Etats de l'art
IT Informatique et Technique
Formation L'Audit Informatique

Connaissances préalables pour suivre cette formation Etats de l'art :

• Aucunes

Public de cette formation Etats de l'art :

Objectifs de cette formation Etats de l'art :

• Prenant en compte une législation en évolution constante et basé sur de nombreux exemples pratiques, ce séminaire a un caractère très concret. Il passe en revue toutes les situations d’audit : données personnelles, données clients, sécurité des SI, gouvernance des SI, cloud. Il se base sur les meilleures pratiques des grands cabinets d’audit, les référentiels les plus utilisés, les obligations de conformité (règlementations, directives, lois) pour dresser un panorama complet. Enfin, ce séminaire est aussi un guide de management opérationnel pour se préparer aux situations d’audit



Méthodes pédagogiques de cette formation Etats de l'art :

• La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
• Remise d’une documentation pédagogique papier ou numérique pendant le stage
• 6 à 12 personnes maximum par cours, 1 poste de travail par stagiaire

Formateur de cette formation Etats de l'art :

• Consultant-formateur expert Etats de l'art

Méthodes d'évaluation des acquis de cette formation Etats de l'art :

• Auto-évaluation des acquis par le stagiaire via un questionnaire
• Attestation de fin de stage adressée avec la facture

Contenu détaillé de cette formation L'Audit Informatique :


     L’audit des SI aujourd’hui


     La notion de contrôle dans l’entreprise et son application aux systèmes d’information

    • le concept général d’audit et ses grands principes. La démarche de l’audit. - audit et approche par les risques, notion de garantie « raisonnable »
    • différence entre l’audit, le contrôle interne et l’expertise judiciaire
    • déontologie de l’auditeur, indépendance

     Audit interne ou audit externe

    • exemples d’audits
    • rôle des référentiels (normes ISO, référentiels divers, lois et règlements)
    • dans quelles conditions un audit est-il opposable ? En interne, vis-à-vis de tiers

     L’audit des données


     Les bonnes pratiques observées en matière de données personnelles

    • existence d’une charte de référence pour les utilisateurs
    • processus de contrôle de conformité à la CNIL et aux directives européennes
    • traitement des données clients, le profilage, les données génétiques

     Limites de la surveillance des postes de travail

    • comment concilier domaine privé et domaine de l’entreprise ?
    • peut-on prendre en compte les exigences du droit social ?

     Les méthodes

    • analyses d’impact (EBIOS)
    • gestion des documents d’activité (ISO 30301)
    • aspects judiciaires : les exigences de l’e-discovery

     Les objectifs et points de contrôles

    • le respect des dernières directives européennes et des exigences de la CNIL
    • l’identification des risques associés en cas de non-conformité et les mesures mises en œuvre ; le processus d’archivage / destruction

     Exemples de missions d’audit

    • audit des données clients dans une entreprise e-commerce
    • audit de la politique en matière de postes de travail

     L'audit des projets informatiques


     Les bonnes pratiques

    • existence d’une méthodologie de conduite des projets
    • question cruciale de la maîtrise de la demande des commanditaires
    • importance des tests, notamment des tests utilisateurs
    • contractualisation et pilotage des sous-traitants

     Les objectifs et points de contrôles

    • existence de procédures, de méthodes et de standards
    • évaluation du processus de gestion des demandes
    • intégration de la gestion de projet dans la gestion de portefeuille
    • réduction des risques projet

     Exemples de missions d’audit

    • audit d’un grand projet au moment de la contractualisation
    • audit de la tierce maintenance (TMA)
    • audit d’un projet en cours de développement
    • précontentieux d’un projet de déploiement de progiciel

     L’audit de la DSI


     Audit de la fonction études informatiques sous l’angle de la réalisation de projets

    • mise en place d’outils et de méthodes
    • exemple du référentiel CMMi pour la conduite de projets applicatifs
    • exemple de Prince

     Audit du développement

    • l’évaluation charges/ coûts / délais (points de fonction, etc.)
    • la qualité du code
    • la maîtrise de la gestion des exigences

     Exemples de missions d’audit

    • audit de l’évaluation des charges par rapport aux expressions de besoin
    • audit de la maintenance applicative

     L’état de l’art du domaine de l’informatique de production, les bonnes pratiques

    • clarté de l’organisation, contractualisation avec les tiers
    • existence d’un système d’information dédié à la production
    • mesure de l’efficacité et de la qualité de service de la fonction production

     Exemples d’audit de la production

    • audit de la production par rapport au référentiel ITIL
    • audit du centre d’appels
    • audit des contrats avec les tiers

     L’audit de la gouvernance des systèmes d’information

    • existence d’un système d’indicateurs et de mesures de performance
    • optimisation du balanced scorecard de la DSI
    • référentiel à adopter. Exemple de COBIT

     L’audit de la sécurité des SI


     Quatre notions fondamentales en matière de sécurité

    • la menace
    • le facteur de risque
    • la manifestation du risque
    • la maîtrise du risque

     Les objectifs et points de contrôles des référentiels utilisables pour l’audit de sécurité, ISO 27001/27002, COBIT, OWASP, le référentiel RGS (ANSSI)


     Différences entre Audit et Analyse de Risques

    • méthode EBIOS ou MEHARI
    • méthode COBIT

     Les différents types d’investigation

    • audit technique
    • tests d’intrusion
    • audit de gouvernance

     Les référentiels internes

    • Directives de sécurité, chartes des utilisateurs
    • Règles de séparation des tâches
    • Outils d’administration et de gestion

     Exemples de missions d’audit

    • audit de la sécurité d’infrastructures
    • audit de la sécurité des accès
    • audit de la sécurité applicative

     Audit et cloud computing


     Les bonnes pratiques

    • compréhension des règles applicables vis-à-vis du CSP (cloud service provider)
    • termes du contrat et partage des responsabilités
    • droit à l’audit du CSP et de ses partenaires
    • particularités des règles applicables aux CSP américains

     Les objectifs et points de contrôles

    • alignement entre le contrat du CSP et les obligations de son client
    • existence de procédures de vérification
    • écart entre les obligations légales d’un CSP étranger et celles de son client français

     Exemples de missions d’audit

    • audit du contrat avec le CSP
    • audit du CSP conformément aux dispositions contractuelles
    • audit du pilotage du contrat avec le CSP

     La conduite d’une mission d’audit


     Les référentiels

    • ISO 19011
    • Autres référentiels spécifiques

     Le cadrage

    • lettre de mission, commanditaire, périmètre, méthode
    • référentiel choisi

     L’exécution

    • la collecte des faits, la réalisation des tests, l’importance des vérifications
    • les entretiens avec les audités. Les règles de conduite de l’auditeur

     Le rapport

    • contenu, plan, conseils concernant la rédaction
    • la présentation et la discussion du rapport
    • de l’analyse des écarts par rapport au référentiel aux recommandations


INTER INTRA

Produit : Formation Etats de l'art

Code du stage : SEA121

Durée de la formation : 2 jours

Prix (HT) : 1910 €

PDF
Plan de cours PDF
Bulletin
Bulletin d'inscription
Prochaines sessions
Nous consulter par mail
Tél: 01 71 19 70 30
Autres formations
Haut de page