Scribd Logo
Importer

Bienvenue sur Scribd !

  • 222 vues

    Evaluation Des Risques - Approche CNCC

    Transféré par

    BENHALIMA Samir
    L'environnement informatique de l'entreprise présente plusieurs risques en raison du départ soudain de l'ancien directeur informatique, du manque de supervision de la direction, et de la dépendance excessive envers un prestataire externe. Cela pourrait entraîner une perte de contrôle de certains processus et une mauvaise gestion de la sécurité.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme XLSX, PDF, TXT ou lisez en ligne sur Scribd

    Evaluation Des Risques - Approche CNCC

    Transféré par

    BENHALIMA Samir
    222 vues44 pages
    L'environnement informatique de l'entreprise présente plusieurs risques en raison du départ soudain de l'ancien directeur informatique, du manque de supervision de la direction, et de la dépendance excessive envers un prestataire externe. Cela pourrait entraîner une perte de contrôle de certains processus et une mauvaise gestion de la sécurité.

    Description originale:

    Évaluation des risques selon CNCC

    Titre original

    Evaluation Des Risques_Approche CNCC

    Copyright

    © © All Rights Reserved

    Formats disponibles

    XLSX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    L'environnement informatique de l'entreprise présente plusieurs risques en raison du départ soudain de l'ancien directeur informatique, du manque de supervision de la direction, et de la dépendance excessive envers un prestataire externe. Cela pourrait entraîner une perte de contrôle de certains processus et une mauvaise gestion de la sécurité.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme XLSX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format xlsx, pdf ou txt
    222 vues44 pages

    Evaluation Des Risques - Approche CNCC

    Transféré par

    BENHALIMA Samir
    L'environnement informatique de l'entreprise présente plusieurs risques en raison du départ soudain de l'ancien directeur informatique, du manque de supervision de la direction, et de la dépendance excessive envers un prestataire externe. Cela pourrait entraîner une perte de contrôle de certains processus et une mauvaise gestion de la sécurité.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme XLSX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format xlsx, pdf ou txt
    sur 44

    Evaluation des risques

    Incidence de lenvironnement informatique sur le risque inhrent

    Une matrice est propose afin dapprcier lincidence de lenvironnement informatique sur le risque inhrent. Pour cha

    Incidence de lenvironnement informatique sur le risque


    inhrent

    Stratgie informatique
    Stratgie labore par les entits oprationnelles

    Sensibilisation de la direction

    Satisfaction des besoins utilisateurs

    Fonction informatique
    Fonction informatique
    Organisation informatique

    Sparation des tches

    Externalisation

    Comptences informatiques
    Niveau de comptence

    Charge de travail

    Niveau de rotation

    Conception et acquisition des solutions informatiques


    Comment sont achetes et dveloppes les solutions informatiques ?

    Identification des besoins en nouveaux outils

    Organisation de la fonction dveloppement / paramtrage

    Procdures de dveloppement et de paramtrage

    Comment sont installs et valids les nouveaux systmes


    informatiques ?

    Tests lors du dmarrage de la nouvelle application ou version

    Validation des dveloppements

    Niveau de documentation des outils

    Gestion du changement

    Comment est assure la maintenance du systme dinformation ?

    Matrise du systme dinformation

    Maintenance externalise

    Distribution et support informatique


    Quelle est la qualit du support fourni aux utilisateurs ?

    Cellule d'assistance (hotline)

    Manuel utilisateur et documentations disponibles

    Formations informatiques

    Comment sont grs les problmes dexploitation quotidiens ?

    Suivi des performances du systme

    Disponibilit du systme

    Fonction exploitation

    Historique et surveillances des activits

    Comment sont gres les fonctions externalises ?

    Procdures de choix des sous-traitants

    Sous-traitants correspondant aux besoins de lentreprise

    Supervision des activits des sous-traitants

    Contenu des contrats de sous-traitance

    Gestion de la scurit
    Comment sont gres les sauvegardes ?

    Procdure de sauvegarde et modalits de sauvegarde

    Plan de secours

    Comment est dfinie et mise en uvre la scurit logique ?

    Gestion des habilitations / profils utilisateurs

    Gestion des mots de passe

    Utilisation dInternet / messagerie

    Antivirus

    Sensibilisation des utilisateurs

    La scurit physique est-elle satisfaisante ?

    Moyens daccs aux locaux

    Protection incendie

    Protection lectrique

    La gestion des projets informatiques


    Equipe projet

    Dcoupage du projet en phases

    Niveau de documentation

    Degr dimplication de la direction dans les projets

    (1) Limpact dfinitif sur les contrles substantifs est


    apprcier en relation avec lvaluation du risque li au
    contrle.

    r le risque inhrent

    nce de lenvironnement informatique sur le risque inhrent. Pour chaque lment, sont prcises lincidence sur la nature et ltendue des contrles su

    Constats

    Incidence sur le risque

    inhrent
    M. Ginseng, le directeur informatique de Siban
    depuis 5 ans a quitt la socit sans assurer sa
    succession.

    Risque de perte du contrle de certains processus.

    M. Alo, directeur financier, a repris la fonction de


    directeur informatique en attendant lembauche
    dun spcialiste, mais ne contrle pas encore
    tous les processus.

    Risque de perte dinformations connues de lancien directeur


    informatique.

    Le schma directeur informatique date de 5 ans


    et le plan dvolution na pas t mis jour alors
    que lactivit de la socit est en pleine volution.

    Risque de perte de cohrence dans lvolution du systme dinformation


    si le plan dvolution nest pas tenu jour.

    Le directeur informatique est parti sans laisser


    ses documents de travail et le P-DG ne sest
    jamais impliqu dans ses travaux.

    Le schma directeur, obsolte risque de ne plus tre en adquation avec


    les besoins de la socit.

    Aucune information sur ce thme.

    Le directeur informatique, M. Ginseng et M. Alo


    prsent, est seul soccuper de tous les
    aspects informatiques de la socit.

    Trop de fonctions assures par une mme personne.

    Le P-DG, M. Ding Xian, ne supervise pas son


    travail par manque de connaissance technique.

    Pas de supervision extrieure.

    La maintenance et le dveloppement de
    lensemble des logiciels de Siban sont
    externaliss chez le prestataire Indigo.

    Dpendance trop importante vis--vis de la socit dexternalisation.

    Cette socit est propritaire des programmes


    sources des applications dveloppes

    Difficults pour changer de prestataire en cas de mcontentement sur les


    prestations fournies ou de faillite du prestataire.

    Le nouveau responsable des systmes


    dinformation n'a aucune connaissance en
    informatique.

    Perte de matrise du systme dinformation.

    Pas d'information sur ce thme.

    Faible niveau de rotation, mais le responsable


    informatique vient de quitter la socit.

    Perte de matrise du systme dinformation.

    Pas d'information sur ce thme.

    Le dveloppement est externalis auprs de la


    socit Indigo.

    Perte de matrise du systme dinformation.

    N/A.

    matiques

    Les modules en phase de test sont accessibles


    dans un environnement de production sur tous
    les postes.

    Risque que des critures de tests soient enregistres dans le systme et


    ne soient pas effaces lors du dploiement.

    Les dveloppeurs (Indigo) ont accs lenvironnement de production et


    peuvent accder lensemble des donnes du systme.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    M. Ginseng est parti sans avoir assur la


    transition auprs du nouveau responsable.

    Risque de perte de matrise du systme dinformation.

    La maintenance du systme est externalise


    auprs d'une socit qui est propritaire des
    programmes sources.

    Si la socit Siban souhaite changer de prestataire et faire voluer le


    systme, elle rencontrera de grandes difficults car elle ne dtient pas les
    programmes sources.

    Pas de hot line.

    Peu de risque tant donn la taille de l'entreprise.

    Pas d'information sur ce thme.

    Le personnel du service comptabilit na reu


    aucune formation linformatique.

    Risques de mauvaise utilisation des applications.

    Les intrimaires ne sont pas forms lutilisation


    du logiciel comptable.

    Risques derreurs, de perte de temps...

    Revue rgulire des listings dexploitation et de


    contrle.

    Non dtection de tentatives dintrusion non autorises.

    Des listings de connexion et danomalie existent


    mais ils ne sont pas rgulirement revus.

    Non dtection de dysfonctionnements dans les interfaces ou dans les


    traitements automatiss internes au systme dinformation.

    Non dtection de modifications injustifies dans les bases tarifs ou


    clients.

    Les temps de rponse de l'application de gestion


    des stocks sont trs levs.

    Perte de temps.

    La fonction est assure par le directeur


    informatique

    Non sparation de fonctions.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    Les dlais d'intervention et la qualit des


    renseignements fournis par Indigo sont jugs non
    satisfaisants par les utilisateurs.

    Faible risque de perte de temps.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    Procdures de sauvegardes correctes,


    cependant les sauvegardes ne sont pas faites en
    double et effectues rgulirement.

    En cas dincendie ou dgt des eaux dans les locaux de lentreprise, les
    sauvegardes peuvent tre perdues sans pouvoir reconstituer les
    donnes contenues dans les cassettes.

    Risque que les donnes ne puissent tre relues.

    La frquence des sauvegardes nest pas assez importante.

    Il n'existe pas de plan de secours. De plus, le


    contrat de prestation externe avec Indigo ne
    prcise pas de dlais dintervention.

    Risque dindisponibilit longue du SI en cas dincident.

    La prestation de Indigo ne satisfait pas les


    utilisateurs.

    Risque de difficults dexploitation car la disponibilit du serveur est


    importante pour lactivit de la socit.

    Pas de politique de gestion de profils au sein des


    applications. Lensemble du personnel disposant
    dun mot de passe a accs lensemble des
    donnes du SI en lecture et modification.

    Risque de fraude et derreurs dutilisation (possibilit de modification des


    tarifs pour un client donn, puis effacement de la modification).

    Confidentialit des donnes non garantie (les intrimaires ayant


    galement accs lensemble des donnes).

    Les habilitations et mots de passe ne sont plus


    suivis depuis deux mois : le mot de passe de M.
    Ginseng na pas t dsactiv.

    Risque daccs et de modification non autoriss des donnes


    confidentielles (risque dautant plus important que le systme
    dinformation de Siban contient des donnes sensibles comme les
    coordonnes bancaires de la base clients).

    Un mot de passe commun est utilis pour les


    nouveaux entrants : lidentifiant gal au mot de
    passe Siban est trop facile trouver.

    Risques de fraude par M. Ginseng : il est parti en dsaccord avec la


    direction et connat parfaitement le SI de Siban.

    Pas d'information sur ce thme.

    Lantivirus est mis jour tous les trois mois.

    De nouveaux virus peuvent ne pas tre dtects et infecter le systme


    dinformation.

    Le personnel reoit des courriels de mise en


    garde contre des virus informatiques.

    Risque de perte de donnes pour cause de virus.

    Un intrimaire a t renvoy pour avoir trop


    tlcharg de fichiers.

    Une mauvaise utilisation du systme dinformation peut entraner des


    pertes de donnes et une indisponibilit du rseau.

    Toute personne peut avoir accs aux salles


    machines et bureaux en passant par la boutique.

    Risque de fraude ou daccs non autoriss des donnes confidentielles


    si une personne mal intentionne accde aux locaux informatiques.

    De nuit, une alarme et un gardien scurisent les


    accs.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    Pas d'information sur ce thme.

    e et ltendue des contrles substantifs mettre en uvre et sur la communication au gouvernement dentreprise.

    Recommandations

    Impact possible sur les contrles substantifs (1)

    Effectuer un tat de lexistant, identifier lensemble des


    procdures existantes ou mettre en place.

    Mener une rflexion sur une volution cohrente du


    systme dinformation.

    Crer un nouveau schma directeur avec une


    architecture informatique cible.

    Dfinir le plan dvolution pour les exercices venir.

    Affecter une ressource la fonction informatique ou


    externalisation de la fonction dveloppement chez un
    prestataire.

    Sassurer de la fiabilit de Indigo.

    Raliser des tests plus prcis afin de s'assurer de l'absence de


    fraudes

    Etudier des solutions permettant dassurer la continuit


    du systme dinformation en cas de dfaillance
    d'Indigo.

    Former le directeur informatique.

    S'assurer que la socit garde la matrise de ses


    systmes dinformation malgr l'utilisation de
    prestataires.

    Crer un environnement de test spcifique.

    Oui

    Ne donner aux dveloppeurs que laccs cet


    environnement.

    M. Alo, qui reprend la gestion informatique, devra se


    mettre en relation avec le prestataire Indigo afin de
    reprendre en main le systme dinformation.

    Ngocier avec la socit prestataire une acquisition


    des programmes sources et tre vigilant lors de
    l'acquisition ou le dveloppement des futures
    applications.

    Demander au personnel les formations quil souhaite


    suivre.

    Organiser des formations de sensibilisation


    linformatique et aux applications dont ils ont
    lutilisation.

    Des formations seront mettre en place pour le


    dploiement du nouveau logiciel.

    Fixer une procdure de revue et de conservation des


    listings de connexions, de contrles et danomalies par
    le responsable de lexploitation du systme
    dinformation.

    Supprimer les rfrences en stock qui ne sont plus


    utilises.

    Oui

    Envisager d'augmenter la capacit de la base de


    donnes grant les stocks.

    Former une ou plusieurs personnes la fonction


    exploitation.

    Rengocier le contrat avec Indigo pour obtenir une


    amlioration de la qualit de service.

    Garder une seconde sauvegarde dans un lieu extrieur


    la socit.

    Effectuer des tests de relecture sur des cassettes


    prises au hasard.

    Mettre en place une procdure quotidienne de


    sauvegarde automatique des donnes.

    Rengocier le contrat de maintenance en prcisant les


    dlais maximums dintervention.

    Changer de socit de maintenance si les solutions


    proposes ne semblent pas satisfaisantes.

    Crer des profils selon la fonction occupe au sein de


    la socit.

    Imposer des mots de passe de plus de 5 caractres, ne


    correspondant pas des mots du dictionnaire ou des
    prnoms, avec alternance de chiffres et de lettres et
    changer rgulirement.

    Les mots de passe communs plusieurs utilisateurs


    sont viter.

    Reprendre la gestion des habilitations et dsactiver les


    identifiants des personnes ayant quitt la socit.

    Mettre jour lantivirus une fois par semaine.

    Rdiger et faire signer lensemble du personnel une


    charte de bonne utilisation du SI. Verrouiller les postes
    de travail.

    Accompagner les visiteurs de leur entre leur sortie


    de lentreprise.

    Surveiller en permanence les accs aux locaux.

    Fermer la porte daccs entre la boutique et les locaux


    informatiques.

    Communication au gouvernement dentreprise

    Oui

    Oui

    Oui

    Oui

    Oui

    Oui

    Fonction des rsultats des tests substantifs mens au final

    Oui

    Oui

    Oui

    Des anomalies constates lors des interfaces pourraient mettre en vidence la non exhaustivit des comptes

    Oui

    Oui

    Oui

    Oui

    Oui

    Oui

    Oui

    Oui

    Oui

    Oui

    Vous aimerez peut-être aussi