Membre du réseau international GROUPE AUDIT – SERVAL & Associés
Évaluation des risques liés à la sécurité de l’information
20/06/2011
Copyright : groupe audit
Contrôler la sécurité de l’information
L’ ANALYSE DU SYSTÈME D’ ACQUISITION ET D’ AGGREGATION DES DONNÉES AU CŒUR DE L’ AUDIT
Le systèmeMutation d’information est le vecteur incontesté de performance opérationnelle de l’entreprise pour autant que l’ensemble des processus qui concourent à son édifice assure sa pertinence et son intégrité. Il représente aussi une source de risques variés, parfois complexes à appréhender et à maîtriser. Au-delà d’une évidente nécessité opérationnelle les législateurs imposent tant aux entreprises qu’à leurs auditeurs des obligations de conformité à des normes et la justification de leur vérification. Cartographie et Traitement des Risques est une division de SERVAL & Associés spécialisée en audit du Système d’Information.
Les domaines de compétence couvrent principalement la sécurité des systèmes d’information et notamment celui des Directions Informatiques (DI), mais aussi la continuité d’activité avec les Directions Opérationnelles (DO) et gestion de crise, la conformité, l’intelligence économique et la lutte contre la fraude.
L’intelligence de2 vos risques
Copyright : groupe audit
L’ ANALYSE DU SYSTÈME D’ ACQUISITION ET D’ AGGREGATION DES DONNÉES AU CŒUR DE L’ AUDIT Appréciation du risque Cartographie globale du risque – Plan de couverture – Assurance – Conformité Optimisation des filières – Organisation – Pertes et incidents – Continuité et Gestion de crise
Accompagnement par « filière » Gouvernance et pilotage des risques Stratégie & politique – Pilotage des risques – Schéma directeur – Optimisation des budgets
Appréciation Opérationnelle & Mise en œuvre Comportement
Cartographie Dossier de risque Fiabilisation et continuité
Classification Analyse économique Protection du support
Contrôles et amélioration permanente Contrôle permanent (processus et outillage) – Conduite d’audits – Référentiels - Tests L’intelligence de3 vos risques
Copyright : groupe audit
L’ ANALYSE DU SYSTÈME D’ ACQUISITION ET D’ AGGREGATION DES DONNÉES AU CŒUR DE L’ AUDIT
Avec Qui:
Interlocuteurs:
Des spécialistes de chaque métier capable d’apprécier les processus avec les pratiques et le niveau des modèles et les moyens de télécommunication et information
COO – DSI de chaque branche Comité d’audit, Direction générale - DSI
L’intelligence4 de vos risques
Copyright : groupe audit
A) LE CADRE 1. Pourquoi mener une évaluation des risques sécurité? • Pour garantir l’intégrité de l’entreprise et l’ enregistrement exhaustif des activités menées sous son nom.
2. Les obligations d’audit: • Par principe les auditeurs externes des Etats membres de l’Union Européenne sont soumis aux normes de l’International Auditing and Assurance Standards Board IAASB (après transposition dans chacun des droits internes) • Parmi les 36 normes existantes quatre concernent principalement et très directement les systèmes d’information et leur applicabilité sanctionnée par la jurisprudence (a); —ISA 240 : Cette norme concerne les responsabilités de l’auditeur externe en cas de fraudes. —ISA 250 : Cette norme vise la prise en compte dans les processus d’audit des lois et règlements dont il sera question plus loin pour certains d’entre eux seulement page 13 —ISA 265: Cette norme vise l’obligation pour l’auditeur d’identifier et rendre compte aux organes de gouvernance et de direction des faiblesses relevées dans l’organisation du contrôle interne (a) Les normes sont transposées en droit interne avec les mêmes numéros – en France sous l’appellation NEP (Norme d’exercice L’intelligence de 5vos risques professionnel) Copyright : groupe audit
A) LE CADRE • Du fait de l’obligation émise par la directive européenne pour les sociétés inscrites à une bourse des valeurs d’avoir un comité d’audit ou l’équivalent (conseil de surveillance) ces obligations d’audit rejaillissent sur les directions générales et leur obligation fiduciaire à l’égard de leurs actionnaires et bien sûr concernent directement lesdits comités. • D’une manière générale l’obligation d’avoir un contrôle interne adapté aux risques de l’entreprise est inhérente à son propre fonctionnement et l’outil informatique, les moyens de télécommunication et les façades d’accès avec les tiers leur ossature comme les formats de communication interne entre services et personnes.
• La cartographie des risques du système d’information est la base de la démarche d’audit des états financiers. Elle doit elle-même répondre comme l’ensemble du système organisationnel aux requis de divers cadres normatifs (COSO). • Il est possible qu’elle soit menée dans le cadre de l’audit externe ou séparément serve d’adossement comme admis par l’IAS 620 au travail du réviseur externe. • L’un des avantages de cette dernière voie est de faciliter la compatibilité entre des législations différentes notamment concernant les procédures judiciaires des deux côtés de l’Atlantique. L’intelligence de6 vos risques Copyright : groupe audit
A) LE CADRE
3. Pourquoi le recours à l’extérieur? • Une évaluation des risques sécurité sur les systèmes d’information lancée en dehors de la Direction des Systèmes d’Information (DSI), permet seule d’avoir une vision objective et fiable du niveau de risque. •
Une nécessité de mettre en place un système de contrôle sur la sécurité des systèmes d’information (SI) indépendant de ceux qui les construisent et les entretiennent.
4. La Perception: • Une approche souvent appréciée des RSSI (Responsables Sécurité des Systèmes d’Information) qui trouvent ainsi un soutien à leur discours à la fois en matière de risque mais aussi dans le domaine des investissements.
L’intelligence de7 vos risques
Copyright : groupe audit
A) LE CADRE
5. Conclusion En résumé: Une nécessité sinon une obligation • Pour anticiper d’éventuels incidents coûteux pour l’entreprise (risque image, risque financier, risque juridique…). Pour rendre compte aux dirigeants, aux comités d’audit et aux CAC. • Pour assurer la conformité de l’enregistrement des données acquises et celle de leur accessibilité avec d’une part les besoins de l’entreprise et d’autre part les règles de protection individuelle parfois contradictoires.
L’intelligence de8 vos risques
Copyright : groupe audit
B) La Démarche
Etude juridique
Audit Technique
Audit intrusif
Besoin de sécurité de l’entreprise
du contexte / Appréciation de l’auditeur
Base des risques
Impact
Vraisemblance
Risque 1
4. Très Critique
2. Significative
Risque 2
4. Très Critique
3. Forte
…
3. Critique
4. Maximale
4. Très Critique
Risques significatifs
Risques Majeurs
Risques Majeurs
Risques Majeurs
3. Critique
Risques significatifs
Risques significatifs
Risques Majeurs
Risques Majeurs
2 . Important
Risques négligeables
Risques significatifs
Risques significatifs
Risques Majeurs
1. Négligeable
Risques négligeables
Risques négligeables
Risques significatifs
Risques significatifs
1. M inime
2. Significative
3. Forte
4. M aximale
Impact
Audit fonctionnel & Organisationnel
Vulnérabilités & Scénarios de menaces
1. CARTOGRAPHIE des risques et sécurité des SI par impact et Connaissance vraisemblance
Vraissemblance
L’intelligence de9 vos risques
Copyright : groupe audit
B) La Démarche 2. Définir des Objectifs / Progrès
Une cible de sécurité et un outil de contrôle
• Permettant de définir simplement la cible de sécurité adapté aux besoins de sécurité de l’entreprise
• Facilitant le pilotage et le suivi du niveau de sécurité globale ainsi que l’écart par rapport à la cible de sécurité
Politique de sécurité 5 Conformité
Plan de continuité de l’activité
4
Organisation de la sécurité
3 2
Gestion des biens
1 Gestion des incidents Développement et maintenance des SI Exploitation et télécoms
Copyright : groupe audit
10 de vos risques L’intelligence
0
Sécurité liée aux RH
Contrôle d’accès Sécurité physique et environnementale
Existant Cible 2012 Cible 2014
B) La Démarche
3. Mettre en place les référentiels de mesure et les outils de contrôle
Un référentiel d’audit exhaustif et pragmatique…
• Basé sur les exigences de la norme ISO 27002 • Des points de contrôle concrets, précis et adaptés au contexte
• Basé sur la logique de la preuve
11 vos risques L’intelligence de
Copyright : groupe audit
C) Le Suivi
Identification du traitement des risques • •
•
•
Basé sur la cartographie des risques et sur des critères d’acceptation des risques propres à l’entreprise (conformément à l’ISO 27001) Pour chaque risque, définir un traitement : • Acceptation, • Réduction (impact), • Evitement, • Transfert.
Identification des mesures de sécurité Pour chaque risque, il est nécessaire de déterminer la où les mesures de sécurité à mettre en œuvre pour réduire le risque, avec pour chaque mesure: • Le coût et les charges associés ; • Le délai de mise en œuvre ; • Un plan d’action concret. Pour chaque risque, valider le niveau de risque résiduel via les critères d’acceptation
Plan d’action de traitement des risques •
•
Prioriser le traitement des risques de manière pragmatique en prenant en compte • La criticité du risque ; • Le coût et le délai de mise en œuvre du traitement • L’environnement de l’entreprise et ses évolutions envisagées Définir un plan d’action permettant de suivre le traitement des risques
12 vos risques L’intelligence de
Copyright : groupe audit
ANNEXES - Quelques exemples de risques juridiques liés aux usages des Systèmes d’information Au-delà des obligations et risques généraux d’audit déjà évoqués d’autres sont spécifiques au contenu et au stockage de l’information Risques liés au non respect de la protection des données personnelles • Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés • Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des • •
• • • •
• •
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (journal officiel n° L 281 du 23/11/1995 p. 0031 - 0050 ) Directive n° 97/66/CE du 15 décembre 1997 du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications Recommandations de la CNIL
Risques liés au non respect de la vie privée des collaborateurs et au pouvoir de contrôle de l’employeur (exemples de jurisprudences) Article 9 du Code Civil : qui énonce le principe du droit au respect de la vie privée. Loi de 1991 : Secret des correspondances Arrêt de la Cour de Cassation du 17 mai 2005 « Cathnet-Science », la Cour de Cassation condamnait un employeur qui avait accédé à un fichier « personnel » de son salarié Deux arrêts de la Cour de Cassation du 18 octobre 2006, la Cour de cassation s’est montré plus explicite sur le pouvoir de contrôle de l’employeur Arrêt de la Cour de Cassation du 9 juillet 2008 reconnaît la présomption de caractère professionnel de l’usage de la connexion Internet de l’entreprise par le salarié …
Risques liés à la responsabilité des hébergeurs et des éditeurs • • •
Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne Circulaire du 7 octobre 1999 relative aux sites internet des services et des établissements publics de l'Etat Loi n° 82-652 du 29 juillet 1982 Loi sur la communication audiovisuelle
laminator. Please remember to re-secure the mecha- nism with the cam levers again before closing the cover. To return to the âHomeâ. Menu at any stage, press.
El objeto sale nuevamente de la parte delantera de la plastificadora. El objeto es demasiado grueso para ser plastificado. Seleccionar una bolsa más delgada e intentarlo de nuevo. La velocidad y el sonido de la máquina varÃan durante el plastifica
fied torque and follow a cross pattern. 3 Always mark any ..... Workshop Manual Ed. 06-2011. GENERAL INFORMATION. Engine. Type . ..... with hydraulic control and floating caliper ...... Wash using oil, diesel oil, or paraffin oil. ..... Page 60 .....
Chassis and wheels. ... This motorcycle has not been designed to travel over long distances with the engine at top rpm, ...... D.16. CR 125 2011 - WR 125 2011. H06668. H06701. 3. 4. SETTINGS AND ADJUSTMENTS. Workshop ...... Black. 19.000÷19.002 (0.7
Specifications .. Control Functions. ... Accuracy within 45% f.s.. 100, 120 or ... (5) 6002 SHUNT switch: Connects a 6002 load resistor across the output. (6). OUTPUT .... Reference should be made to a decibel table for the dB figures. The results ..
fluide et rapide avec un revêtement à forte adhérence. La terrasse au-dessus des stands permet une visibilité totale pour les spectateurs. Coordonnées GPS :.
legal institution marriage can be characterised as a form of partnership between ...... property tax); five other consequences apply in all but one of the countries.9 As ..... for wrongful death (B5), partner cover in public health insurance (B9), an
Y/G. G/B. G. G. G/B. V/B. B/L. L/Y. V/R. B/Y. G. B/R. G. V/B. V/R. 25. Y. G/B. BR/L. G/B. G L/Y. G L/Y. Y. Y. Y. G R. G R2. YYY. B L. B(1). L. B(1). L(1). G. L(1). B L.
18 dec. 1750.-Pierre-Joseph, b: 26 mars 1752. '1.-BARY. JOSEPH, fils d'Alexis et de Marguerite. -Françoise, b1 16 juillet 1753: m 15 nov. 1779,. Lalleur, de ...
Read and Save Ebook le mur the wall 20102015 125 performances dartistes urbains street art as PDF for free at Online Ebook. Library. Get le mur the wall ...
Are you looking for le mur the wall 20102015 125 performances dartistes urbains street art PDF?. If you are areader who likes to download le mur the wall ...