Cours 4 - Audit Des Systèmes D'info Flashcards
Qu’est ce que l’audit informatique?
L’objectif est de s’assurer que les activités informatiques d’une entreprise ou d’une administration se déroulent conformément aux règles et aux usages professionnels, appelés de manière traditionnelle les bonnes pratiques.
Qu’est ce que l’audit applicatif?
S’assurer de la conformité des applications par rapport aux spécifications métiers et de la cohérence de l’intégration globale.
Qu’est ce que l’audit de sécurité IT?
S’assurer de l’étanchéité du système d’info, de la complétude des règles de sécurité et de la bonne gouvernance des contrôles.
Quels sont les 3 types d’audit des systèmes d’information?
Audit informatique
Audit applicatif
Audit de sécurité IT
Qu’est ce qu’une methode d’audit?
Une méthode d’audit s’apparente à un guide global de sa démarche et exécution.
Une méthode peut regrouper plusieurs processus, fait sur mesures ou adapté d’une autre méthodologie.
Qu’est ce qu’une norme?
Definit les lignes conductrices et les normes adjacentes relatives au champ d’exécution.
Elles représentent un référentiel global des meilleures pratiques.
Elles definissent les seuils limites, les degrés de tolérance et le différents niveaux d’alertes.
Elles détaillent clairement le facteur humain au sein de l’organisation.
Qu’est ce que la méthode Cobit?
Méthode d’audit accessible à tous, dans un language simple. Les outils fournis permettent la mesure des performances mais la méthode est Jd davantage assimilée à une méthode de gouvernance des SI.
Cobit = control objectives for information and technoloy, ISACA.
Qu’est ce qu’une methode Marion?
Méthodologie d’analyse de risques informatiques orientée par niveaux CLUSIF.
Fonctionne par questionnaires débouchant sur 27 indumicateurs repartis en 6 categories. 2 phases (audit de vulnérabilité et analyse de risques) permettent la definition et la mise en oeuvre de plans d’actions personnalisés.
Qu’est ce que la méthode Mehari?
Methode harmonisée d’Analyse de Risque CLUSIF.
Succède à la méthode Marion. S’articule autour de 3 plans. Permet d’apprécier les risques au regard de objectifs business de l’entreprise.
Méthode complète d’évaluation et de management des risques liés à l’information, ses traitements et les ressources mises en oeuvre.
Deployer - Contrôler - Améliorer
Nomme 4 facteurs influençant le choix d’une méthode.
- l’objectif de la méthode
- l’auditabilité de la méthode
- la facilité de mise en oeuvre
- les coûts d’acquisitin, de déploiement et d’entretien
Quels sont les deux étapes de l’analyse des enjeux?
- L’identificstion des dysfonctionnements potentiels
2. L’évaluation de la gravité de ces dysfonctionnements
Qu’est ce que l’analyse de vulnérabilités et quels sont les buts de cette analyse?
Buts;
Corriger les points faibles inacceptables par des plans d’action immediat
Évaluer l’efficacité des mesures mises en place et garsntir leur efficacité
Préparer l’analyse de risque induits par les faiblesses mises en évidence
Se comparer a l’état de l’art ou aux normes en usage
Qu’est ce que l’analyse de risque?
Le risque est l’effet de l’incertitude sur les objectifs
La probabilité qu’une menace ait lieu :
Risque = menaceimpactvulnerabilité
La règle de pareto : 80% des risques informatiques peuvent etre couverts par 20% des investissements nécessaires
Gestion du risque c’est quoi?
Identification des ressources critiques : infos, ress. Matériel et logicielles, le personnel, l’image de la marque.
Determiner et classer les menaces selon leur niveaux.
Qu’est ce qu’un pilotage de sécurité?
Cadre structurant pour définir les objectifs annuels ou les étapes de plan d’action
Indicateurs permettant de comparer les résultats obtenus aux objectifs;
En termes qualitatifs et quantitatifs
En terme de délai
Des références permettant un benchmarking
