Upload
amorosso23579
View
30
Download
4
Embed Size (px)
DESCRIPTION
Exposé de Mémoire de Stage
Citation preview
EXPOSÉ DE MÉMOIRE DE STAGE
Elaboré par : Mr Ammar SASSI
Université de Sfax – Institut des Hautes Études Commerciales de Sfax
Audit des systèmes d’information : mise en œuvre
de l’approche Cobit4.1
(Élaboration d’un générateur de guides d’audit pour
le cas de la STEG)
Soutenance de
18/04/2014
Plan
Introduction
Problématique
Contexte et mission de stage
Pourquoi Cobit4.1?
Le générateur de guides d’audit : raisons d’être
Le générateur de guides d’audit : démarche et résultats
Tutoriel
Conclusion
Limites
Introduction
Une évolution de la notion de l’informatique dans l’économie moderne a transformé
l’organisation de la fonction informatique.
Approche classique
Qui la découpe selon
l’organisation structurelle
(fonctionnelle) de l’entreprise et
la considère comme juste un
support technique aux métiers.
Approche intégrée
Axée sur les métiers, et
organisée en processus
interconnectés, donnant ainsi
lieu à la nouvelle notion de
système d’information.
Cette mutation a eu des répercutions sur la fonction d’audit informatique, pour ainsi
se transformer en audit des systèmes d’information.
Désormais plusieurs référentiels et normes traitant les SI des entreprises de plusieurs perspectives se présentent aux auditeurs, tels que : ITIL , CMMi, PMBOK, PRINCE2, TOGAF, COSO, eSCM, Cobit, ISO 20000 , la famille ISO 2700X….
Parmi ces nombreux référentiels et normes internationales Cobit 4.1 se manifeste
comme un cadre fédérateur et global de contrôle, de management, de gouvernance
et d’audit des SI.
Il est considéré pour les SI comme l’équivalent de COSO en matière de contrôle
interne. Il est de mode ces dernières années et il gagne de reconnaissance.
Mais à vrai dire, c’est pour des raisons concrètes et bien fondées qu’il est jugé utile
pour les entreprises.
Problématique
Quels sont les avantages de cadre fédérateur Cobit4.1 en matière
d’audit des SI? Et au moyen de quel outil peut-on les mettre en
œuvre?
Contexte et mission de stage
La Société Tunisienne de l’Électricité et de Gaz (STEG) est un monopole public crée en 1962 et qui œuvre dans la production, la distribution et le transport de l’électricité et du gaz sur l’ensemble de territoire tunisien.
Elle occupe la deuxième place dans l’échelle des performances des entreprises tunisiennes en terme de chiffre d'affaires (qui a atteint 2670 MDT en 2012).
Pour satisfaire les besoins de ses clients
dans les meilleures conditions de coût,
qualité et sécurité, et afin de garder sa
place de leader, la STEG adopte une
stratégie globale qui se fond sur les cinq
valeurs suivantes :
L’orientation client
Le travail en équipe
La considération des personnes
La gestion par les faits
L'amélioration continue
C’est au moyen des instance telle que la direction d’audit interne (et ses différentes divisions) que la STEG a pu soutenir cette stratégie d’amélioration continue.
Mission de stage
Ma mission pendant ce stage était de contribuer au développement des méthodes et
outils d’audit des SI de la STEG afin d’assurer des SI efficaces et efficients à un haut
niveau de qualité et de sécurité, permettant ainsi de soutenir la stratégie globale de
la STEG : celle de l’amélioration continue de ses services et produits.
Mes tâches se sont alors étendues du diagnostic de l’état des lieux de la STEG en
matière d’audit des SI, jusqu’à la présentation des nouvelles solutions et leurs
implémentations.
Pourquoi Cobit4.1?
Un modèle de 34 processus interconnectés (groupés en 4 domaines) qui
considère toutes les ressources de SI et couvre l’intégralité des ses activités.
Un ensemble de bonnes pratiques sous formes de 215 objectifs de contrôle qui
se déclinent en plusieurs pratiques de contrôle
Son alignement sur les besoins des métiers
Son alignement sur les différentes approches et bonnes pratiques des
autres référentiels et normes internationales
Un grand nombre d’éléments, concepts, et démarches couvrant les
volets contrôle, management, gouvernance et audit des SI
Une documentation abondante
Cobit4.1 se distingue par :
Modèle processus de Cobit4.1
Dans son modèle
processus,
Cobit4.1 considère
toutes les ressources
de SI et couvre
l’intégralité des
ses activités,
tout en s’alignant sur
les objectifs métiers
et ceux de la
gouvernance.
Les éléments de Cobit4.1
Cobit4.1
Objectifs métiers Objectifs informatiques
Objectifs de contrôle
Objectifs activité Objectif processus
Les mesures de performance (KPI)
Les mesures des résultats (KGI)
Les tableaux RACI
Les modèles de maturités
Les entrées / sorties des processus
Les descriptifs des processus
Les descriptifs des objectifs de contrôle Les énoncées des valeurs et des risques
Les attributs des modèles Les procédures d’évaluation
La liste des processus
Les critères d’information
Procédures de contrôle
La documentation Cobit4.1
La documentation Cobit4.1 couvre
les volets contrôle, gouvernance, management,
et audit des SI.
Et s’adresse aux différents intervenants :
dirigeants, responsables métiers et
informatiques, professionnels
d’assurance, auditeurs , opérationnels …
La démarche d’audit selon Cobit4.1
Cobit 4.1 offre au
moyen de son
guide d’audit une
démarche d’audit
bien élaborée qui
se divise en trois
phases
Le générateur de guides d’audit : raisons
d’être
Suite à une étude des états des lieux de la STEG en matière de management
et d‘audit des SI (couvrant la période de l’année 2007 à l’année 2011), on a
remarqué les points suivants :
Un fort développement des activités des SI (qui touchent aussi bien le niveau stratégique, organisationnel, managériale qu’opérationnel) Alignement des projets informatiques sur les objectifs stratégiques de l’entreprise
Établissement d’un schéma directeur des SI
L’actualisation, la restructuration et la mise en place des structures de contrôle et de pilotage
Développement des projets informatiques
L’acquisition, le déploiement, le test et la mise en œuvre des progiciels et systèmes informatiques
La maintenance et le développement de l’infrastructure informatique
L’externalisation des services et la gestion des contrats avec des tiers
La gestion des centres d’assistances aux utilisateurs (helpdesk) ….
Ce développement des activités des SI a impliqué une croissance dans les missions d’audit (de 12 missions en 2007 à 32 en 2010 et 22 en 2011) afin de couvrir toutes ces activités
Pour exécuter ces missions les auditeurs informatique de la STEG se référent à une variété des référentiels et normes, tels que :
ISO 9001, ISO 14001, ISO 26000, OHSAS 18001 dans le cadre des missions globales d’audit interne traitant l’ensemble des structures de la STEG (y compris les SI)
ISO 13335, ISO 17799, la famille ISO 2700X, ITIL V3, PRINCE2 … qui sont des normes et des cadres de références spécifiques aux SI.
Ces missions, bien qu’ils apportent leurs contributions à l’amélioration des dispositifs de contrôle propres aux SI, cependant on a remarqué l’absence d’une démarche d’audit globale permettant d’organiser et de structurer les différentes missions dans une logique cohérente et complémentaire.
La solution était d’élaborer un générateur de guides d’audit hiérarchisés, cohérents
et complémentaires sur la base de l’approche de cadre de référence Cobit4.1 en
raison de ses nombreux avantages, l’ensemble de ses éléments et concepts adaptés
à l’audit et l’abondance de sa documentation en la matière.
Ce générateur de guides d’audit sera implémenté en une application Excel et
comportera les sous produits suivants :
Un guide générique (une plateforme de questionnaires d’audit)
Une carte de correspondance « Missions- Objectifs de contrôle »
Un ensemble de tables de mappage
Générateur de guides d’audit
Guide générique (plateforme des
questionnaires d’audit)
Carte de correspondance « Missions – Objectifs de
contrôle » Tables de mappage
Conception
Implémentation
Feuilles Excel
Conception de générateur de guides d’audit
Le générateur de guides d’audit : démarche et
résultats
Ce générateur de guides d’audit aura pour objectif de traduire l’approche Cobit4.1 en
matière d’audit des SI en permettant aux auditeurs de planifier, cadrer et exécuter :
L’élément central sur le quel se base l’approche Cobit4.1 en matière d’audit des SI ce
sont les « objectifs de contrôle », c’est ainsi le cas pour ce produit. Autres éléments et
publications de Cobit4.1 vont œuvrer dans l’élaboration de ce générateur de guides
d’audit et ses différents sous produits.
des missions d’audits cohérentes, complémentaires, opérant dans une même
logique, couvrant l’intégralité des activités des SI, alignées sur les exigences
métiers au niveau le plus général et ouvertes sur les bonnes pratiques d’autres
référentiels et normes plus spécifiques.
Cobit4.1
Objectifs métiers Objectifs informatiques
Objectifs de contrôle
Objectifs activité Objectif processus
Les mesures de performance (KPI)
Les mesures des résultats (KGI)
Les tableaux RACI
Les modèles de maturités
Les entrées / sorties des processus
Les descriptifs des processus
Les descriptifs des objectifs de contrôle Les énoncées des valeurs et des risques
Les attributs des modèles Les procédures d’évaluation
La liste des processus
Les critères d’information
Procédures de contrôle
Ce guide présente une plateforme depuis de laquelle vont être générés différents
questionnaires en réponse à un éventail de missions. Cette plateforme est établi
intégralement à partir de la documentation Cobit4.1 en la matière, elle présente
tous les objectifs de contrôles Cobit4.1 et offre un grand nombre d’évaluations
associées à chacun de ces objectifs sous forme de questions soutenus par des
renseignements et des conseils.
Le guide générique (plateforme de questionnaires d’audit)
C’est une carte clé qui permettra d’identifier les principaux objectifs de contrôle qui
devront être évalués en réponse à une mission bien déterminée. Sur la base de ces
objectifs identifiés, un questionnaire spécifique à la mission fixée sera généré par la
suite.
La carte de correspondance « Missions- Objectifs de contrôle)
Et afin d’alimenter cette carte avec des modèles de cadrage, on a choisi une mission
type « Audit de la sécurité globale des SI ». Le choix de cette mission nous a
permet d’élaborer une hiérarchie de guides d’audit spécifiques traitant la sécurité
des SI de plusieurs perspectives.
La démarche qu’on a suivi pour dresser cette carte s’est inspirée largement de la
démarche de cadrage des objectifs de contrôle de Cobit4.1
Elle comporte en principe trois niveaux de cadrage:
Un premier niveau de cadrage (cadrage de haut niveau) : afin d’identifier les
processus Cobit4.1 qui répondent aux exigences de sécurité
Un deuxième niveau de cadrage (cadrage des objectifs de contrôle initiaux)
Un troisième niveau de cadrage (affinement de cadrage) : ce niveau permet de ne
garder que les objectifs de contrôle critiques et qui correspondent aux ressources
les plus concernées par la mission
Le principe de
cadrage consiste à
identifier les
objectifs de
contrôle critiques
correspondant aux
ressources en
relation
directe avec une
mission d’audit
précise.
Dans un premier lieu cette démarche aura pour objectif de restreindre le champ
d’investigation pour la mission choisie « Audit de la sécurité globale des SI » en un
sous-ensemble d’objectifs de contrôle critiques et correspondant aux ressources les
plus concernées.
Cependant notre choix pour cette mission a un autre objectif plus intéressant. Celui de
présenter un hiérarchie de guides d’audit cohérents et complémentaires dont la
mission mère sera un cadre annuel pour les sous- missions dérivées.
Pour cette raison, on s’est arrêté au deuxième niveau de cadrage, qui permet de
déterminer les objectifs de contrôles initiaux répondant à la mission « Audit de la
sécurité globale des SI ».
Et on a opéré à un découpage de cette mission globale en sous-mission plus
spécifiques, en se référant aux publications Cobit4.1 (essentiellement « Cobit Security
Baseline 2nd Edition»).
Ces tables vont permettre aux auditeurs d’affiner leurs missions d’audit en se
référant aux bonnes pratiques des autres cadres de références et normes
internationales qui traitent le même objet d’une telle ou telle mission d’audit. Le
cadre de référence Cobit4.1 offre cet avantage via ses objectifs de contrôle qui
s’alignent sur les bonnes pratiques d’un grand nombre de standards et normes
internationales.
Les tables de mappage
Dans notre cas d’étude « Audit de la sécurité globale des SI », le cadre de référence
le plus adapté, c’est la norme ISO 27002. Et en se référant aux publications
Cobit4.1 (essentiellement « Cobit Security Baseline 2nd Edition») nous avons pu
dresser la table de mappage suivante :
Conclusion
Ce présent travail a eu pour but de répondre aux questions posées au début :
Quels sont les avantages de cadre fédérateur Cobit4.1 en matière
d’audit des SI? Et au moyen de quel outil peut-on les mettre en
œuvre?
En fait j’ai essayé via cet exposé et mon mémoire écrit de mettre de la lumière sur
le volet audit de cadre de référence Cobit4.1, et par le produit résultant « le
générateur de guides d’audit » j’ai cru proposé un outil afin d’implémenter cette
dimension « audit » de Cobit4.1
Les plus importants remarques à retenir de ce travail, c’est que:
Cobit4.1 se présente aussi bien comme un cadre d’audit des SI
Cobit4.1 permet via son modèle processus, qui couvre l’ensemble des ressources et les activités des SI, de mener des missions d’audit allant des niveaux stratégiques et managériales jusqu’aux niveaux purement opérationnels et techniques
Cobit4.1 est un cadre fédérateur c.à.d. qu’il intègre plusieurs démarches, bonnes pratiques et concepts d’autres standards informatiques
Cobit4.1 dote d’un ensemble important d’éléments œuvrant dans son volet audit et dote aussi d’un documentation abondante en la matière
Cobit 4.1 offre via son guide d’audit une démarche bien élaborée pour les auditeurs informatiques afin de planifier, organiser et exécuter différentes missions d’audit cohérentes, complémentaires et œuvrant dans une même logique
Le produit de ce présent travail
: le générateur de guides
d’audit présente une
incarnation de l’approche
Cobit4.1 en matière d’audit
des SI. Il peut intervenir dans
les différents niveaux de la
démarche d’audit présentée
par ce dernier.
Carte de correspondance
« Missions – Objectifs de contrôle »
Tables de mappage
Questionnaires générés
Limites
Le générateur de guides d’audit résultant de ce travail ne présente qu’un seul modèle
de cadrage (celui correspondant à la mission type traitée), ainsi il ne peut être pas
considéré comme un travail complet.
Cependant il offre une plateforme de procédures d’évaluations bien élaborée, il n’en
reste que d’alimenter la carte clé (carte de correspondance « Missions – Objectifs de
contrôle ») par d’autre travaux de cadrage portant sur d’autres types de missions.
Dans ce travail on s’est focalisé seulement sur le volet audit de Cobit4.1, ce qui ne
résume pas l’étendu de ce cadre fédérateur. En fait Cobit4.1 et multidimensionnels,
c’est aussi un cadre de gouvernance, de contrôle et de management et de des SI.
Il offre une plateforme de communication pour les différents intervenants : dirigeants,
managers, opérationnels et auditeurs … afin de mieux maîtriser les SI et d’accentuer
leur rôle émergeant en tant que « créateur de valeur ».
Ainsi une implémentation de ce cadre multidimensionnels sera d’une grande utilité
pour les entreprises. Et aussi sera fortement recommandée pour que le produit de ce
présent travail (le générateur de guides d’audit) ouvrera dans un contexte approprié.
Merci pour votre attention