questionnaire sys comp

8/19/2019 Questionnaire sYs Comp

1/20

/ PDA

Audit « ……………. »

Visa Nom Date

Rédigé par Approuvé par

Personnes concernées Fonction P C A I *

* pour P résent, C ontrôle, pour Action, pour I nformation

Objet du questionnaire (ou de l’entretien) : Organisation, sécurité et fiailité du s!st"med#information comptale et financier $générale et au%iliaire&.

'()*+O-* O( -O- O*)RA+O-*

I - Organisation générale du système d’information (SI)

)%iste0t0il une cartograp1ie $liste& des * utilisés ausein de l#entité 2

Dans l#affirmative, produire cette cartograp1ie

Dans le cas contraire, faire étalir la liste des

principales applicat ions part icipant 3 la gestion

comptale et financi"re $cf. taleau en anne%e&.

'uelles sont les principales applications « métier » 2

4erci de renseigner les deu% taleau% en fin de

5uestionnaire

ndi5ue6 les principales fonctionnalités de ces

applications « métier ».

0 7 0


2/20

'()*+O-* O( -O- O*)RA+O-*

'uelle application informati5ue de gestion

comptale votre étalissement utilise0t0il 2

Précise6 sa date de développement / ac5uisition

ainsi 5ue la date de mise en service de sesdifférentes versions.

II - Gestion du servie informatique

(n organigramme fonctionnel a0t0il été élaoré pour

le service informati5ue de l#étalissement 2

'uand a0t0il été actualisé pour la derni"re fois 2

!emettre e doument au" auditeurs #

l’ouverture de l’audit$

8omment sont articulées les activités 9

• d#anal!se

• de développement

• d#intégration

• d#e%ploitation

• d#assistance au% utilisateurs

• de sécurité informati5ue

)%iste0t0il une fonction de gestion du s!st"me

d#information dédiée au pilotage du s!st"med#information et 3 la gestion prévisionnelle des

pro:ets et des ressources 2

otre étalissement dispose0t0il notamment d#un

comité de pilotage informati5ue 2

8ertaines fonctions du s!st"me d#information ont0

elles été e%ternalisées2

0 ; 0


3/20


4/20

'()*+O-* O( -O- O*)RA+O-*

'uand 2 Année 9

'uelle a été la durée de cette formation 2

Depuis 5uand les utilisateurs actuels travaillent0ils

sur les différentes applications 2

Année 9

)%priment0ils le esoin d#une formation

complémentaire 2


5/20

'()*+O-* O( -O- O*)RA+O-*

1- Analyse des risques et politi que globale de protection du système d’information

Ave60vous procédé 3 une anal!se des ris5ues liés au

déploiement du s!st"me d#information dans votre

étalissement 2

8ette anal!se a0t0elle été formalisée 2



Au terme de cette anal!se, ave60vous défini une poli ti5ue de gestion des ris5ues liés 3 l#e%ploi tation

du s!st"me d#information

8ette politi5ue a0t0elle été formalisée dans un

document de référence mis 3 la disposition des personnels concernés 2



8ette politi5ue de gestion des ris5ues liés au

s!st"me d#information a0t0elle amené la Direction

de votre étalissement 3 décider de la mise en uvre

de procédures et dispositifs permanents portant sur les domaines suivants 9

• protection du patr imoine et des acti fs

informationnels

• conformités au% lois et r"glements en vigueur

• prévention e t détection des fraudes

Précise6 votre réponse.

2. Sécurité logique (identification et authentification des utilisateurs

a !olitique générale

)%iste0t0il une politi5ue de sécurité logi5ue

formalisée permettant la mise en uvre de r"gles de

sécurité communes et 1omog"nes entre les

différentes entités utilisatrices du s!st"me

d#information de l#étalissement 2



8e document a0t0il été diffusé 3 l#ensemle des

utilisateurs du s!st"me d#information 2


6/20

'()*+O-* O( -O- O*)RA+O-*

d#information 2

*elon 5uelle périodicité 2

'ui est c1argé de cette tCc1e 2

*elon 5uelle procédure sont alors traitées les

proposit ions d#amélioration 2

De fa>on plus générale, 5u#est0ce 5ui, selon vous,

contriue 3 la 5ualité du dispositif actuel de sécurité

logi5ue 2


'u#est0ce 5ui, 3 l#inverse, constitue une failessedans le dispositif actuel de sécurité logi5ue 2


'uelles sont selon vous les mesures 3 prendre pour

renforcer ce dispositif 2

b Autorisation d’accès au système d’information " identification des utilisateurs

)%iste0t0il un s!st"me didentification de c1a5ue

utilisateur 9

• Pour l#acc"s au réseau local de l#étalissement

• Pour l#acc"s au réseau nternet

• Pour l#acc"s au% applications en télégestion

• Pour l#acc"s au% applications, données et

programmes stocEés sur la stat ion de travail de

l#utilisateur

• Pour l#acc"s au s!st"me d#e%ploitation et au%

données sensiles des ases / du s!st"me

0 F 0


7/20

'()*+O-* O( -O- O*)RA+O-*


'ui attriue et définit les crit"res d#identification 2

$code utilisateur& 9

- le c1ef de service ou son ad:oint 2

- un agent du service informati5ue 2

- l#intéressé lui0mGme 2


8/20

'()*+O-* O( -O- O*)RA+O-*

ant des fonctions 3 titre

temporaire


9/20

'()*+O-* O( -O- O*)RA+O-*

• Pour l#acc"s au réseau nternet

• Pour l#acc"s au% applications en télégestion

• Pour l#acc"s au% applications, données et

programmes stocEés sur la station de travail del#utilisateur

• Pour l#acc"s au s!st"me d#e%ploitation et au%

données sensiles des ases / du s!st"me


)%iste0t0il dans les applications informati5ues un

s!st"me d#aut1entification spécifi5ue pour la

validation d#opérations sensiles $e% 9 code

« validant » différencié d#un code « saisissant » 3l#intérieur d#une application 2&

Pour c1acun des aspects évo5ués dans les deu%

5uestions précédentes, 5ui attriue et définit les

crit"res d#aut1entification 2

'uels sont les crit"res 3 respecter en mati"re de

c1oi% du mot de passe $nomre et nature des

caract"res, liellé différent des mots précédents,

etc.& 2


10/20

'()*+O-* O( -O- O*)RA+O-*

*i oui, par 5ui est0il suivi 2

)%iste0t0il un enregistrement des tentatives dacc"s 3

lapplication non autorisées, disponile dansl#étalissement 2

*i oui, cet enregistrement fait0il lo:et dun suivi et

dun rapport périodi5ue 2

0 3 la Direction

0 au service informati5ue

0 au% c1efs de service

Des instructions interdisant la programmation detouc1es du clavier automatisant la procédure de

saisie du mot de passe ont0elles été données 2

Ont0elles été formalisées 2

+out utilisateur du s!st"me d#information est0il

s!stémati5uement déconnecté apr"s plusieurs

tentatives dacc"s infructueuses 2


11/20

'()*+O-* O( -O- O*)RA+O-*


12/20

'()*+O-* O( -O- O*)RA+O-*

*i oui 9

0 'uelle est la fré5uence des contrôles e%térieurs 2

0 'uelle est la date du dernier contrôle 2

!emettre le omte-rendu du dernier ontr+le

au" auditeurs # l’ouverture de l’audit$


13/20

'()*+O-* O( -O- O*)RA+O-*

8omment la maintenance des matériels est0elle

suivie pour les aspects suivants 9

• é5uipements électri5ues,

• dispositif anti0incendie,

• sécurité anti0intrusion,

• autres

'ui est en c1arge de ce suivi 2

8omment est0il formalisé 2

*elon 5uelle périodicité l#étalissement réalise0t0il

une revue des dispositifs dédiés 3 la sécurité

p1!si5ue du s!st"me d#information 2

'ui effectue cette tCc1e 2


14/20

'()*+O-* O( -O- O*)RA+O-*

ndi5ue6 5uels dispositifs informati5ues sont mis en

uvre dans le cadre de la fin de gestion de

l#e%ercice comptale et plus particuli"rement 9

• la clôture informati5ue de l#e%ercice =

• les reprises automati5ues en alance d#entrée.

* - ,"loitation du SI omtable et finanier

'uel est le rôle du service informati5ue dans

l#e%ploitation de l#application de comptailité

générale 2

)%iste0t0il une possiilité de modifier les

programmes de l#application de comptail itégénérale 2

Dans l#affirmative, une procédure a0t0elle été miseen place pour limiter l#acc"s au% codes de

l#application 2

(ne tra>ailité de ces modifications e%iste0t0elle 2

Des anomalies informati5ues ont0elles été

identifiées dans l#application de comptailité

générale 2

)n ce cas, 5uelle procédure met en uvre le serviceinformati5ue pour les résoudre 2

(n suivi des indisponiilités des applications,

éventuellement des indicateurs, e%iste0t0il 2

*I - iste d’audit

Des contrôles sont0ils réalisés par le service

informati5ue sur l#intégration 9

- des données entrantes $via les applications de

comptailité au%iliaire& dans l#application de

comptailité générale 2

- des données sortantes de l#application de

comptailité générale vers les applications decomptailité au%iliaire 2

0 7@ 0


15/20

'()*+O-* O( -O- O*)RA+O-*

Dans l#affirmative 9

• décrire ces contrôles =

• indi5ue6 si des anomalies d#intégration sont

détectées et les suites données.

*II - .aintenane du SI omtable et finanier

Par 5ui est assurée la maintenance des logiciels 2

'uelle procédure a été définie en mati"re de

maintenance 9

• 8orrective

• )volutive

• modifications urgentes

Précise6 votre réponse sur le plan des conditions de

test et de recette des programmes et c1aMnes de

traitement concernés.


16/20

'()*+O-* O( -O- O*)RA+O-*

*III - Sauvegardes des données omtable et finanières

'uelles sont les r"gles de sauvegardes des donnéesde l#application de comptailité générale 2

Des applications de comptailité au%iliaire 2

A 5uel niveau ont été définies les modalités de

sauvegarde des données et traitements $fré5uence de

sauvegarde, procédures tec1ni5ues 3 mettre en

uvre& 9

• la Direction de l#étalissement

• le service informati5ue

• autres


17/20

'()*+O-* O( -O- O*)RA+O-*


18/20

'()*+O-* O( -O- O*)RA+O-*

'uels sont les indicateurs mis en place pour évaluer

la 5ualité / le caract"re opérationnel de la procédure

de secours 2

'uelle est la fré5uence d#actualisation de ces

indicateurs 2

Des tests de simulation de reprise de l#e%ploitationdes applications 3 partir du site de secours ont0ils

été effectués 2

Ont0ils fait apparaMtre des difficultés particuli"res 2

'uelles dispositions ont été prises pour corriger les

difficultés rencontrées lors de ces tests 2


19/20

!I01I23,S 23I124IO0S &, G,S4IO0 1O.4253, ,4 %I0201I,!, (4ableau" #omléter 6 éventuellement sous forme de tableau" ,/1,3)

0om del’aliation

4ye de matériel suivant aliation 4raitementtransations

4 ou 7!

.I1!O72-!-1

+ 9 +ransactionnel

A 9 AutonomeR 9 en réseau avec d#autres micros8 9 connectés au mainframe

0 7K 0


20/20

23I124I%S I0%O!.24I89,S (4ableau # omléter éventuellement sous forme de tableau"

,/1,3) 6 1artogra'ie aliative

-om de

l#application

&es logiiels ourogiiels

1aratéristiques

aliation; 6 interne< 6 rogiiel nonmodifié= 6 rogiiel adaté

0O. *,!SIO0

rogiiel a'eté

&ate dernière modifiation

ou version

&ate modif$ .aj$

questionnaire sys comp

Documents