Chapitre 6 Flashcards
Technologie
Qu’est-ce que le référentiel COBIT?
Énonce les bonnes pratiques de gestion et de contrôle des TI
Pour soutenir adéquatement la
réalisation des objectifs d’affaires de
l’E
Approche globale intégrant 37 processus clés regroupés en 4 domaines
Conçu pour faciliter la façon dont les TI sont développés, améliorées, mises en œuvre et gérer
Quels sont les objectifs du référentiel COBIT? (3)
- Partage simplifié des informations (S’assurer que les infos sont fiables, valables, utilisé au bon moment opportun)
- Intégration des stratégies informatiques et commerciales
- Optimisation des coûts
Est-ce que le référentiel COBIT peut être appliqué à tous types d’E?
Oui
Est-ce qu’au Canada, il est obligatoire d’utiliser le référentiel COBIT?
Non
Quels sont les 5 principes du COBIT?
- Satisfaire aux besoins des parties prenantes
- Couvrir l’E d’un bout à l’autre (donc en entier)
- Appliquer un référentiel intégré unique
- Faciliter une approche globale
- Distinguer la gouvernance de la gestion
Que comporte la gouvernance des TI dans le modèle COBIT?
Évaluer
Diriger
et
Piloter
Que comporte la gestion des TI dans le modèle COBIT?
Aligner, Planifier et Organiser
Développer, Acquérir et Implanter
Livrer, Servir et Assister
Piloter, Évaluer et Apprécier
Qu’est-ce que ITIL? (IT Infrastructure Library)
Mêmes objectifs que le COBIT :
(- Partage simplifié des informations
- Intégration des stratégies informatiques et commerciales
- Optimisation des coûts)
Mais modèle développé pour soutenir la livraison des services TI selon les différents cycles de vie d’un service TI.
Intégration des TI aux opérations par 5 cycles (domaines) de gestion des services TI
Focus sur la gestion des TI
Les TI sont analysés distinctement
Il est complémentaire au COBIT
Quels sont les 5 cycles (domaines) de gestion des services TI?
- Stratégie
- Conception
- Transition
- Exploitation
- Amélioration continue
Qu’est-ce que ISO 27001& 27002?
Démarche de sécurisation du système d’information qui nécessite la réalisation des quatre étapes suivantes :
1) Définition du périmètre à protéger (liste des biens sensibles)
2) Identification de la nature des risques et des menaces
3) Identification des incidences sur le système d’information
4) Élaboration des mesures de protection à mettre en place.
Quels sont les 4 étapes d’ISO 27001 & 27002?
- Définition du périmètre à protéger (liste des biens sensibles)
- Identification de la nature des risques et des menaces
- Identification des incidences sur le système d’information
- Élaboration des mesures de protection à mettre en place.
Est-ce qu’ISO 27001 & 27002 est axé sur le processus TI?
Non, il est davantage axé sur la sécurité des données que sur le processus TI
ISO 27001 & 27002 contient 39 catégories de contrôle qui sont regroupées en 11 domaines. Nomme quelques-uns des 11 domaines.
- Politique de sécurité
- Organisation de la sécurité
- Classification et contrôle des biens
- Sécurité du personnel
- Sécurité physique
- Communication et exploitation
- Contrôle d’accès
- Acquisition, développement et maintenance des systèmes
- Gestion des incidents
- Management de la continuité de service
- Conformité
Quels sont les avantages des TI pour le CI?
- Accroître la rapidité, la disponibilité et l’exactitude des informations (calculs complexes, importants volumes d’opérations ou de données, analyse poussée)
- Réduire le risque de contournement des contrôles et accroître la capacité de réaliser une séparation des tâches efficaces
Quels sont les 3 types de logiciels/applications dans l’environnement informatique?
- Logiciels commerciaux peu complexes
- Logiciels commerciaux ou applications informatiques de moyenne envergure et modérément complexes
- Applications informatiques de grande envergure ou complexes (ex : Progiciel de gestion intégrée (PGI))
À quoi pourrait ressembler les 3 objectifs du cube COSO en matières de TI? (objectifs d’exploitation, objectifs de présentation de l’information et objectifs de conformité)
Objectifs d’exploitation :
- Continuité d’exploitation
- Fonctionnement efficient
Objectifs de présentation de l’information :
- Fiabilité, exactitude, validité, intégrité des données
- Information complète, disponible en temps opportun
Objectifs de conformité :
- Sécurité des données
- Respect de la loi (ex : taxes de ventes)
Quelles sont les deux catégories de risques découlant du recours aux TI?
Applications PEU vulnérables
et
Applications vulnérables
Qu’est-ce qu’une E qui n’est pas vulnérable?
C’est qu’elle ne possède AUCUN élément informatique
Quelles sont les caractéristiques des applications PEU vulnérables lorsqu’on utilise les TI?
- Applications autonomes
- Volume de données (opérations) peu important
- Fonctionnalités peu complexes
- Opérations systématiquement étayées par les originaux papier
Plus c’est simple et moins c’est complexe –>Application PEU vulnérables (logiciel commercial)
Exemple : Suite Office, Acomba, logiciel que de base que l’on utilise
Quelles sont les caractéristiques des applications vulnérables lorsqu’on utilise les TI?
Applications avec interfaces
Volume de données (opérations) important
Fonctionnalités complexes, telles que :
- déclenchement automatique d’opérations
- écritures automatisées basées sur un éventail de calculs complexes
Applications vulnérables : Exemple : Application faite sur mesure pour l’E, du PGI
Les systèmes se parlent et que c’est complexe = Vulnérable
Définition des risques découlant du recours aux TI (NCA 315)
Risques associés à un appui inapproprié sur des applications informatiques qui ne traitent pas les données avec exactitude, qui traitent des données inexactes, ou les deux.
Qu’est-ce que ça veut dire lorsque les applications informatiques ne traitent par les données avec exactitude?
Des bonnes données qui une fois rentrent dans le système ne sont pas bien traités
Qu’est-ce que ça veut dire lorsque les applications informatiques traitent des données inexactes?
Mauvaises données qui une fois rentré sont bien traitées dans le système
Donne des exemples de risques découlant du recours aux TI (NCA 315)
- Accès non autorisés ou trop larges
- Modifications non autorisées ou non réalisées
- Interventions manuelles inappropriées
- Perte de données ou incapacité d’accéder aux données
- Protection informatique inadéquate (virus, piratage …)
- Protection physique inadéquate (vol, incendie, sinistre électrique)
- Absence de sauvegarde ou absence de plan de relance
- Mots de passe permanents ou peu sécurisés
- Matériel ou système d’exploitation désuet (absence de mises à jour et de correctifs)
- Implantation ou modification inadéquate
- Formation insuffisance ou inadéquate
- Séparation des fonctions incompatibles (administrateur VS autres fonctions)
- Documentation inadéquate ou inexistante
Qu’est-ce que les contrôles généraux informatiques (CGI)?
Contrôles exercés sur l’ensemble des technologies de l’information de l’entité
Politiques et procédures conçues et mises en place dans le but de procurer l’assurance raisonnable que les systèmes informatiques fonctionnent de manière continue et appropriée
Impact l’ensemble du système pour s’assurer qu’il est bien protégé
Donne des exemples de CGI (NCA 315)
Gestion de l’accès :
- Privilèges d’accès
- Accès direct aux données
- Configuration des systèmes
Gestion des changements :
- Applications, bases de données et logiciels de base
- Conversion des données
Gestion des opérations informatiques :
- Réseau
- Sauvegarde et récupération des données
- Planification des travaux
Sécurité des données :
- Antivirus, pare-feu, cryptage…
Formation des utilisateurs :
- Compétences, formation initiale et continue…
Documentation :
- Politiques et procédures documentées par écrit et diffusées aux employés concernés
Protection physique :
- Postes et lieux verrouillés, surveillance de l’usure, protection incendie…
Qu’est-ce qu’une application informatique (NCA 315)? Aux niveaux des activités de contrôle - Contrôles des applications
Programme ou ensemble de programmes servant au déclenchement, au traitement, à l’enregistrement ou à la communication d’opérations ou d’informations
Définition des contrôles des applications (adapté de ISA 315 et de NCA 315)? Aux niveaux des activités de contrôle - Contrôles des applications
Procédures utilisées pour initier, enregistrer, traiter et signaler des transactions ou d’autres données financières, et qui permettent de répondre directement aux risques liés à l’intégrité des informations (c’est-à-dire l’exhaustivité, l’exactitude et la validité des opérations et des autres informations)
Quelles sont les activités de contrôles pour les applications?
Contrôles d’entrée
Contrôles de traitement
Contrôles de sortie
Qu’est-ce que les contrôles d’entrée? Aux niveaux des activités de contrôle - Contrôles des applications
Contrôles d’édition, tels que :
- Contrôle de raisonnabilité
- Vérification de l’existence
- Vérification des caractères
- Vérification de la portée –> (Mettre un maximum)
Qu’est-ce que les contrôles de traitement? Aux niveaux des activités de contrôle - Contrôles des applications
Contrôles d’exécution à exécution, tels que :
- Totaux de lots de saisie
- Appariement des données (triples rapprochements = Bon de commande + bon de livraison + facture)
- Calculs automatisés
Qu’est-ce que les contrôles de sortie? Aux niveaux des activités de contrôle - Contrôles des applications
Vérification post-traitement, tels que :
- Rapprochement (manuel ou informatisé)
- Inspection visuelle
- Analyse des rapports d’exception –> Alarme qui apparaît pour dire que ça ne fonctionne pas
L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 1. Environnement de contrôle. Que doit-on regarder?
- Nature du système et des applications (commercial VS complexité)
- Attention accordée aux TI par les dirigeants et les RG
- TI relèvent de quel service? Est-ce qu’il y a une personne compétent pour s’occuper des TI?
- CGI :
Gestion d’accès
Gestion des changements
Gestion des opérations informatiques
Autres CGI…
L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 2. Évaluation des risques. Que doit-on regarder?
- On établit des objectifs en lien avec l’exploitation, Information et la Conformité
- Ensuite, on établit une liste des risques possibles aux TI (On ne s’arrête pas qu’aux risques généraux)
- On fait la liste des risques plus poussés
Exemple :
Objectif d’exploitation : Continuité d’exploitation
Risques TI : Désastre naturel
Risques : Protection physique inadéquate, Absence de sauvegarde, Absence de plan de relance
L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 3. Activités de contrôle. Que doit-on regarder?
Est-ce que les activités de contrôle des applications sont adéquates ?
- Contrôles d’entrée
- Contrôles de traitement
- Contrôles de sortie
N’oublions pas qu’une partie des risques est déjà traitée par les CGI (accès, sauvegarde et relance, formation, séparation des FI …).
L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 4. Information et communication. Que doit-on regarder ?
Est-ce que les informations sont bien communiquées ?
Est-ce qu’il y a des formations pour les employés ?
L’incidence des technologies sur le CI, aux niveaux de l’élément de contrôle : 5. Activités de suivi (pilotage). Que doit-on regarder ?
Est-ce qu’il y a des mises à jour?
Est-ce qu’il y a un suivi des échéances ?