . . . . . . Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 6. Problème de sécurité et audits associés. . . . . . . . . . . . . . .
6.1. Plan de sécurité de l’entreprise . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1. Plan de sécurité concernant la protection des matériels (surtout les serveurs) et de la salle de stockage correspondante. . . . . . 6.1.2. Sécurité concernant les fichiers . . . . . . . . . . . . . . . . . . . . . 6.2. Sécurité dans le domaine des matériels et de la documentation . . . . . 6.2.1. Sécurité des matériels . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2. La sécurité de la documentation . . . . . . . . . . . . . . . . . . . . 6.3. La sécurité des supports d’informations (les contenants) . . . . . . . . . 6.4. Sécurité dans le domaine des fichiers (les contenus, les données et programmes) . . . . . . . . . . . . . . . . . . . . 6.4.1. Moyens de détection . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.2. Remèdes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5. Audit et sécurité dans le domaine du réseau. . . . . . . . . . . . . . . . . 6.5.1. Normes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5.2. Systèmes garantissant la sécurité . . . . . . . . . . . . . . . . . . . . 6.5.3. Centre de contrôle de réseau . . . . . . . . . . . . . . . . . . . . . . 6.5.4. Surveillance du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6. Audit et sécurité des applications Web. . . . . . . . . . . . . . . . . . . . 6.7. Audit d’un centre à la suite de plusieurs attaques . . . . . . . . . . . . .
103 103 106 106
111
112 114 115 117 121
123 124
126 127 128 128 129 130
131 133 134 134 135 138 139 143 145 147
8 L’audit technique informatique
6.7.1. Phase de pré-audit et de planification (0,5 jour) . . . . . . . . . . 6.7.2. Phase de l’enquête préliminaire (2 jours) . . . . . . . . . . . . . . 6.7.3. Phase de vérification rapide (2,5 jours) . . . . . . . . . . . . . . . 6.7.4. Phase de vérification ou réalisation de l’audit proprement dit (3,5 jours) . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.7.5. Phase de restitution et du rapport (1,5 jour). . . . . . . . . . . . . . 6.7.6. Recommandations plus techniques. . . . . . . . . . . . . . . . . . . 6.8. Sécurité et droit de l’informatique . . . . . . . . . . . . . . . . . . . . . . Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 7. Plans types et exemples de procédures. . . . . . . . . . . . . . .
7.1. Plan type d’un programme de travail . . . . . . . . . . . . . . . . . . . . . 7.2. Plan type d’un rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3. Exemples de procédures d’audit . . . . . . . . . . . . . . . . . . . . . . . 7.3.1. Exemple de procédure d’audit interne . . . . . . . . . . . . . . . . . 7.3.2. Exemple de procédure d’audit qualité pour la qualification d’un produit logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4. Annexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4.1. Annexe 1 : plan type du rapport d’audit . . . . . . . . . . . . . . . . 7.4.2. Annexe 2 : exemple des éléments du référentiel . . . . . . . . . . . Foire aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Annexe 1. Rappel des outils pour les auditeurs. . . . . . . . . . . . . . . . . .
A1. Rappel des outils pour les auditeurs . . . . . . . . . . . . . . . . . . . . . A1.1. La technique de réunion . . . . . . . . . . . . . . . . . . . . . . . . . . . A1.1.1. Les interviews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A1.1.2. Le questionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . A1.2. Les autres techniques, les tests et les outils logiciels . . . . . . . . . . A1.2.1. Outils de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A1.2.2. Outils (logiciels) . . . . . . . . . . . . . . . . . . . . . . . . . . . . A1.2.3. La formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
148 149 149
150 151 153 154 159
163 163 165 166 166
170 182 182 183 185
187
191 191 191 192 193 193 193 194 195
Table des matières 9
Annexe 2. Démarche pour un plan de sécurité. . . . . . . . . . . . . . . . . .
Annexe 3. Fonctions illicites des programmes malveillants. . . . . . . . . .
A3. La fonction illicite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A3.1. La fonction à déclenchement différé . . . . . . . . . . . . . . . . . . . . A3.2. La fonction de déplacement . . . . . . . . . . . . . . . . . . . . . . . . . A3.3. La fonction autoreproductrice . . . . . . . . . . . . . . . . . . . . . . . . A3.3.1. Définition des programmes dévastateurs . . . . . . . . . . . . . . A3.3.2. Les virus par ajout . . . . . . . . . . . . . . . . . . . . . . . . . . . A3.3.3. Les virus par recouvrement . . . . . . . . . . . . . . . . . . . . . .
Annexe 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A4.General principles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A4.1.General objectives of the procedure. . . . . . . . . . . . . . . . . . . . A4.1.1.Application field. . . . . . . . . . . . . . . . . . . . . . . . . . . . A4.1.2.Expected benefits. . . . . . . . . . . . . . . . . . . . . . . . . . . . A4.2.Conditions for application of the procedure. . . . . . . . . . . . . . . A4.2.1.Quality audit Procedure Requirements. . . . . . . . . . . . . . . A4.2.2.Pre-requisites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A4.3.Outpout of the quality audit process. . . . . . . . . . . . . . . . . . . . A4.3.1.Quality audit report. . . . . . . . . . . . . . . . . . . . . . . . . . A4.3.2.Recommandations. . . . . . . . . . . . . . . . . . . . . . . . . . . A4.4.Phases of the quality audit procedure. . . . . . . . . . . . . . . . . . . A4.4.1.Diagram of the process. . . . . . . . . . . . . . . . . . . . . . . . A4.4.2.A step by step procedure. . . . . . . . . . . . . . . . . . . . . . . . A4.4.3.Validity. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A4.4.4.Modulation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bibliographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lexique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
197
201
201 202 202 203 203 204 205
207 209 209 209 209 210 210 211 212 212 212 213 213 215 216 216
219
221
PRÉFACE
Il devient impossible de lire un magazine, de regarder la télévision ou d’écouter la radio sans voir ou entendre les sujets concernant Internet en général, l’informatique en particulier ainsi que de leurs problèmes ou déboires : tel opérateur en désarroi, telle société en ligne en faillite, tel système informatique ou serveur attaqué… Par conséquent, force est de constater qu’Internet et l’informatique qui constituent une avancée technologique indéniable possèdent leurs propres faiblesses.
Comment pallier ces dernières, comment protéger, détecter les points faibles et vérifier l’adéquation de son système d’information et/ou de ses outils sont les questions actuellement posées par bon nombre de responsables et dirigeants.
Comprendre, apprendre, se former et s’informer ne sont-ils pas les « piliers spirituels » et moyens nécessaires pour s’adapter aux nouvelles technologies présentes, naissantes ou futures. Il en est de même pour la surveillance de ces outils tel que l’audit informatique.
Ce livre sur la théorie et les pratiques de cette matière applique bien ce principe par une démarche originale comprenant : –un rappel historique et l’origine des concepts d’audit ; –une sensibilisation par l’illustration des exemples et des cas ; –une explication des principes de base et des notions techniques ; –une présentation des solutions avec les différentes approches (conseils et recommandations) ;
