You are on page 1of 57

CISA

Acquisition, Conception et
Implantation des Systmes
dInformation
Objectifs
A la fin de cette leon ,vous serez capable de :
Dcrire les projets, programmes, dossiers ou
portefeuille.
Dcrire les processus de gestion de projet
Dcrire les formes dorganisation de projet
Dcrire le cycle de dveloppement des
applications daffaires
Dfinir les termes MPO, EPF,

Ralisation daffaires
Un projet est un effort temporaire dans le but de
crer un produit, un service ou un rsultat
unique.
Le management de projet est lapplication de
connaissances, de comptences, doutils et de
technique aux activits dun projet afin den
satisfaire les exigences.
La ralisation de projet est un compromis entre
des facteurs majeurs comme les cots, la
qualit, la vitesse, la prcision et la fiabilit.
Gestion de dossier et de programme

Un programme est un groupe de projets et de tches


assortis dun calendrier et qui sont troitement lis par
des objectifs communs et des calendriers et stratgies
entrelacs.
Lobjectif de la gestion de programme est lexcution
russie du programme, y compris, entre autres, la
gestion :
De la porte, des finances, des calendriers et des

objectifs et des livrables du programme


Du contexte et de lenvironnement du programme

De la communication et de la culture du programme

De lorganisation du programme
Gestion de dossier et de programme

Un dossier de projets se dfinit comme tous


les projets excuts dans lorganisation un
point prcis dans le temps .

Les objectifs de la gestion du dossier de projets


sont :
Loptimisation des rsultats du dossier de projets
La priorisation et la programmation des projets
La coordination des ressources (internes et externes)
Le transfert de connaissances travers les projets
Plan de mise en uvre
Le plan de mise en uvre fournit linformation dont
lorganisation a besoin pour dcider si un projet doit
aller de lavant.
Le plan de mise en uvre initial drive dune tude
de faisabilit entreprise dans le cadre de la
planification ou du lancement du projet.
Il doit tre suffisamment dtaill et apporter une
justification au dmarrage ou la continuation du
projet.
Cest un lment cl du processus de dcision tout
au long du cycle de vie de tout projet.
Structure de gestion de projet
www.pmi.org: Project Management Body
of Knowledge (PMBoK)

www.prince2.com : Projects in a
Controlled Environment (PRINCE 2)

www.ipma.ch
Aspects gnraux
Un projet est toujours un effort dure limite
Un projet peut tre complexe et impliquer un lment de
risque
Un projet comporte des objectifs, des livrables et des
dates de dbut et de fin spcifiques.
La plupart des projets sont divisibles en phases
explicites
Un projet peut tre peru non seulement comme un
groupe de tches complexes, mais aussi comme un
systme social ou une organisation temporaire.
La gestion de projet comprend des sous-processus
comme le lancement, la planification, la coordination,
lexcution, le contrle, et la clture
Contexte et environnement de
projet
Le contexte du projet prend en compte :
Limportance du projet dans lorganisation

Le rapport entre la stratgie de lorganisation et le

projet
La relation entre le projet et les autres projets

Le rapport entre le projet et la plan de mise en uvre

sous-jacent

Les facteurs denvironnement interne ou externe


influencent la planification du projet dans son ensemble
et la russite du projet.
Formes dorganisation de projet
Influence, Pure, Matricielle
Organisation dinfluence ou
fonctionnelle
Organisation Matricielle
Organisation Pure ou par Projet
Communication et culture de
projet
Selon la taille, la complexit du projet et les personnes
concernes, lors du lancement du processus de gestion
du projet, la communication peut tre ralise par :
Des entretiens particuliers
Des runion de lancements
Des ateliers de dmarrage de projet
Une combinaison des trois
Les cultures et les styles peuvent avoir une forte
influence sur la capacit dun projet atteindre ses
objectifs. Les normes culturelles comprennent une
connaissance commune sur la faon dapprocher la
ralisation du travail, les moyens considrs comme
acceptables pour cette ralisation et les personnes dont
linfluence va la faciliter.
Objectif du projet
Les rsultats attendus dun projet doivent tre
clairement dfinis et de type SMART.
Les objectifs principaux sont directement lis au
succs de lentreprise.
Les objectifs complmentaires ne sont pas lis
aux objectifs principaux du projet, mais peuvent
contribuer sa russite.
Les non-objectifs prcisent la porte et clarifient
les limites du projet.
Rles et responsabilits
Cadres suprieurs
Responsables des utilisateurs
Comit directeur du projet
Responsable du projet
Gestionnaire du projet
Equipe de projet utilisateur
Responsable de la scurit des SI
Assurance qualit

Pratique de gestion de projet
La gestion de projet est la mise en pratique des connaissances, des
habilets, des outils et des techniques appliqus une large
gamme dactivits en vue datteindre un objectif dfini, comme celui
de satisfaire aux exigences dtermines de lutilisateur et de
respecter les chances et le budget.
Budget

Livrables Dure
Pratique de gestion de projet:
Initiation
Le gestionnaire ou le responsable doit recueillir
linformation ncessaire pour obtenir
lapprobation du projet.
Linformation sera souvent utilise comme
rfrence ou charte de projet pour dterminer
les objectifs du projet, les intervenants dans le
systme concevoir ainsi que le gestionnaire et
le responsable du projet.
Le projet devient officiellement autoris lorsque
la charte du projet est approuve.
Pratique de gestion de projet:
Planification
Le gestionnaire de projet doit dterminer :
Les diverses tches qui doivent tre effectues pour
crer le systme dapplication de gestion attendu
La squence ou lordre dexcution des tches
La dure ou la fentre de temps de chaque tche
La priorit de chacune des tches
Les ressources lies aux TI qui sont disponibles ou
ncessaires pour effectuer ces tches
Le budget ou le cot de chacune des tches
Les sources et moyens de financement
Pratique de gestion de projet:
Gestion gnrale
La gestion gnrale de projet se sert de techniques
automatises pour traiter les offres et les
estimations de cots en plus de surveiller les
performance, de faire les prvisions et de prsenter
des rapports tout en proposant des mesures
concrtes.
Documentation : Les outils de documentation automatiss
grent la production, la validation et la mise jour des
documents relatifs aux programmes et aux systmes
Bureautique : La bureautique diminue le travail du
personnel relatif aux fonctions qui doivent tre conformes
aux politiques et effectue des fonctions de communication
et de consignation lors de rencontre du personnel
Pratique de gestion de projet:
Contrle
Gestion de la porte : Se fait travers une structure
de rpartition du produit gnralement dans une
base de donnes de gestion des composantes.
Utilisation des ressources : Processus de dpense
du budget du projet. Pour vrifier si les dpenses
relles correspondent aux dpenses prvues,
lutilisation des ressources doit tre mesure et
rapporte.
Gestion du risque : consiste en cinq tapes
excutes rptition pendant un projet
(Rpertorier les risques, valuer les risques,
attnuer les risques, dcouvrir les risques, rviser et
Pratique de gestion de projet:
Fermeture
Un projet doit avoir une dure de vie limite pour
qu un moment donn il soit ferm et que le
systme, nouveau ou modifi, soit remis aux
utilisateurs ou au personnel de soutien du
systme.
Quelques activits de clture de projet :
Transmission de la documentation

Tenir un registre des leons apprises

Evaluer la qualit du travail, de lquipe et les

liens avec les environnements pertinents


Dveloppement des
applications daffaires
Nouvelle occasion relie un nouveau
processus oprationnel ou un processus
existant
Problme reli un processus
oprationnel existant
Nouvelle occasion permettant
lentreprise de tirer profit de la technologie
Problme avec la technologie actuelle
Modle Vrification et Validation
Exigences de Test
lutilisateur dacceptation

Exigences Test de
fonctionnelles systme

Conception Test
architecturale dintgration

Conception Test unitaire


dtaill

Code
Approche traditionnelle du CDS

3A- 4A-
Conception Dveloppement

1- 2- 5- 6- Post
Faisabilit Exigences Implantation Implantation

3B- 4B-
Slection Configuration
Etude de faisabilit
Dfinir un chancier pour limplantation de la solution
requise
Dterminer une solution de rechange optimale base sur
le risque
Dterminer si un systme existant peut corriger la
situation avec de lgres modifications ou sans
modifications
Dterminer si le produit dun fournisseur propose une
solution au problme
Dterminer le cot approximatif de concevoir le systme
afin de corriger le problme
Dterminer si la solution convient la stratgie de
lentreprise
Dfinition des exigences
Identifier et consulter les partenaires pour dterminer
leurs exigences
Analyser les exigences pour dtecter et corriger les
conflits et dterminer les priorits
Identifier les limites du systme et la faon dont le
systme doit interagir avec son environnement
Convertir les exigences de lutilisateur en exigences de
systme
Enregistrer les exigences fans un format structur
Vrifier que les exigences sont compltes; constantes,
limpides, vrifiables, modifiables, testables et traables
Conception
Elaboration dorganigrammes et de modles entit relation pour
illustrer comment linformation circulera travers le systme
Dfinition de lutilisation des techniques structures de conception
qui montrent diverses relations de haut niveau jusquen dtails
Description des entrants et des sortants telles que la conception des
crans et les rapports
Dfinition des tapes de traitement et des rgles de calculs lors du
traitement des besoins fonctionnels
Dfinition de la conception des fichiers de donnes ou des fichiers
des systmes de bases de donnes
Prparation des spcifications du programme pour les divers types
dexigences ou de critres dinformation dfinis
laboration des plans de tests pour les divers niveaux de test
Elaboration des plans de conversion des donnes pour convertir les
donnes et les procdures manuelles du vieux systme au nouveau
systme
Dveloppement
Codage et rdaction de documents relis au programme
et au systme
Dbogage et test des programmes conus
Conception de programmes visant convertir les
donnes du vieux systme afin quelles puissent tre
utilises dans le nouveau systme
Cration de procdures utilisateurs pour grer la
transition vers le nouveau systme
Formation dutilisateurs slectionns sur le nouveau
systme puisque leur participation sera ncessaire
Assurance que les modifications sont documentes et
appliques convenablement et compltement au
systme
Implantation
Mise en place des structures de soutien
dans lentreprise
Formation des utilisateurs finaux
Conversion des donnes du vieux
systme
Migration des donnes dans le nouveau
systme
Derniers tests dacceptation
Rvision post implmentation
Evaluer la pertinence du systme
Vrifier si le systme respecte les exigences de lutilisateur et les objectifs de
lentreprise
Vrifier si les contrles daccs ont t dfinis et implants convenablement

Evaluer les mesures cots-avantages et du retour sur


investissement prvue
Rdiger les recommandations qui abordent les lacunes
et les insuffisances du systme
Elaborer un plan pour limplantation des
recommandations
Evaluer le processus de projet de conception:
Est-ce que les mthodologies, normes et techniques choisies ont t suivies ?
Est-ce que les techniques de gestion de projet appropries ont t utilises ?
Systme dapplication daffaires
Le commerce lectronique
Lchange de documents informatiss
Le courrier lectronique
Systme dintelligence artificielle
Systme daide la dcision
Gestion de la relation clientle
Autre systmes dapplication daffaires
Commerce Electronique
Modles de commerce lectronique
Relations entreprise client
Relations entreprise entreprise
Relations intra-entreprise
Relations entreprises-gouvernement
Relations clients-gouvernement
Relation dchange
Commerce Electronique
Architecture du commerce lectronique
Langage XML
Modle de composants( COM, EJB)
Environnement (.NET, ONE, JAVA)
Serveur dapplications (BEA, Websphere,
Oracle AS, )
Serveur de bases de donnes (Oracle,
MySQL, SQL Server, )
Commerce Electronique
Risques du commerce lectronique
Confidentialit
Intgrit
Disponibilit
Authentification et non-rpudiation
Transfert de pouvoir aux clients
Commerce Electronique
Audit du commerce lectronique
Des mcanismes et procdures de scurit
Processus didentification
Signatures numriques
Procdures de contrle des changements
Mthode de monitoring des brches de
scurit
Organisation de la confidentialit
Mcanismes de protection des composants
Responsabilit partage et comprise
Programme rgulier daudit
Echange de Documents
Informatiss
Exigences gnrales
Logiciel de base
Systme dapplication
EDI Traditionnel
Gestionnaire de tlcommunication
Interface de dlimiteur de fin de trame
Systme dapplication
EDI sur le Web
Echange de Documents
Informatiss
Risques et contrles dEDI
Autorisation des transactions
Perte de continuit des affaires
Corruption des applications dEDI
Accs non autoris aux transactions
lectroniques
Suppression ou manipulation des transactions
avant ou aprs la mise en place de contrles
applicatifs
Perte ou duplication des transmissions dEDI
Perte de confidentialit et mauvaise distribution
des transactions dEDI
Echange de Documents
Informatiss
Vrification dEDI
Les procds de chiffrement pour Internet
Vrification des transactions errons,
inhabituelles ou invalides
Lutilisation des contrles totaux sur rception
des transactions
Lutilisation des champs de contrle au sein dun
message
Lutilisation des systmes experts
Courrier lectronique
Composantes
Serveur de courrier lectronique
Client de messagerie
Problme de scurit lis au courriel
Failles dans la configuration du serveur
Informations sensibles transmises sans
chiffrement
Virus et autres types de codes malveillants
Exposition lgale suite lenvoie dune
information inapproprie
Systme dintelligence
artificielle
Principes :
La connaissance est acquise et exploite
Les buts sont dtermins et atteints
Linformation est communique
La collaboration est fournie
Les concepts sont forms
Les langages sont dvelopps
Systme dintelligence
artificielle
Domaines dapplication de lIA
Les systmes experts
Les langages naturels et artificiels
Gestion du texte intelligent
Dmonstration de thormes
Raisonnement abstrait
Reconnaissance de formes
Reconnaissance vocale
Rsolution de problmes
Traduction automatique de langue trangres
Systme daide la dcision
Vise rsoudre les problmes moins structurs
et moins bien dfinis auxquels sont confronts
les cadres suprieurs
Combine lutilisation de modles ou de
techniques danalyse aux fonctions daccs et
dextraction conventionnelles des donnes
Met laccent sur la souplesse et ladaptabilit
pour composer avec les changements dans
lenvironnement et lapproche pour la prise de
dcision des utilisateurs.
Gestion de la relation avec la
clientle
Se concentre sur linformation relative aux donnes
transactionnelles, les prfrences, les modles dachat,
lhistorique des contacts, les renseignements
dmographiques et les courants en matire de service
la clientle plutt que les produits.
La gestion oprationnelle vise maximiser lutilit de
lexprience du service la clientle tout en enregistrant
des donnes utiles sur linteraction du client.
La gestion analytique cherche convertir les donnes
que recueille lorganisation sur ses clients et sur ses
interactions avec elle en donnes qui lui permettent de
maximiser lachalandage.
Autres systmes dapplication
daffaires
Systmes de terminaux de point de vente
Banque virtuelle
Finance lectronique
Systme de paiement
Systmes intgrs de fabrication
Transfert lectronique de fonds
Fichiers de clientle intgr
Bureautique
Guichet automatique bancaire
Systmes de traitement coopratifs
Rponse vocale automatique
Audit du dveloppement, de lacquisition et
de la maintenance des systmes
Dterminer les principales composantes, objectifs et
exigences afin didentifier les sections qui requirent des
contrles.
Dterminer et classer les risques
Identifier les contrles permettant dattnuer les risques
et les expositions qui peuvent affecter le systme
Evaluer les contrles disponibles
Rviser la documentation et las livrables
Evaluer les normes et procdures de maintenance du
systme dans le but de sassurer de leur exactitude
Analyser les rsultats des tests
Identifier et tester les contrles existants
Remerciements
Pour IBT ( Institute of Business and Technology)
BP: 15441 Douala - Cameroun
Par Arsne Edmond NGATO, CISA, CISM,
PMP, OCP 10g/11g
Tlphone- 99183886
Email- arsenengato@yahoo.fr
Sources : Manuel de prparation CISA 2012,
4me Edition du PMBoK, Divers articles
tlchargs sur Internet.
Question type examen
Pour aider tester un systme bancaire principal quelle
est sur le point dacheter, une entreprise a fourni au
fournisseur des donnes sensibles de son systme de
production existant. La proccupation PRINCIPALE dun
auditeur des SI serait que les donnes soient:

A. pures.
B. compltes.
C. reprsentatives.
D. actuelles.
Question type examen
Laquelle des mesures suivantes constitue la
MEILLEURE mesure prventive pour attnuer les
risques dcoulant dun ventuel dsastre naturel pour un
systme de TI ?

A. Identifier les menaces naturelles.


B. Choisir un emplacement scuritaire pour les
installations.
C. Garder les systmes critiques et les systmes gnraux
dans des endroits distincts.
D. Mettre jour et entreposer les copies de secours hors
site.
Question type examen
En effectuant un examen de la ringnierie du
processus oprationnel, le vrificateur des SI dcouvre
quun contrle prventif cl a t supprim. Dans cette
situation, le vrificateur des SI doit:

A - informer la direction de sa dcouverte et dterminer si celle-ci est prte


accepter le risque matriel potentiel engendr par cette suppression.
B - dterminer si un contrle de dtection a remplacer un contrle prventif pendant
le processus, et si ce nest pas le cas, signaler la suppression du contrle
prventif.
C recommander que cette procdure et toute les procdures qui existaient avant
que le processus soient remodel fassent partie du nouveau processus.
D dvelopper une approche de vrification continue pour surveiller les effets de la
suppression du contrle prventif.
Question type examen
Au cours de quelle tape suivante de ringnierie du
processus oprationnel lquipe danalyse comparative
doit-elle visiter lorganisation partenaire?

A. Observation
B. Planification
C. Analyse
D. Adaptation
Question type examen
Laquelle des lacunes suivantes serait considre
comme la PLUS srieuse pour un logiciel de planification
des ressources dentreprise (ERP) utilis par un banque
?

A. Les contrles daccs nont pas t passs en revue.


B. La documentation disponible est limite.
C. Des bandes de sauvegarde vieilles de deux ans nont
pas t remplaces.
D. Une copie de secours de la base de donnes est
effectue une fois par jour.
Question type examen
Lorsquil vrifie la phase relative aux exigences de
lacquisition dun logiciel, lauditeur des SI doit:

A. valuer la faisabilit de lchancier du projet.


B. valuer les processus de qualit proposs par le
fournisseur.
C. Sassurer de lacquisition du meilleur progiciel.
D. Rviser lexhaustivit des spcifications
Question type examen
Une entreprise dcide dacqurir un progiciel au lieu de
le concevoir. Dans une telle situation, les phases de
conception et de dveloppement classiques des
systmes seraient remplaces par:

A. les phases de slection et de configuration.


B. les phases de faisabilits et dexigences.
C. les phases dimplantation et de test.
D. rien; aucun remplacement nest ncessaire.
Question type examen
Les spcifications de lutilisateur dfinies pour un projet
ralis par la mthode traditionnelle du cycle de
dveloppement des systmes nont pas t respectes.
Laquelle de ces phases doit examiner lauditeur des SI
pour dcouvrir ce qui a engendr cette situation?

A. Assurance qualit
B. Exigences
C. Dveloppement
D. Formation de lutilisateur
Question type examen
Lors de lintroduction dune architecture client lger,
lequel des risques suivants, en ce qui concerne les
serveurs, est augment de faon significative ?

A. Lintgrit
B. La concurrence
C. La confidentialit
D. La disponibilit
Question type examen
Laquelle des procdures suivantes doit tre implante
pour aider assurer lexhaustivit des transactions
entrantes par lchange de documents informatiss
(EDI)?
A. Totaux de contrle incorpors dans lenregistrement
complmentaire de chaque segment
B. Un journal du nombre de messages reus, vrifi
priodiquement avec lexpditeur de la transaction
C. Une piste daudit lectronique pour la responsabilit
et la poursuite
D. tablir une correspondance entre les accuss de
rception, des transactions reues au journal des
messages dEDI envoys