You are on page 1of 44

Evaluation des risques

Incidence de lenvironnement informatique sur le risque inhrent

Une matrice est propose afin dapprcier lincidence de lenvironnement informatique sur le risque inhrent. Pour cha

Incidence de lenvironnement informatique sur le risque


inhrent

Stratgie informatique
Stratgie labore par les entits oprationnelles

Sensibilisation de la direction

Satisfaction des besoins utilisateurs

Fonction informatique
Fonction informatique
Organisation informatique

Sparation des tches

Externalisation

Comptences informatiques
Niveau de comptence

Charge de travail

Niveau de rotation

Conception et acquisition des solutions informatiques


Comment sont achetes et dveloppes les solutions informatiques ?

Identification des besoins en nouveaux outils

Organisation de la fonction dveloppement / paramtrage

Procdures de dveloppement et de paramtrage

Comment sont installs et valids les nouveaux systmes


informatiques ?

Tests lors du dmarrage de la nouvelle application ou version

Validation des dveloppements

Niveau de documentation des outils

Gestion du changement

Comment est assure la maintenance du systme dinformation ?

Matrise du systme dinformation

Maintenance externalise

Distribution et support informatique


Quelle est la qualit du support fourni aux utilisateurs ?

Cellule d'assistance (hotline)

Manuel utilisateur et documentations disponibles

Formations informatiques

Comment sont grs les problmes dexploitation quotidiens ?

Suivi des performances du systme

Disponibilit du systme

Fonction exploitation

Historique et surveillances des activits

Comment sont gres les fonctions externalises ?

Procdures de choix des sous-traitants

Sous-traitants correspondant aux besoins de lentreprise

Supervision des activits des sous-traitants

Contenu des contrats de sous-traitance

Gestion de la scurit
Comment sont gres les sauvegardes ?

Procdure de sauvegarde et modalits de sauvegarde

Plan de secours

Comment est dfinie et mise en uvre la scurit logique ?

Gestion des habilitations / profils utilisateurs

Gestion des mots de passe

Utilisation dInternet / messagerie

Antivirus

Sensibilisation des utilisateurs

La scurit physique est-elle satisfaisante ?

Moyens daccs aux locaux

Protection incendie

Protection lectrique

La gestion des projets informatiques


Equipe projet

Dcoupage du projet en phases

Niveau de documentation

Degr dimplication de la direction dans les projets

(1) Limpact dfinitif sur les contrles substantifs est


apprcier en relation avec lvaluation du risque li au
contrle.

r le risque inhrent

nce de lenvironnement informatique sur le risque inhrent. Pour chaque lment, sont prcises lincidence sur la nature et ltendue des contrles su

Constats

Incidence sur le risque

inhrent
M. Ginseng, le directeur informatique de Siban
depuis 5 ans a quitt la socit sans assurer sa
succession.

Risque de perte du contrle de certains processus.

M. Alo, directeur financier, a repris la fonction de


directeur informatique en attendant lembauche
dun spcialiste, mais ne contrle pas encore
tous les processus.

Risque de perte dinformations connues de lancien directeur


informatique.

Le schma directeur informatique date de 5 ans


et le plan dvolution na pas t mis jour alors
que lactivit de la socit est en pleine volution.

Risque de perte de cohrence dans lvolution du systme dinformation


si le plan dvolution nest pas tenu jour.

Le directeur informatique est parti sans laisser


ses documents de travail et le P-DG ne sest
jamais impliqu dans ses travaux.

Le schma directeur, obsolte risque de ne plus tre en adquation avec


les besoins de la socit.

Aucune information sur ce thme.

Le directeur informatique, M. Ginseng et M. Alo


prsent, est seul soccuper de tous les
aspects informatiques de la socit.

Trop de fonctions assures par une mme personne.

Le P-DG, M. Ding Xian, ne supervise pas son


travail par manque de connaissance technique.

Pas de supervision extrieure.

La maintenance et le dveloppement de
lensemble des logiciels de Siban sont
externaliss chez le prestataire Indigo.

Dpendance trop importante vis--vis de la socit dexternalisation.

Cette socit est propritaire des programmes


sources des applications dveloppes

Difficults pour changer de prestataire en cas de mcontentement sur les


prestations fournies ou de faillite du prestataire.

Le nouveau responsable des systmes


dinformation n'a aucune connaissance en
informatique.

Perte de matrise du systme dinformation.

Pas d'information sur ce thme.

Faible niveau de rotation, mais le responsable


informatique vient de quitter la socit.

Perte de matrise du systme dinformation.

Pas d'information sur ce thme.

Le dveloppement est externalis auprs de la


socit Indigo.

Perte de matrise du systme dinformation.

N/A.

matiques

Les modules en phase de test sont accessibles


dans un environnement de production sur tous
les postes.

Risque que des critures de tests soient enregistres dans le systme et


ne soient pas effaces lors du dploiement.

Les dveloppeurs (Indigo) ont accs lenvironnement de production et


peuvent accder lensemble des donnes du systme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

M. Ginseng est parti sans avoir assur la


transition auprs du nouveau responsable.

Risque de perte de matrise du systme dinformation.

La maintenance du systme est externalise


auprs d'une socit qui est propritaire des
programmes sources.

Si la socit Siban souhaite changer de prestataire et faire voluer le


systme, elle rencontrera de grandes difficults car elle ne dtient pas les
programmes sources.

Pas de hot line.

Peu de risque tant donn la taille de l'entreprise.

Pas d'information sur ce thme.

Le personnel du service comptabilit na reu


aucune formation linformatique.

Risques de mauvaise utilisation des applications.

Les intrimaires ne sont pas forms lutilisation


du logiciel comptable.

Risques derreurs, de perte de temps...

Revue rgulire des listings dexploitation et de


contrle.

Non dtection de tentatives dintrusion non autorises.

Des listings de connexion et danomalie existent


mais ils ne sont pas rgulirement revus.

Non dtection de dysfonctionnements dans les interfaces ou dans les


traitements automatiss internes au systme dinformation.

Non dtection de modifications injustifies dans les bases tarifs ou


clients.

Les temps de rponse de l'application de gestion


des stocks sont trs levs.

Perte de temps.

La fonction est assure par le directeur


informatique

Non sparation de fonctions.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Les dlais d'intervention et la qualit des


renseignements fournis par Indigo sont jugs non
satisfaisants par les utilisateurs.

Faible risque de perte de temps.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Procdures de sauvegardes correctes,


cependant les sauvegardes ne sont pas faites en
double et effectues rgulirement.

En cas dincendie ou dgt des eaux dans les locaux de lentreprise, les
sauvegardes peuvent tre perdues sans pouvoir reconstituer les
donnes contenues dans les cassettes.

Risque que les donnes ne puissent tre relues.

La frquence des sauvegardes nest pas assez importante.

Il n'existe pas de plan de secours. De plus, le


contrat de prestation externe avec Indigo ne
prcise pas de dlais dintervention.

Risque dindisponibilit longue du SI en cas dincident.

La prestation de Indigo ne satisfait pas les


utilisateurs.

Risque de difficults dexploitation car la disponibilit du serveur est


importante pour lactivit de la socit.

Pas de politique de gestion de profils au sein des


applications. Lensemble du personnel disposant
dun mot de passe a accs lensemble des
donnes du SI en lecture et modification.

Risque de fraude et derreurs dutilisation (possibilit de modification des


tarifs pour un client donn, puis effacement de la modification).

Confidentialit des donnes non garantie (les intrimaires ayant


galement accs lensemble des donnes).

Les habilitations et mots de passe ne sont plus


suivis depuis deux mois : le mot de passe de M.
Ginseng na pas t dsactiv.

Risque daccs et de modification non autoriss des donnes


confidentielles (risque dautant plus important que le systme
dinformation de Siban contient des donnes sensibles comme les
coordonnes bancaires de la base clients).

Un mot de passe commun est utilis pour les


nouveaux entrants : lidentifiant gal au mot de
passe Siban est trop facile trouver.

Risques de fraude par M. Ginseng : il est parti en dsaccord avec la


direction et connat parfaitement le SI de Siban.

Pas d'information sur ce thme.

Lantivirus est mis jour tous les trois mois.

De nouveaux virus peuvent ne pas tre dtects et infecter le systme


dinformation.

Le personnel reoit des courriels de mise en


garde contre des virus informatiques.

Risque de perte de donnes pour cause de virus.

Un intrimaire a t renvoy pour avoir trop


tlcharg de fichiers.

Une mauvaise utilisation du systme dinformation peut entraner des


pertes de donnes et une indisponibilit du rseau.

Toute personne peut avoir accs aux salles


machines et bureaux en passant par la boutique.

Risque de fraude ou daccs non autoriss des donnes confidentielles


si une personne mal intentionne accde aux locaux informatiques.

De nuit, une alarme et un gardien scurisent les


accs.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

e et ltendue des contrles substantifs mettre en uvre et sur la communication au gouvernement dentreprise.

Recommandations

Impact possible sur les contrles substantifs (1)

Effectuer un tat de lexistant, identifier lensemble des


procdures existantes ou mettre en place.

Mener une rflexion sur une volution cohrente du


systme dinformation.

Crer un nouveau schma directeur avec une


architecture informatique cible.

Dfinir le plan dvolution pour les exercices venir.

Affecter une ressource la fonction informatique ou


externalisation de la fonction dveloppement chez un
prestataire.

Sassurer de la fiabilit de Indigo.

Raliser des tests plus prcis afin de s'assurer de l'absence de


fraudes

Etudier des solutions permettant dassurer la continuit


du systme dinformation en cas de dfaillance
d'Indigo.

Former le directeur informatique.

S'assurer que la socit garde la matrise de ses


systmes dinformation malgr l'utilisation de
prestataires.

Crer un environnement de test spcifique.

Oui

Ne donner aux dveloppeurs que laccs cet


environnement.

M. Alo, qui reprend la gestion informatique, devra se


mettre en relation avec le prestataire Indigo afin de
reprendre en main le systme dinformation.

Ngocier avec la socit prestataire une acquisition


des programmes sources et tre vigilant lors de
l'acquisition ou le dveloppement des futures
applications.

Demander au personnel les formations quil souhaite


suivre.

Organiser des formations de sensibilisation


linformatique et aux applications dont ils ont
lutilisation.

Des formations seront mettre en place pour le


dploiement du nouveau logiciel.

Fixer une procdure de revue et de conservation des


listings de connexions, de contrles et danomalies par
le responsable de lexploitation du systme
dinformation.

Supprimer les rfrences en stock qui ne sont plus


utilises.

Oui

Envisager d'augmenter la capacit de la base de


donnes grant les stocks.

Former une ou plusieurs personnes la fonction


exploitation.

Rengocier le contrat avec Indigo pour obtenir une


amlioration de la qualit de service.

Garder une seconde sauvegarde dans un lieu extrieur


la socit.

Effectuer des tests de relecture sur des cassettes


prises au hasard.

Mettre en place une procdure quotidienne de


sauvegarde automatique des donnes.

Rengocier le contrat de maintenance en prcisant les


dlais maximums dintervention.

Changer de socit de maintenance si les solutions


proposes ne semblent pas satisfaisantes.

Crer des profils selon la fonction occupe au sein de


la socit.

Imposer des mots de passe de plus de 5 caractres, ne


correspondant pas des mots du dictionnaire ou des
prnoms, avec alternance de chiffres et de lettres et
changer rgulirement.

Les mots de passe communs plusieurs utilisateurs


sont viter.

Reprendre la gestion des habilitations et dsactiver les


identifiants des personnes ayant quitt la socit.

Mettre jour lantivirus une fois par semaine.

Rdiger et faire signer lensemble du personnel une


charte de bonne utilisation du SI. Verrouiller les postes
de travail.

Accompagner les visiteurs de leur entre leur sortie


de lentreprise.

Surveiller en permanence les accs aux locaux.

Fermer la porte daccs entre la boutique et les locaux


informatiques.

Communication au gouvernement dentreprise

Oui

Oui

Oui

Oui

Oui

Oui

Fonction des rsultats des tests substantifs mens au final

Oui

Oui

Oui

Des anomalies constates lors des interfaces pourraient mettre en vidence la non exhaustivit des comptes

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui