o igref 2008 – tous dr assises de la sécurité 2009 · 4 o its réservés la juste place du...

43
1 oits réservés Cigref 2008 – Tous dro Assises de la Sécurité 2009 © Copyright C Assises de la Sécurité 2009 Le Contrôle Interne du Système d’Information des Organisations Organisations Ré i Dl t gis Delayat SCOR, DSI Groupe Administrateur du Cigref PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE 7 octobre 2009

Upload: duongdung

Post on 12-Sep-2018

213 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

1

oits

rése

rvés

Cig

ref 2

008

–To

us d

ro

Assises de la Sécurité 2009

© C

opyr

ight

C Assises de la Sécurité 2009

Le Contrôle Interne du Système d’Information des

OrganisationsOrganisations

Ré i D l tRégis DelayatSCOR, DSI Groupe

Administrateur du Cigref

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

7 octobre 2009

Page 2: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

2

oits

rése

rvés Agenda

Cig

ref 2

008

–To

us d

ro

Crise financière : faillite du contrôle

© C

opyr

ight

C

interne et des systèmes d’information ?Des risques accrus pour l’entrepriseq p pLes SI au cœur des risques d’entrepriseL’initiative conjointe Cigref/Ifaci pourL initiative conjointe Cigref/Ifaci pour renforcer le contrôle interne du système d’information

Le contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSIIllustrations SCORIllustrations SCOR

Conclusion

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 3: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

3

oits

rése

rvés

Crise financière : faillite du contrôle interne Crise financière : faillite du contrôle interne et des systèmes d’information ? (verbatim)et des systèmes d’information ? (verbatim)

Cig

ref 2

008

–To

us d

ro

«« Les failles du contrôle interne portent indéniablement leur part de responsabilité dans Les failles du contrôle interne portent indéniablement leur part de responsabilité dans la crise actuellela crise actuelle »»

«« Le contrôle interne que l’on pensait bien installé au sein des établissementsLe contrôle interne que l’on pensait bien installé au sein des établissements

© C

opyr

ight

C «« Le contrôle interne, que l on pensait bien installé au sein des établissements Le contrôle interne, que l on pensait bien installé au sein des établissements bancaires, a montré au cours de la période récente des signes de grande faiblessebancaires, a montré au cours de la période récente des signes de grande faiblesse »»

«« La crise a révélé des insuffisances dans les systèmes de gestion du risque et de La crise a révélé des insuffisances dans les systèmes de gestion du risque et de gouvernance d’entreprisegouvernance d’entreprise »»g pg p

«« C’est la culture du contrôle et de la prudence qu’il paraît urgent d’approfondir au sein C’est la culture du contrôle et de la prudence qu’il paraît urgent d’approfondir au sein des établissements bancaires et financiersdes établissements bancaires et financiers »»

T d t ôl t l t ôl t l i d éd l l ié à lT d t ôl t l t ôl t l i d éd l l ié à l«« Trop de contrôle tue le contrôle : un trop plein de procédures pousse les salariés à les Trop de contrôle tue le contrôle : un trop plein de procédures pousse les salariés à les contournercontourner »»

«« Loin de jouer le rôle qu’on attendait d’eux, les systèmes d’information ont amplifié la Loin de jouer le rôle qu’on attendait d’eux, les systèmes d’information ont amplifié la crise financièrecrise financière »»crise financièrecrise financière »»

«« Le SI aurait dû tirer la sonnette d’alarme et édicter des solutions prédictives prêtes à Le SI aurait dû tirer la sonnette d’alarme et édicter des solutions prédictives prêtes à être déployéesêtre déployées »»

«« On ne peut s’empêcher de s’interroger sur les causes de l’incapacité des systèmes On ne peut s’empêcher de s’interroger sur les causes de l’incapacité des systèmes informatiques à détecter, prévenir et alerter les acteurs sur les risques encourusinformatiques à détecter, prévenir et alerter les acteurs sur les risques encourus »»

«« L’informatisation est la cause matérielle de la crise financière. A l’origine se trouve en L’informatisation est la cause matérielle de la crise financière. A l’origine se trouve en ff t t i l’i dé ti d t t d ’ff t t i l’i dé ti d t t d ’

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

effet une autre crise, l’inadéquation de nos comportements au monde nouveau qu’a effet une autre crise, l’inadéquation de nos comportements au monde nouveau qu’a ouvert l’informatisationouvert l’informatisation »»

Page 4: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

4

oits

rése

rvés

La juste place du contrôle interne et des La juste place du contrôle interne et des systèmes d’information…(verbatim)systèmes d’information…(verbatim)

Cig

ref 2

008

–To

us d

ro

«« Les radars économiques ne fonctionnent plus, place aux intuitifs, aux détecteurs de Les radars économiques ne fonctionnent plus, place aux intuitifs, aux détecteurs de signaux faibles et transdisciplinairessignaux faibles et transdisciplinaires »»

© C

opyr

ight

C «« Les procédures de validation n’ont pas fonctionné car elles sont organisées Les procédures de validation n’ont pas fonctionné car elles sont organisées verticalement, en silos étanchesverticalement, en silos étanches »»

«« Le pilotage de l’entreprise et l’analyse des risques se sont cantonnés à une batterie Le pilotage de l’entreprise et l’analyse des risques se sont cantonnés à une batterie de mesures prises isolément les unes des autresde mesures prises isolément les unes des autres »»de mesures prises isolément les unes des autresde mesures prises isolément les unes des autres »»

«« Pour certains experts, la crise est derrière nous, pour d’autres le pire est à venir. La Pour certains experts, la crise est derrière nous, pour d’autres le pire est à venir. La réalité, c’est que personne n’y comprend rienréalité, c’est que personne n’y comprend rien »»

“Notre compréhension du monde s’érode, le lien entre ce qui se passe aujourd’hui et “Notre compréhension du monde s’érode, le lien entre ce qui se passe aujourd’hui et ce qui est à venir est de plus en plus nébuleux”ce qui est à venir est de plus en plus nébuleux”

“L’économique, science de la masse, basée sur les statistiques et le calcul du “L’économique, science de la masse, basée sur les statistiques et le calcul du q qq qnombre, n’est plus en mesure de penser le monde ! Ses règles sont quantitatives ; nombre, n’est plus en mesure de penser le monde ! Ses règles sont quantitatives ; elles reposent sur des projections linéaires qui ne tiennent pas compte des aléas elles reposent sur des projections linéaires qui ne tiennent pas compte des aléas alors que l’on est entré dans un monde de l’inédit.”alors que l’on est entré dans un monde de l’inédit.”

«« Si responsabilité de l’informatique il y a elle réside dans le manque deSi responsabilité de l’informatique il y a elle réside dans le manque de«« Si responsabilité de l informatique il y a, elle réside dans le manque de Si responsabilité de l informatique il y a, elle réside dans le manque de discernement de ses utilisateursdiscernement de ses utilisateurs »»

«« Quand les réseaux suppriment la distance, quand on peut lancer d’un simple clic Quand les réseaux suppriment la distance, quand on peut lancer d’un simple clic toute une cascade d’opérations, la simplicité de la procédure masque la complexité toute une cascade d’opérations, la simplicité de la procédure masque la complexité

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

p , p p q pp , p p q pdes chosesdes choses »»

Page 5: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

5

oits

rése

rvés

Un univers des risques en expansion et Un univers des risques en expansion et en mutationen mutation

Cig

ref 2

008

–To

us d

ro

Des anciens risques plus présents et plus lourds que jamais

© C

opyr

ight

C

Des nouveaux risques qui se multiplient

Des risques de plus en plus complexes et de moins en moins contrôlablescontrôlables

Des risques aux conséquences plus « durables » voire « irréversibles » (changement climatique)

Des risques «moins visibles » et plus insidieux (terrorisme, virus informatiques)

Des risques globalisés (crise financière criminalité pillageDes risques «globalisés» (crise financière, criminalité, pillage économique)

Des risques dont nous n’avons aucune expérience (grippe A)

Une perception aggravée des risques, un sentiment croissant de vulnérabilité

Une aversion accrue au risque

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Une aversion accrue au risque

Page 6: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

6

oits

rése

rvés

L’entreprise est devenue la grande L’entreprise est devenue la grande gestionnaire des risquesgestionnaire des risques

Cig

ref 2

008

–To

us d

ro

La remise en cause des protections traditionnelles

gg©

Cop

yrig

ht C

L’entreprise « responsable de tout devant tous »Une responsabilité au-delà des frontières de l’entreprise (salariés, li t f i ti i i t é é ticlients, fournisseurs, actionnaires, environnement, générations

futures)Une responsabilité de plus en plus étendue (contenu, rétroactivité, globalisation)Une responsabilité de plus en plus sanctionnée (principe de précaution, sanctions pécunières, pénales et réputationnelles, multiplication des contrôles externes)

La nouvelle gestion des risques dans l’entreprise, le « risk management » global et intégrémanagement » global et intégréL’entreprise de plus en plus dépendante de ses systèmes d’information

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 7: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

7

oits

rése

rvés

Les SI au cœur des risques d’entrepriseLes SI au cœur des risques d’entrepriseC

igre

f 200

8 –

Tous

dro

© C

opyr

ight

C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Source: The Economist Intelligence Unit survey, 2008

Page 8: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

8

oits

rése

rvés

Les SI au cœur des risques d’entrepriseLes SI au cœur des risques d’entrepriseC

igre

f 200

8 –

Tous

dro

Des cyber-attaques de plus en plus sophistiquées et ouvertes au plus grand nombre !

© C

opyr

ight

C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Source : PricewaterhouseCoopers2008 Global State of Information Security Study

Page 9: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

9

oits

rése

rvés

Les SI au cœur des risques d’entrepriseLes SI au cœur des risques d’entrepriseC

igre

f 200

8 –

Tous

dro

Rôle primordial des systèmes d’information dans la vie de l’entreprise

© C

opyr

ight

C l entrepriseRisques majeurs liés aux systèmes d’informations dans l’entrepriseLa protection des systèmes d’information est devenu un enjeu majeur de la politique des risques de l’entreprise

Un enjeu de concurrence décisifUn enjeu de concurrence décisifDes coûts de protection croissants

Le contrôle des risques d’entreprise repose aussi de plus en plus sur des systèmes d’information efficients

Le contrôle des risques suppose l’accumulation d’informationsd informationsLa maîtrise des risques repose sur l’efficience des systèmes d’information

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 10: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

10

oits

rése

rvés Agenda

Cig

ref 2

008

–To

us d

ro

Crise financière : faillite du contrôle

© C

opyr

ight

C

interne et des systèmes d’information ?Des risques accrus pour l’entrepriseq p pLes SI au cœur des risques d’entrepriseL’initiative conjointe Cigref/Ifaci pourL initiative conjointe Cigref/Ifaci pour renforcer le contrôle interne du système d’information

Le contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSIIllustrations SCORIllustrations SCOR

Conclusion

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 11: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

11

oits

rése

rvés

Contrôle Interne : du Cadre de Référence Contrôle Interne : du Cadre de Référence AMF au Guide Opérationnel Cigref/IfaciAMF au Guide Opérationnel Cigref/Ifaci

Cig

ref 2

008

–To

us d

ro

gg

Cadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du

© C

opyr

ight

C

Cadre de Référence AMF Charte Cigref/IfaciSI : Guide opérationnel Cigref/Ifaci

2007Janvier

2007Octobre

2009Mars

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 12: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

12

oits

rése

rvés Objectifs de l’étude CIGREF/IFACIObjectifs de l’étude CIGREF/IFACI

Cig

ref 2

008

–To

us d

ro

S ibili l Di t Gé é Di t d

© C

opyr

ight

C Sensibiliser les Directeurs Généraux, Directeurs des Systèmes d’Information, Directeurs Audit et Contrôle, Directeurs Métiers, Consultants, etc…

Enrichir la dimension SI du cadre AMF et mieux le relier aux référentiels existants

Elaborer un guide d’application relatif au contrôle interne des systèmes d’information, incluant des listes de bonnes pratiquespratiques

Aider les fonctions SI et Audit à mieux collaborer pour renforcer l’efficacité du contrôle interne de l’entrepriserenforcer l efficacité du contrôle interne de l entreprise

Avoir une approche sélective et réaliste des risques

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 13: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

13

oits

rése

rvés Les 5 principes du contrôle interneLes 5 principes du contrôle interne

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

1. Le management doit instaurer une culture et une dynamique du contrôle

2. Le contrôle interne doit être intégré dans les processus de l’entreprise

3. Les systèmes d’information jouent un rôle clé, ils sont à la fois objet et instrument du contrôle interne

4. Le principe de proportionnalité et granularité doit s’appliquer

5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôledispositif de contrôle

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 14: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

14

oits

rése

rvés

Le contrôle interne du système d’information : Le contrôle interne du système d’information : deux parties distinctes et complémentairesdeux parties distinctes et complémentaires

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 15: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

15

oits

rése

rvés Typologie des points de contrôleTypologie des points de contrôle

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Source: CobiT®

Page 16: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

16

oits

rése

rvés Les acteurs du risque (RACI)Les acteurs du risque (RACI)

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 17: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

17

oits

rése

rvés Chaîne de valeur de l’entrepriseChaîne de valeur de l’entreprise

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 18: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

18

oits

rése

rvés Les processus de l’entrepriseLes processus de l’entreprise

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 19: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

19

oits

rése

rvés

Les processus de l’entreprise…et le Les processus de l’entreprise…et le Système d’InformationSystème d’Information

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 20: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

20

oits

rése

rvés Les risques de l’entrepriseLes risques de l’entreprise

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 21: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

21

oits

rése

rvés

Démarche des travaux sur le contrôle interne du Démarche des travaux sur le contrôle interne du système d’information de l’entreprisesystème d’information de l’entreprise

Cig

ref 2

008

–To

us d

ro

Une approche par les processus et par les risques

© C

opyr

ight

C Une approche par les processus et par les risques

Pour chaque processus, identification des étapes, des acteurs, d i d ôl à i é dé l i ddes risques, et des contrôles à intégrer dés la conception de l’application

Une illustration sur trois processus communs à un grand nombre d’entreprises : Achats, Ventes et Consolidation Financière

Un rapprochement avec le Cadre de Référence AMF

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 22: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

22

oits

rése

rvés Le guide d’application AMFLe guide d’application AMF

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

Processus

Points de contrôle AMF

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 23: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

23

oits

rése

rvés Les travaux Cigref/IfaciLes travaux Cigref/Ifaci

Cig

ref 2

008

–To

us d

ro

AMF

© C

opyr

ight

C

Cigref/Ifaci

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 24: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

24

oits

rése

rvés Exemple : Processus AchatsExemple : Processus Achats

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 25: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

25

oits

rése

rvés L’intégration des contrôles lors du L’intégration des contrôles lors du

développement des applicationsdéveloppement des applicationsC

igre

f 200

8 –

Tous

dro développement des applicationsdéveloppement des applications

Business Goal and Objectives

© C

opyr

ight

C

Step 1 Step 2 Step 3 Step 4RiskRisk RiskRisk RiskRisk

Step 5RiskRisk

Value

Integrating

Business Process ControlBusiness

Process Control Application

control

Business Process Control

Application control

Business Process Control

Application control

g gApplication Controls

into Software Development/ Acquisition

Application A Application B

AI1 Id tif R l t C t l Obj tiIT Environment

Plan and Organize

Acquire and Implement

Deliver and Support

AI1

AI2

AI3

AI4

Identify Relevant Control Objectives

Design Application Control

D t C t l d T i U

Source: CobiT® and Application Controls

Monitor and Evaluate

Deliver and SupportAI4

AI7

Document Controls and Train Users

Test and approve application controls

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 26: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

26

oits

rése

rvés Agenda

Cig

ref 2

008

–To

us d

ro

Crise financière : faillite du contrôle

© C

opyr

ight

C

interne et des systèmes d’information ?Des risques accrus pour l’entrepriseq p pLes SI au cœur des risques d’entrepriseL’initiative conjointe Cigref/Ifaci pourL initiative conjointe Cigref/Ifaci pour renforcer le contrôle interne du système d’information

Le contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSIIllustrations SCORIllustrations SCOR

Conclusion

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 27: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

27

oits

rése

rvés Le contrôle interne de la DSI : RéférentielsLe contrôle interne de la DSI : Référentiels

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 28: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

28

oits

rése

rvés

COBIT, la référence du contrôle COBIT, la référence du contrôle interne de la DSIinterne de la DSI

Cig

ref 2

008

–To

us d

ro interne de la DSIinterne de la DSIBUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES

© C

opyr

ight

C

INFORMATION

C O B I TF R A M E W O R KME1 Monitor and evaluate IT

performance.ME2 Monitor and evaluate internal

PO1 Define a strategic IT plan.PO2 Define the information

architectureEfficiency

MONITOR

EffectivenessConfidentiality

Integrity

AvailabilityCompliance

control.ME3 Ensure compliance with

external requirements.ME4 Provide IT governance.

architecture.PO3 Determine technological

direction.PO4 Define the IT processes,

organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims PLAN

Reliability

ANDEVALUATE

ITRESOURCESDS1 Define and manage service

levels.DS2 Manage third-party services.DS3 Manage performance and

gand direction.

PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

ANDORGANISE

ApplicationsInformation

InfrastructurePeople

DELIVER AND

ACQUIRE

DS3 Manage performance and capacity.

DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and

AI1 Identify automated solutions.AI2 Acquire and maintain application

software.AI3 Acquire and maintain technologyAND

SUPPORTAND

IMPLEMENT

DS8 Manage service desk and incidents.

DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical

environment.

AI3 Acquire and maintain technology infrastructure.

AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and

changes.

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

DS13 Manage operations.changes.

Source: Cobit Introductory presentation

Page 29: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

29

oits

rése

rvés DémarcheDémarche

Cig

ref 2

008

–To

us d

ro

Principes

© C

opyr

ight

C PrincipesUtiliser les référentiels existants, et notamment COBIT

Sélectionner quelques processus clés : gestion des compétences deSélectionner quelques processus clés : gestion des compétences, de la sous-traitance, des changements, des accès, des projets, des incidents

Produire un livrable concret, utile à la DSI et à l’audit interne

Pour chacun des 6 processus choisisIdentification des risques et points de contrôle associés

Proposition de bonnes pratiques issues de l’expérience et du savoir-faire des rédacteursfaire des rédacteurs

Libre adaptation spécifique au contexte de chaque entreprise

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 30: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

30

oits

rése

rvés

Exemple : Projet et Développement, & Exemple : Projet et Développement, & Maintenance et Gestion du changementMaintenance et Gestion du changement

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 31: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

31

oits

rése

rvés Etude Cigref/Ifaci : synthèseEtude Cigref/Ifaci : synthèse

Cig

ref 2

008

–To

us d

ro

Contrôle Interne de l’Entreprise

Livrable Périmètre

© C

opyr

ight

C

Contrôle Interne du SI

Contrôle Interne de l Entreprise

• Démarche

P d l’ t i

Métiers IT (COBIT) • Cartographie processus

Processus de l’entreprise

AchatsCompétences

Projets• Processus

Ventes

Maintenance &Changements

Incidents

Processus• Etapes• Acteurs/RACI• Flow-chart• Risques

Consolidation

Sécurité logique& Accès

Sous-traitance

Risques• Exemples de contrôles• Bonnes pratiques

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 32: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

32

oits

rése

rvés Agenda

Cig

ref 2

008

–To

us d

ro

Crise financière : faillite du contrôle

© C

opyr

ight

C

interne et des systèmes d’information ?Des risques accrus pour l’entrepriseq p pLes SI au cœur des risques d’entrepriseL’initiative conjointe Cigref/Ifaci pourL initiative conjointe Cigref/Ifaci pour renforcer le contrôle interne du système d’information

Le contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSIIllustrations SCORIllustrations SCOR

Conclusion

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 33: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

33

oits

rése

rvés La DSI partie intégrante du dispositif ERM La DSI partie intégrante du dispositif ERM

de SCORde SCORC

igre

f 200

8 –

Tous

dro

de SCORde SCOR

ERM

Board of Directors

© C

opyr

ight

C

ComexRisk CommitteeERM- Defines major risks to mitigate- Gives guidelines to mitigate major risks(Information classification and ownership, business contihuity)- Identify regulatory obligations

Internal control- Coordinates internal control process- Reports internal control systems to Risk

RiskManagement

I t l

y g y g- Approves IIT Security Policy- Reports Risk Management to Risk committee and Comex.

- Reports internal control systems to Risk committee and Comex.- Approves IT Internal Control Framework

HR

LegalGRMInternal

ControlHR

- Publish user charter (rights & duties)

Legal- Identify legal obligaions

RMRMRM

AuditIT

Governance & Security

BusinessP&C Life Finance

IT Security & Internal ControlIdentify IT risks

IT Audit-Audit IT internal control

RMRM

Audit

IT

IT

Security

External

- Identify IT risks- Defines Security Policy, IT Control framework, Guidelines, procedures in line with ERM guidelines- Defines Action plan- Monitor & evaluate

and IT processes effectiveness

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

IT Audits - Reports to CIO and ERM

Page 34: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

34

oits

rése

rvés

La DSI partie intégrante du dispositif ERM La DSI partie intégrante du dispositif ERM de SCORde SCOR

Cig

ref 2

008

–To

us d

ro©

Cop

yrig

ht C

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 35: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

35

oits

rése

rvés SCOR IT SCOR IT GovernanceGovernance

Cig

ref 2

008

–To

us d

ro

IT PROCESSES

© C

opyr

ight

C

Plan & Organize Acquire & Implement

Deliver & Support

Monitor & Evaluate

IT PROCESSES

IT RISKS

Y O N T I O

N

S C E S Y E C E Loss of key people

Ineffective Management

Wrong IT strategic choices

T R

A T

E G

Y

N I

S A

T I O

A N

C I

A L

M U

N I

C A

T

T R

I S

K S

O J

E C

T S

N T

E N

A N

C

E R

A T

I O

N

E C

U R

I T

Y

N T

I N

U I

T

M P

L I

A N

C

F O

R M

A N

Project failure

Loss of data

Unauthorised data disclosure / change

Application failure

S T

O R

G A

F I N

C O

M M IT

P R

M A

I N

O P

E S E

C O

N

C O

M

P E

R F Loss of data

IT Continuity failure

Security breaches

Third Party failure

Legal inadequacy

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 36: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

36

oits

rése

rvés SCOR IT Governance

Cig

ref 2

008

–To

us d

ro

IT PROCESSES

© C

opyr

ight

C

Plan & Organize Acquire & Implement Deliver & Support Monitor & Evaluate

OPERATION- Incident & Problems Mngt

STRATEGY- Business alignment

COMPLIANCE- Tax- Data Mngt

- Configuration Mngt- Monitoring & Job Scheduling- Datacenter Mngt- Third Parties Mngt

PROJECTS-Methodology-Management

- Architecture (Funct. & Tech.)- Project Plan

ORGANISATION- IS Orgchart

PERFORMANCEMAINTENANCE- Methodology- Management

Tax - Reinsurance - Financial Market- Rating Agencies- Data Privacy- Litigation

S E C U R I T Y- Policy & Action Plan- Logical/Physical Access Mngt- Vulnerability Mngt

IS Orgchart- Sourcing Policy- IS job classification- Committees

FINANCIALBudget Vulnerability Mngt

- Antivirus & Malware Mngt- Network, Firewall & Encryption- Development Guidelines

- Acceptance- Environments- Rollout

- Budget- Procurements

COMMUNICATION- Channel (ITribune, Portal)

• IT Internal Control• IT Audit

CONTINUIT Y- Disaster Recovery Plan

RolloutIT RISKS- Framework- Risk Assessment- Risk Response

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 37: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

37

oits

rése

rvés SCOR IT SCOR IT GovernanceGovernance

Cig

ref 2

008

–To

us d

ro

Acquire & Deliver & Monitor &

IT PROCESSES

© C

opyr

ight

C Plan & Organize Acquire & Implement

Y O N T I O

N

C E S Y

Deliver & Support

Monitor & Evaluate

E C E

IT RISKS

Loss of key peopleIneffective Management

Wrong IT strategic choices

T R

A T

E G

Y

N I

S A

T I O

A N

C I

A L

M U

N I

C A

T

O J

E C

T S

N T

E N

A N

C

R A

T I

O N

C U

R I

T Y

N T

I N

U I

T Y

M P

L I

A N

C

O R

M A

N C

Project failure

Loss of dataUnauthorised data disclosure / change

Application failure

Loss of key peopleT

RIS

KS

S T

O R

G A

F I N

A

C O

M M

P R

O

M A

I N

O P

E

S E

C O

N

C O

M

P E

R F Loss of data

IT Continuity failureSecurity breaches

Third Party failureLegal inadequacy

IT

KEY IT CONTROLS

IT Projects/MaintenanceSoftware Development and Change Management life cycle Guidelines

IT OperationsData is backed-up & restoration tested

IT SecurityIT Security policy exist, is communicated and applied

Legal inadequacy

Management life cycle Guidelines exist, are communicated and applied.New Development or changes are authorized, tested and approvedNew development or changes are monitoredSegregation of incompatible duties exists

Scheduled processing is monitoredIT incidents and problems are resolved timely

ppGeneral Security Settings are adequate Authentication settings are appropriateAccess to privileged IT functions are managedAccess to system resources and utilities are managed. Authorization and granting are appropriatePhysical Access to computer hardware is managed

IT Continuity

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

incompatible duties exists Physical Access to computer hardware is managedLogical access process is monitoredSegregation of incompatibles duties exists

Disaster Recovery Plan is tested

Page 38: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

38

oits

rése

rvés

Illustration sur l’alignement stratégique et Illustration sur l’alignement stratégique et le pilotage des projetsle pilotage des projets

Cig

ref 2

008

–To

us d

ro

La stratégie IT :

© C

opyr

ight

C

Est partie intégrante de la stratégie d’entrepriseEst révisée régulièrement en fonction de l’évolution desEst révisée régulièrement en fonction de l évolution des besoins des métiersSe décline en projets dont la présentation et l’arbitrage occupent l’essentiel des discussions budgétairesoccupent l’essentiel des discussions budgétairesEst encadrée par les ressources mobilisablesPrend en compte les risques associés aux fonctions automatiséesTient compte des contraintes réglementairesS’appuie sur une formalisation de politiques, processus,S appuie sur une formalisation de politiques, processus, procédures, etc…

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 39: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

39

oits

rése

rvés La gestion du portefeuille de projetsLa gestion du portefeuille de projets

Cig

ref 2

008

–To

us d

ro

Budget DSIStratégie d’entreprise

© C

opyr

ight

C Stratégie IT

OpérationsDemandeDemandeDemandes

Métiers

Coût

Arb

ApplicationApplication

ProjetsValeur Créée

bitrages

ppApplication

V0

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

Page 40: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

40

oits

rése

rvés

Illustration sur les risques ITIllustration sur les risques ITC

igre

f 200

8 –

Tous

dro

qq

• Integrate the management of IT risks into the overall enterprise risk management of the organization

Objective: The Risk IT framework explains IT risks and enables to :

© C

opyr

ight

C

g g p g g• Make well-informed decisions about the extent of the risk, risk appetite and risk tolerance of the enterprise• Understand how to respond to the risk

3 sub-processes:• IT Risk Governance

AnalyseCollect Maintain

Establish & maintainA common Risk View

Integrate with ERM

Make Risk AwareBusiness Decisions

• IT Risk Evaluation

• IT Risk Response ManageRisks

ArticulateRisks

React toEvents

AnalyseRisks

CollectData

Maintain Risk Profile

IT Ri kIT Controls

IT RisksIT Risks framework existsAnnual IT Risks Report is communicated to CRO and head of Internal Control

IT l

mitigate

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

IT valuegenerate

Page 41: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

41

oits

rése

rvés

Illustration sur les risques de vulnérabilitéIllustration sur les risques de vulnérabilitéC

igre

f 200

8 –

Tous

dro

qqObjective: Test and monitor the IT security implementation in a proactive way to reaccredit IT Security in a timely manner and to ensure that the approved enterprise information security baseline is

© C

opyr

ight

C that the approved enterprise information security baseline is maintained. Logging and monitoring function enable early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed.

M it bRiskRisk

Di t ib tRiskRisk

IT Process

A lt dRiskRisk RiskRisk

Tenable Security Center

Monitor by Automated

Vulnerabilityscans

Create a System Inventory

IT Asset isprotected

DistributeVulnerabilityRemediation

Control Control (2) Control (3,4)

Assess results andPrioritize

Vulnerabilityremediation

Testremediation

Control

VerifyRemediation

Key IT Controls

IT Risks

mitigate

- Security breaches - Unauthorised data disclosure/change -- Application failure - IT Continuity Failure

Source

Vulnerabilities are monitored, assessed, tested and remediated

y• Undetected security breaches• Lack of information for performing counterattacks• Missing classification of security breaches

• Proactive security incident detection

IT Value

e: Cobit -C

ontrol pr

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

generate • Proactive security incident detection• Reporting of security breaches at a defined and documented level• Identified ways of communication for security incidents

ractice

Page 42: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

42

oits

rése

rvés ConclusionConclusion

Cig

ref 2

008

–To

us d

ro

L’univers des risques est en expansion et en mutation. Il crée un sentiment diffus de vulnérabilité qui induit une demande de protection

© C

opyr

ight

C accrue

L’entreprise est devenue la grande gestionnaire des risques, responsable de tout devant tous. Et, la liste de ses responsabilités p , ps’accroît chaque jour

Cette responsabilité de l’entreprise constitue un défi auquel elle a répondu en développant des stratégies sophistiquées de « riskrépondu en développant des stratégies sophistiquées de « risk management »

La protection et l’optimisation des systèmes d’information sont de fait d d élé t lé d i k t d l’ t idevenus des éléments clés du « risk management » de l’entreprise

Les systèmes d’information sont au cœur de la gestion des risques, comme source de risque et comme moyen de maîtrise des risquesq y q

Le contrôle interne du système d’information est clé, et doit porter à la fois sur les processus DSI et sur les processus métiers dont l’efficacité dépend des contrôles applicatifs définis dés la conception

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

dépend des contrôles applicatifs définis dés la conception

Page 43: o igref 2008 – Tous dr Assises de la Sécurité 2009 · 4 o its réservés La juste place du contrôle interne et des systèmes d’information…(verbatim) C igref 2008 – Tous

43

oits

rése

rvés

Cig

ref 2

008

–To

us d

ro

Assises de la Sécurité 2009

© C

opyr

ight

C Assises de la Sécurité 2009

Le Contrôle Interne du Système d’Information des

OrganisationsOrganisations

7 octobre 2009

PROMOUVOIR L’USAGE DES SYSTEMES D’INFORMATION COMME FACTEUR DE CREATION DE VALEUR ET SOURCE D’INNOVATION POUR L’ENTREPRISE

7 octobre 2009