La sécurité de l’information et les auditeurs internes
Optimisation de l’audit des contrôles TI
1. OPTIMISATION DE L’AUDIT DES CONTRÔLES TI
CARL LALIBERTÉ CPA,CA, CIA, CISA, CISSP
DIRECTEUR PRINCIPAL AUDIT INTERNE, TI
VICE-PRÉSIDENCE AUDIT INTERNE, MOUVEMENT DESJARDINS
22 JANVIER 2014
http://www.isaca-quebec.ca
1
2. DES QUESTIONS CLÉS À SE POSER
Quel niveau de contrôle peut être considéré comme
suffisant pour notre organisation ?
La réponse sous forme d’une autre question :
Quel est le niveau de risque résiduel jugé acceptable par
les administrateurs, la direction et les gestionnaires de
notre organisation ?
2
3. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES
FINS D’OPTIMISATION DE L’AUDIT
•
Appétit pour le risque des administrateurs, de la direction
et des gestionnaires
•
Connaissance des risques majeurs de l’organisation
•
Réalité d’affaires et situation budgétaire de l’organisation
•
Diversité des processus et activités d’affaires et TI
•
Situation économique et budgétaire de l’organisation
•
Connaissance des informations sensibles et applications
critiques
3
4. DES ÉLÉMENTS IMPORTANTS À CONSIDÉRER À DES
FINS D’OPTIMISATION DE L’AUDIT (SUITE)
•
Documentation de la conception, mise en place et
application efficace des contrôles par les gestionnaires
•
Connaissance des risques associés aux projets de
développement majeurs en cours ou à venir
•
Complexité technologique de l’organisation
•
Vigie à l’égard des tendances et besoins émergents en TI
•
Analyse judicieuse des risques TI et sélection des mandats
prioritaires à réaliser par l’audit interne TI
•
Adéquation des ressources pour réaliser les mandats
4
5. CONTENU SOMMAIRE DE LA PRÉSENTATION
Partie 1 :
Groupe Technologies Desjardins (statistiques et vidéos)
Ressources affectées à la planification et réalisation des
mandats en audit interne TI
Univers d’audit des TI (domaines et processus couverts)
Analyse de risques et planification annuelle des mandats
Applications informatiques (CGTI et contrôles applicatifs)
Mandats réalisés en mode suivi de projets
5
6. GROUPE TECHNOLOGIES DESJARDINS (GTD)
Informations générales et statistiques sur GTD :
• L’entité légale qu’est GTD a été créée en 2010 et a
commencé ses opérations le 1er janvier 2011.
• GTD offre, en collaboration avec des impartiteurs majeurs,
des services en TI aux autres entités du Mouvement
(Fédération, DSF, DGAG, CCD, VMD, etc.).
• GTD doit gérer des activités informatiques très diversifiées
et des plates-formes multi-générationnelles, au niveau de
l’infrastructure, des applications et des données.
6
7. GROUPE TECHNOLOGIES DESJARDINS (GTD)
Informations générales et statistiques (suite) :
•
•
•
•
•
•
•
Budget annuel de 900 M$
2 400 employés, plus de 1 600 applications
52 000 postes de travail et plus de 6 500 serveurs
2 600 guichets automatiques, 66 000 TPV
387 millions de transactions aux GA par année
43 000 téléphones et 5 000 km de fibre optique
375 000 jp d’efforts de développement par année, 450 M$
• Présentation d’un court vidéo sur GTD
7
8. ÉVOLUTION DU CONTEXTE DES TI ET DE GTD
2009 – 2012
«Jeter les bases»
Priorités
•
•
•
Optimisation de l’exploitation
Rehaussement de la sécurité TI
Création de Groupe
Technologies Desjardins (GTD)
Nature des projets
•
Spécifiques aux secteurs
d’affaires et fonctions de
soutien Mouvement
2013 – 2016
«Maximiser la valeur»
Priorités
•
•
Modernisation des
infrastructures technologiques
Évolution du développement et
de la maintenance applicative
Nature des projets
•
•
Spécifiques aux secteurs
d’affaires et fonctions de
soutien Mouvement
Transversaux à l’échelle du
Mouvement
8
9. RESSOURCES AFFECTÉES À LA PLANIFICATION ET
RÉALISATION DES MANDATS EN AI TI
La DPAITI compte au total 10 ressources professionnelles
disposant :
• de formations et titres professionnels diversifiés
• d’une connaissance étendue de GTD et du Mouvement
• de compétences variées et complémentaires en TI
• de connaissances avancées en audit interne
• de procédures conformes aux normes professionnelles
• d’outils informatisés utilisés à des fins multiples
9
10. UNIVERS D’AUDIT DES TI
Notre univers d’audit des TI se compose essentiellement de :
• 46 macro-processus composés de sous processus et d’activités et
répartis dans 5 grands domaines
• Plus de 1 600 applications supportant un grand nombre de besoins
d’affaires différents
• Une multitude de projets de développement informatique aux niveaux
TI et Affaires représentant plus de 450 M$ sur base annuelle
10
11. UNIVERS D’AUDIT DES TI
Nous avons divisé les activités TI en 46 macro-processus
répartis dans 5 domaines :
Gouvernance :
Planification stratégique TI
Gestion des risques
Gestion des projets
Gestion des investissements et de la valeur des TI
Mesure de la performance et maturité des processus
Gestion de la conformité et des contrôles TI
Gestion des ressources humaines
11
12. UNIVERS D’AUDIT DES TI (SUITE)
Architecture :
Architecture d’infrastructure
Architecture des données
Architecture des solutions d’affaires
Architecture d’entreprise et orientations technologiques
Acquisition, développement et support des systèmes :
Identification des besoins et estimations ressources
Développement des solutions d’affaires
Acquisition et gestion des solutions d’affaires
Acquisition et gestion des systèmes impartis
Tests et certification des systèmes
Gestion de changements
Gestion des librairies et codes sources
12
13. UNIVERS D’AUDIT DES TI (SUITE)
Exploitation et Infrastructure :
Gestion des mise en production et déploiement des solutions d’affaires
Exploitation et développement des serveurs
Exploitation et développement des réseaux (incluant VoIP)
Gestion des systèmes d’exploitation
Gestion des postes de travail et des périphériques
Gestion des applications bureautiques
Exploitation des bases de données
Exploitation des unités de stockage
Gestion des incidents et des problèmes
Gestion des centres d’assistance technologique
Gestion de la performance et de la capacité des systèmes
13
14. UNIVERS D’AUDIT DES TI (SUITE)
Exploitation et Infrastructure (suite) :
Gestion des niveaux de services
Processus de sauvegarde et archivage des données
Gestion de l’impartition et des partenariats d’affaires
Gestion des configurations
Gestion des licences
Sécurité et Contrôles TI :
Encadrement de la sécurité de l’information
Gestion des identités et des accès logiques aux données et applications
Gestion des accès logiques aux environnements (Windows, UNIX…)
Sécurité des réseaux (inclus le réseau VoIP)
Gestion des vulnérabilités et correctifs de sécurité
14
15. UNIVERS D’AUDIT DES TI (SUITE)
Sécurité et Contrôles TI (suite) :
Gestion des incidents de sécurité
Sécurité physique de l’infrastructure TI
Sécurité des applications E-commerce
Gestion des clés cryptographiques
Sécurité des bases de données
Plan de relèves des technologiques de l’Information
Surveillance et évaluation des contrôles TI
15
16. ANALYSE DE RISQUES ET PLANIFICATION ANNUELLE
Stratégie adoptée :
Lors de l’exercice de planification annuelle, les risques
inhérents et résiduels de chaque processus sont évalués selon
des critères qualitatifs et quantitatifs (top down, bottom-up).
Les résultats de cette analyse permettent d’identifier les
processus dont les sous-processus ou activités plus à risque
(élevés ou modérés-élevés) seront audités dans le cadre de nos
mandats en fonction de notre capacité de réalisation.
Il importe de procéder à une évaluation objective des risques
inhérents et résiduels et de bien documenter la démarche de
sélection de nos mandats prioritaires.
16
17. APPLICATIONS INFORMATIQUES
Contexte
Plus de 1 600 applications informatiques au Mouvement
Desjardins
Les propriétaires de ces applications sont généralement dans
les secteurs d’affaires
Applications auditées
Applications identifiées pour les besoins relatifs à Bâle
Applications identifiées pour les besoins de la vérification et de
l’inspection en mode centralisé (réseau des caisses)
Applications identifiées par les 3 autres DP de la VPAIMD
17
18. APPLICATIONS INFORMATIQUES (SUITE)
Approche :
Contrôles généraux TI : Contrôles communs à un ensemble
d’applications. Ils ont pour objectif de veiller au développement et à la
mise en œuvre appropriés des applications, à l’intégrité des fichiers de
programmes et de données ainsi que des opérations informatiques.
Exemples :
Sauvegardes
Gestion des changements
Accès logiques aux infrastructures et aux données
Sécurité physique des centres de traitement
Opérations informatiques
Gestion des vulnérabilités
Pour l’année 2013, plusieurs CGTI sont couverts via une approche transversale
18
19. APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Objectifs
Audit des CGTI
Couvrir les besoins d’audit des services et
processus TI gérés par le groupe GTD de
Desjardins à travers un mandat unique.
Offrir par le biais d’un rapport unique, une
opinion indépendante et objective sur
l’état des contrôles généraux TI (CGTI)
appliqués à l’infrastructure TI exploitée
par le groupe GTD de Desjardins.
Mouvement Desjardins
CGTI Impartis
3416 IBM & Bell
(Réalisé par l’Audit
externe – PwC &
Deloitte)
CGTI non impartis
Audit des
processus et
services TI
(Réalisé par l’Audit
Interne du
Mouvement
Desjardins)
19
20. APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Avantages
Réduction du nombre de rapports d’audit TI
Optimisation des interactions avec les différents secteurs TI de
Desjardins
Simplification de la prise en charge des recommandations.
Amélioration de la reddition auprès des audités et de la CVI.
20
22. APPLICATIONS INFORMATIQUES (SUITE)
Approche d’audit des CGTI préconisée pour 2013 et 2014
Fréquence des activités : couverture en 2 phases des 12 mois de l’année.
Phase 1
• Couverture des 5 premiers mois de l’année:
janvier - mai
Phase 2
• Couverture des mois de juin – décembre
22
23. APPLICATIONS INFORMATIQUES (SUITE)
Contrôles applicatifs : Contrôles spécifiques à chaque application. Leur
objectif est de veiller à l’exhaustivité et à l’exactitude des données
enregistrées ainsi qu’à la validité de chaque entrée enregistrée après
traitement par le programme.
Types de contrôles applicatifs:
Les contrôles des données en entrée (ex. vraisemblance de la donnée saisie)
Les contrôles sur le traitement (ex. considération des plafonds de crédit des clients
dans le traitement des bons de commande)
Les contrôles des données en sortie (ex. comparaison des résultats escomptés aux
résultats en sortie)
Les contrôles d’intégrité (ex. droits d’accès aux fichiers maîtres)
La piste de contrôle de gestion (ex. pistes d’audit)
Lors des audits TI, les contrôles applicatifs sont audités à haut niveau.
Note: La fiabilité des contrôles applicatifs repose sur la fiabilité des contrôles
généraux.
23
24. APPLICATIONS INFORMATIQUES (SUITE)
Extrait du GTAG #8 de l’IIA portant sur l’Audit des contrôles
applicatifs:
«Chaque auditeur interne doit connaître les risques et les
contrôles liés à l’informatique et être à même de déterminer
si les contrôles applicatifs mis en œuvre sont conçus et
fonctionnent correctement pour gérer les risques financiers,
opérationnels et liés au respect de la réglementation. »
24
25. MANDATS EN MODE SUIVIS DE PROJETS
Lors de l’exercice de planification annuelle de nos
mandats, les projets TI d’envergure sont identifiés et
priorisés.
La DPAITI peut aussi collaborer avec les 3 autres DP
de la VPAIMD au suivi de projets « Affaires » dotés
d’un volet TI significatif.
25
26. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Qu’est-ce qu’un projet et la gestion de projet ?
Un projet consiste essentiellement à la mise en commun, pendant
une période de temps prédéterminée, des ressources humaines,
financières, technologiques et matérielles en vue de réaliser un
objectif commun, de répondre à des besoins d’affaires spécifiques et
de réaliser des bénéfices escomptés.
La gestion de projet, quant à elle, est l’ensemble des mécanismes de
coordination, planification, réalisation, suivi et reddition de compte
requis pour permettre l’atteinte de la finalité du projet.
26
27. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Principales méthodologies :
PMBOK 4e et 5e édition du Project Management Institute
(PMI)
Norme ISO 21 500 (automne 2012)
Prince 2 (Projects in Controlled Environments)
IPMA (International Project Management Association)
CMMI du Software Engineering Institute (SEI)
27
29. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
PMBOK 5e édition : (publié en décembre 2012)
Comprend 15 groupe de processus et 47 processus
au total :
•
•
•
•
•
Initiation -conception (Initiating – 2 processus)
Planification (Planning – 24 processus)
Exécution (Executing – 8 processus)
Suivi et contrôle (Monitoring and controlling – 11
processus)
Finalisation (Closing – 2 processus)
29
30. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Facteurs clés du succès :
Définition claire de l’objectif et de la portée du projet, de la cible commune à
atteindre
Soutien de la direction et structure de gouvernance efficace
Compréhension des rôles et responsabilités des divers intervenants
Bonne analyse des risques au départ et suivi constant de leur évolution
Ressources humaines compétentes aptes à assumer leurs responsabilités
(surtout pour le chargé de projet)
Ressources financières, matérielles et technologiques adéquates
Budget établi avec prudence et réalisme et suivi avec rigueur
Maîtrise de la complexité du projet par le chargé de projet et son équipe
30
31. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Facteurs clés du succès (suite) :
Gestion documentaire complète et bien structurée
Implication des représentants des secteurs d’affaires du début à la fin
Stratégie d’essais adéquate par rapport au projet et à ses enjeux
Prise en compte des enjeux en sécurité de l’information (OWASP)
Gestion des demandes de changement et des points en suspend
Communication efficace entre les ressources humaines impliquées
Suivi de gestion rigoureux basé sur des indicateurs de gestion pertinents
Reddition de comptes régulière, fiable et transparente
Réalisation d’un bilan de projet à des fins d’amélioration continue
31
32. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Principales lacunes observées :
Analyse de risques incomplète et/ou mal suivie en cours de projet
Dépassement des coûts (budget mal évalué au départ et/ou mauvaise gestion
durant le projet)
Non respect de l’échéancier prévu pour les livraisons et le projet
Qualité des livrables inadéquate et gestion du projet déficiente
Non atteinte de l’ensemble des besoins d’affaires et bénéfices escomptés
identifiés au départ
Suivi de gestion non suffisamment rigoureux
Mauvaise gouvernance et reddition de compte incomplète ou inadéquate
Manque de compétences du chargé de projet et de son équipe
32
33. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Approches possibles : mode conseil vs audit
Deux possibilités d’intervention pour l’auditeur interne par
rapport à la gestion du projet et à son suivi :
Mode Conseil : (approche comportant divers enjeux)
•
•
•
•
Jouer un rôle aviseur auprès des intervenants du projet au niveau des livrables et de
l’identification des contrôles applicatifs
Attention à l’indépendance : qui ne dit rien consent
Confusion quant au rôle de l’auditeur interne en mode conseil : les gens ont tendance à
demander une forme d’approbation de l’auditeur interne notamment à l’égard des
livrables produits
Difficulté en matière de reddition de compte à la haute direction et au comité d’audit;
les responsables du projet recherchent davantage un rapport conseil avec des pistes
d’amélioration proposées
33
34. MANDATS EN MODE SUIVIS DE PROJETS (SUITE)
Mode Audit : (approche comportant divers enjeux)
•
•
•
•
•
Rôle de l’auditeur interne plus clair pour tous les intervenants dans le projet, la haute
direction et le comité d’audit
L’indépendance de l’auditeur interne est préservée
Redditions de comptes trimestrielles sur les enjeux et les préoccupations soulevées par
l’auditeur interne et leur prise en charge ou non par les responsables du projet
Pas de formulation de recommandations: on établit plutôt d’un rapport d’étape à
l’autre un suivi évolutif et comparatif des enjeux et de nos préoccupations et on réagit
via nos constatations s’il y a un désaccord avec l’équipe de projet quant à la prise en
charge de certains risques
Production d’un dernier rapport d’étape à la fin du projet qui résume nos interventions
dans le suivi du projet (bilan)
34
35. APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE
• Lors de la phase de planification de chaque mandat, un questionnaire
doit être complété par les auditeurs internes dans le but d’évaluer
l’environnement de contrôle informatique
• Ce questionnaire est un outil fort utile, spécialement pour les
auditeurs internes qui ne possèdent pas de connaissances étendues
en TI et il assure une plus grande uniformité et efficience dans la
réalisation de nos divers mandats
• Le contenu de ce questionnaire est présenté de façon sommaire dans
les prochaines pages
35
36. APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE
Éléments à prendre en considération lors de l’évaluation :
Applications utilisées par l'équipe pour réaliser ce processus et
niveau de dépendance au système.
Type de données manipulées par ces applications (ex. : données
financières alimentant les états financiers, données personnelles des
membres ou clients, informations de gestion).
Criticité de ces données et des applications elles-mêmes.
Volume des opérations effectuées avec les applications :
• Nombre de transactions/opérations,
• Montant des transactions,
• Nombre et type d’utilisateurs : membres, clients, employés, fournisseurs, etc.
36
37. APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)
•
•
•
Niveau de satisfaction global par rapport à ces applications.
Niveau de satisfaction par rapport aux besoins d’affaires.
Fiabilité des applications :
Incidents majeurs récents,
Pannes par le passé,
Anomalies : pertes de données, fermeture intempestive, etc.
Performance de ces applications (temps de réponse acceptable ou
pas).
Impact sur les activités d’une interruption des applications (majeur,
moyen, faible; en termes financiers, commerciaux, réglementaires ou
autres).
Niveaux de service établis avec les équipes TI.
37
38. APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)
Relève nécessaire.
Âge de ces applications.
Changements importants survenus sur ces applications au
cours des dernières années.
Responsable du développement et de la maintenance de ces
applications (TI, secteur d'affaires, fournisseur externe).
Importance du budget alloué à la maintenance de ces
applications.
Accompagnement disponible sur le plan de la sécurité
informatique.
Incidents de sécurité liés à ces applications.
38
39. APPRÉCIATION DE L’ENVIRONNEMENT DE
CONTRÔLE INFORMATIQUE (SUITE)
Gestion des accès à ces applications :
• Gérée par le secteur audité ou les TI,
• Processus administratif formel,
• Profils types correspondant aux différents postes dans votre
équipe ou clonage des accès d’un employé déjà en poste,
• Révision des accès à une fréquence déterminée.
Contrôles opérationnels permettant de compenser
d’éventuelles faiblesses des applications.
Préoccupations concernant ces applications.
39
40. CONTENU SOMMAIRE DE LA PRÉSENTATION
Partie 2:
Schéma sur les 3 lignes de défenses
Responsabilités:
• des gestionnaires (1re ligne)
• des fonctions de contrôle (2e ligne)
• de l’audit interne (3e ligne)
Complémentarité des interventions des diverses parties
Conclusion de la présentation et période de discussion
40
41. LES 3 LIGNES DE DÉFENSE
Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41
41
42. 1RE LIGNE DE DÉFENSE : LA GESTION
•
Les gestionnaires TI sont le premiers responsables de la
conception, mise en place et application efficace des
contrôles liés à la réalisation des activités dont ils sont
imputables (niveaux stratégique, tactique et opérationnel)
•
Ces contrôles doivent être documentés afin d’assurer une
continuité de leur application en cas de modification à la
structure organisationnelle ou de changement au niveau
des ressources en place
42
43. 2E LIGNE DE DÉFENSE : FONCTIONS DE CONTRÔLE
•
Les fonctions de contrôles sont là pour assister les
gestionnaires en ce qui a trait à la conception, mise en
place et application efficace des contrôles requis en lien
avec les activités dont ils sont imputables.
•
Au sein du Mouvement Desjardins, ces fonctions se
retrouvent essentiellement en Gouvernance financière TI
et au sein de la Direction principale Risques et Conformité
de GTD. Leurs activités sont également assujetties aux
interventions menées par l’Audit interne.
43
44. 3E LIGNE DE DÉFENSE : AUDIT INTERNE
•
L’audit interne, à titre de fonction de surveillance
indépendante, agit comme troisième ligne de défense au
sein de l’organisation.
•
Par les interventions qu’elle réalise sur la base de son
analyse de risques, la DPAI TI s’assure que la gestion ainsi
que les fonctions de contrôle assument adéquatement
leurs responsabilités respectives en matière de gestion
des risques et des contrôles.
•
Elle fait rapport au CV quant aux résultats de ses travaux.
44
45. COMPLÉMENTARITÉ ET COORDINATION DES
INTERVENTIONS ENTRE LES PARTIES
Afin d’assurer une plus grande efficience dans la réalisation de leurs travaux respectifs et
d’éviter une duplication d’efforts et une trop grande sollicitation des gestionnaires des
secteurs TI, des mécanismes de coordination sont nécessaires entre les 3 lignes de défenses.
Cela se concrétise notamment via l’existence d’un comité de coordination, d’échanges sur les
plans annuels et de rencontres au début de chacun des mandats.
Un tel comité existe chez Desjardins et il est animé par un gestionnaire de la direction
principale Risques et Conformité (DPRC) de GTD. Ce comité se réunit aux 2 semaines et
regroupe des représentants de l’Audit Interne, de l’Audit externe, de la Gouvernance
financière TI et de la Gestion des risques.
45
46. RÔLE, RESPONSABILITÉS ET ACTIVITÉS DE LA DPRC
•
LA DPRC, en plus d’assurer l’animation du comité mentionné à la page précédente,
assume en tant que fonction de contrôle de 2e ligne un rôle et des responsabilités de
coordination clés au sein de GTD.
•
Elle s’assure notamment que l’ensemble des activités de contrôle et d’audit (2e et 3e
lignes) sont réalisées de façon efficace et efficiente. Elle vise aussi à accompagner et
supporter les gestionnaires de 1re ligne, qui sont les premiers répondants imputables en
matière de gestion des risques et des contrôles TI.
•
Les pages suivantes présentent un peu plus en détail les principales activités de la DPRC
en matière de conformité et de gestion des risques et des contrôles TI.
46
50. EXIGENCES DE LA CONFORMITÉ
Les secteurs des TI
sont sujets
annuellement à
plusieurs
exigences qui se
traduisent dans
différentes
activités
Vérification
OCRCVM
Vérification
des processus TI
dans le cadre de la
vérification des
états financiers
Autoévaluations
Bâle II
Exigences
Travaux
de la gouvernance
financière (52-109)
Autoévaluations
VISA, INTERAC
MasterCard, et PCI
Mandats
de vérification
interne
50
52. LE CADRE DE GESTION DES RISQUES
TECHNOLOGIQUES
• Permet d’établir les bases et les composantes de la
démarche de gestion, soit la :
• gouvernance;
• l’évaluation du risque, et;
• la réponse au risque.
• S’intègre dans la démarche globale du Mouvement
(le risque technologique étant considéré comme une
sous-catégorie du risque opérationnel)
• Aligné avec les politiques existantes au Mouvement
(les politiques sont listées en annexe)
• Basé sur le modèle Risk-IT de l’ISACA et tient compte
des exigences de l’AMF en matière de gestion des
risques technologiques
52
53. QUATRE COMPOSANTES DU CADRE DE GRT
• État des expositions et
opportunités de risques TI
• Évaluation de l’efficacité
des contrôles pour
atténuer les risques
• Plan de traitement ou
stratégie d’atténuation
• Plans d’action
• Rôles et responsabilités en GRT
• Vigie sur les principes directeurs
du Bureau de Chef de la gestion
des risques
• Processus de gouvernance
• Univers des risques
technologiques
• Vigie et surveillance sur les
risques technologiques
• Analyse des risques
technologiques
• Registre de risques inhérents (TI)
• État des expositions et
opportunités de risques TI
• Évaluation de l’efficacité
des contrôles pour
atténuer les risques
• Plan de traitement ou
stratégie d’atténuation
• Plans d’action
53
54. LES RISQUES TECHNOLOGIQUES SONT CONSIDÉRÉS COMME UN
SOUS-ENSEMBLE DES RISQUES OPÉRATIONNELS
Catégories de
risques Mouvement
Catégories de
risques opérationnels
Catégories de
risques technologiques
Le risque technologique est considéré comme un sousensemble du risque opérationnel.
54
55. L’UNIVERS DES RISQUES TECHNOLOGIQUES
L’Univers des risques technologiques est un pilier du volet de
gouvernance des risques technologiques.
Il vise à :
Circonscrire la portée des
activités de gestion des
risques technologiques;
Faciliter l’identification
initiale des risques
inhérents importants et
pertinents pour
l’organisation;
Soutenir la consolidation
des risques ainsi que la
reddition de compte.
L’univers des risques technologiques a fait l’objet d’une revue par les vérificateurs externes
(PWC) et par l’audit interne
55
57. CADRE DE CONTRÔLES TI :
DÉMARCHE D’ÉLABORATION
Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un
dénominateur commun l’ensemble des exigences :
52-109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers
CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de
gestion des TI
ISO 27002 : norme des meilleures pratiques des domaines de sécurité de
l’information, tels :
La gestion des accès
La gestion des incidents
Le plan de continuité
La sécurité physique et environnementale
La gestion de l‘exploitation et des télécommunications
L’acquisition, développement et maintenance des systèmes d’information
57
58. APPROCHE DU CADRE DE CONTRÔLES
MULTI-CONFORMITÉ
Avant
Chevauchement
L’approche traditionnelle qui traite les « exceptions » engendre de
nombreux programmes de conformité distincts qui font en sorte que
la gestion des exigences selon plusieurs règlementation n’est pas
uniforme ni efficace
1500 contrôles
Après
Harmonisation
Une intégration permettant de réduire les coûts, la complexité et la
charge de travail liés aux efforts de conformité est nécessaire; de
grandes économies de coûts peuvent être réalisées lorsque le
chevauchement est évité et qu’une définition commune des
exigences est appliquée
286 contrôles Desjardins!
58
59. ÉLÉMENTS DU CADRE DE CONTRÔLES TI
Cadre de contrôles TI Desjardins
Pratiques de contrôle
Cadre de référence
Cadre de référence
Cadre de référence
Cadre de référence
Pratiques de contrôle
Contrôle
Objectifs
de contrôle
Pratiques de contrôle
Pratiques de contrôle
Contrôle
Contrôle
Pratiques de contrôle
Pratiques de contrôle
Pratiques de contrôle
Pratiques de contrôle
59
61. OBJECTIF DU PROGRAMME DE CONFORMITÉ
Coordonner et optimiser les travaux des auditeurs / évaluateurs
Chevauchement
1 Contrôle (ex. : gestion des changements)
GF
Test
Audit
interne
Audit externe
Test
QSA
PCI
Test
Test
Audit
Monétique
Test
DPRC
Bâle
Test
Potentiel de 6 tests pour un contrôle !
Harmonisation
1 Contrôle (ex. : gestion des changements)
Unité x
Test
Réutilisation des travaux par les
autres évaluateurs / auditeurs
GF
Audit interne
Audit externe
QSA
PCI
Audit
Monétique
DPRC
Bâle
61
62. PLAN DE MISE EN ŒUVRE DU PROGRAMME
DE CONFORMITÉ
62
63. NOTRE RECETTE
Vision multi
conformité
500 gr de Vision «multi conformité»
250 gr de Cadre de références sélectionné (p.ex. CobIT )
500 gr «Mapper» les exigences au cadre de contrôle sélectionné
200 gr de Lien entre le cadre de contrôle et les risques technologiques
500 gr de Implantation d’un outil de gestion de risque et conformité
Une pincée de « Gros bon sens»
63
64. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE
En résumé, l’optimisation des interventions d’audit des
contrôles TI passe principalement par :
Une bonne connaissance de l’organisation, de sa réalité d’affaires et de son
appétit pour le risque.
Une bonne évaluation des risques majeurs et des contrôles clés conçus et
appliqués par les gestionnaires.
Une capacité de l’audit interne à effectuer annuellement, de façon efficace et
efficiente, ses mandats jugés prioritaires (adéquation des ressources).
Une coordination et une réalisation efficace et efficiente des interventions et
activités menées par les différentes lignes de défense, compte tenu de leurs
responsabilités respectives .
64
65. CONCLUSION DE LA PRÉSENTATION ET ÉCHANGE
Merci !
Période de questions et d’échanges
65