questionnaire sys comp
TRANSCRIPT
-
8/19/2019 Questionnaire sYs Comp
1/20
/ PDA
Audit « ……………. »
Visa Nom Date
Rédigé par Approuvé par
Personnes concernées Fonction P C A I *
* pour P résent, C ontrôle, pour Action, pour I nformation
Objet du questionnaire (ou de l’entretien) : Organisation, sécurité et fiailité du s!st"med#information comptale et financier $générale et au%iliaire&.
'()*+O-* O( -O- O*)RA+O-*
I - Organisation générale du système d’information (SI)
)%iste0t0il une cartograp1ie $liste& des * utilisés ausein de l#entité 2
Dans l#affirmative, produire cette cartograp1ie
Dans le cas contraire, faire étalir la liste des
principales applicat ions part icipant 3 la gestion
comptale et financi"re $cf. taleau en anne%e&.
'uelles sont les principales applications « métier » 2
4erci de renseigner les deu% taleau% en fin de
5uestionnaire
ndi5ue6 les principales fonctionnalités de ces
applications « métier ».
0 7 0
-
8/19/2019 Questionnaire sYs Comp
2/20
'()*+O-* O( -O- O*)RA+O-*
'uelle application informati5ue de gestion
comptale votre étalissement utilise0t0il 2
Précise6 sa date de développement / ac5uisition
ainsi 5ue la date de mise en service de sesdifférentes versions.
II - Gestion du servie informatique
(n organigramme fonctionnel a0t0il été élaoré pour
le service informati5ue de l#étalissement 2
'uand a0t0il été actualisé pour la derni"re fois 2
!emettre e doument au" auditeurs #
l’ouverture de l’audit$
8omment sont articulées les activités 9
• d#anal!se
• de développement
• d#intégration
• d#e%ploitation
• d#assistance au% utilisateurs
• de sécurité informati5ue
)%iste0t0il une fonction de gestion du s!st"me
d#information dédiée au pilotage du s!st"med#information et 3 la gestion prévisionnelle des
pro:ets et des ressources 2
otre étalissement dispose0t0il notamment d#un
comité de pilotage informati5ue 2
8ertaines fonctions du s!st"me d#information ont0
elles été e%ternalisées2
0 ; 0
-
8/19/2019 Questionnaire sYs Comp
3/20
-
8/19/2019 Questionnaire sYs Comp
4/20
'()*+O-* O( -O- O*)RA+O-*
'uand 2 Année 9
'uelle a été la durée de cette formation 2
Depuis 5uand les utilisateurs actuels travaillent0ils
sur les différentes applications 2
Année 9
)%priment0ils le esoin d#une formation
complémentaire 2
-
8/19/2019 Questionnaire sYs Comp
5/20
'()*+O-* O( -O- O*)RA+O-*
1- Analyse des risques et politi que globale de protection du système d’information
Ave60vous procédé 3 une anal!se des ris5ues liés au
déploiement du s!st"me d#information dans votre
étalissement 2
8ette anal!se a0t0elle été formalisée 2
!emettre e doument au" auditeurs #
l’ouverture de l’audit$
Au terme de cette anal!se, ave60vous défini une poli ti5ue de gestion des ris5ues liés 3 l#e%ploi tation
du s!st"me d#information
8ette politi5ue a0t0elle été formalisée dans un
document de référence mis 3 la disposition des personnels concernés 2
!emettre e doument au" auditeurs #
l’ouverture de l’audit$
8ette politi5ue de gestion des ris5ues liés au
s!st"me d#information a0t0elle amené la Direction
de votre étalissement 3 décider de la mise en uvre
de procédures et dispositifs permanents portant sur les domaines suivants 9
• protection du patr imoine et des acti fs
informationnels
• conformités au% lois et r"glements en vigueur
• prévention e t détection des fraudes
Précise6 votre réponse.
2. Sécurité logique (identification et authentification des utilisateurs
a !olitique générale
)%iste0t0il une politi5ue de sécurité logi5ue
formalisée permettant la mise en uvre de r"gles de
sécurité communes et 1omog"nes entre les
différentes entités utilisatrices du s!st"me
d#information de l#étalissement 2
!emettre e doument au" auditeurs #
l’ouverture de l’audit$
8e document a0t0il été diffusé 3 l#ensemle des
utilisateurs du s!st"me d#information 2
-
8/19/2019 Questionnaire sYs Comp
6/20
'()*+O-* O( -O- O*)RA+O-*
d#information 2
*elon 5uelle périodicité 2
'ui est c1argé de cette tCc1e 2
*elon 5uelle procédure sont alors traitées les
proposit ions d#amélioration 2
De fa>on plus générale, 5u#est0ce 5ui, selon vous,
contriue 3 la 5ualité du dispositif actuel de sécurité
logi5ue 2
Précise6 votre réponse.
'u#est0ce 5ui, 3 l#inverse, constitue une failessedans le dispositif actuel de sécurité logi5ue 2
Précise6 votre réponse.
'uelles sont selon vous les mesures 3 prendre pour
renforcer ce dispositif 2
b Autorisation d’accès au système d’information " identification des utilisateurs
)%iste0t0il un s!st"me didentification de c1a5ue
utilisateur 9
• Pour l#acc"s au réseau local de l#étalissement
• Pour l#acc"s au réseau nternet
• Pour l#acc"s au% applications en télégestion
• Pour l#acc"s au% applications, données et
programmes stocEés sur la stat ion de travail de
l#utilisateur
• Pour l#acc"s au s!st"me d#e%ploitation et au%
données sensiles des ases / du s!st"me
0 F 0
-
8/19/2019 Questionnaire sYs Comp
7/20
'()*+O-* O( -O- O*)RA+O-*
Précise6 votre réponse.
'ui attriue et définit les crit"res d#identification 2
$code utilisateur& 9
- le c1ef de service ou son ad:oint 2
- un agent du service informati5ue 2
- l#intéressé lui0mGme 2
-
8/19/2019 Questionnaire sYs Comp
8/20
'()*+O-* O( -O- O*)RA+O-*
ant des fonctions 3 titre
temporaire
-
8/19/2019 Questionnaire sYs Comp
9/20
'()*+O-* O( -O- O*)RA+O-*
• Pour l#acc"s au réseau nternet
• Pour l#acc"s au% applications en télégestion
• Pour l#acc"s au% applications, données et
programmes stocEés sur la station de travail del#utilisateur
• Pour l#acc"s au s!st"me d#e%ploitation et au%
données sensiles des ases / du s!st"me
Précise6 votre réponse.
)%iste0t0il dans les applications informati5ues un
s!st"me d#aut1entification spécifi5ue pour la
validation d#opérations sensiles $e% 9 code
« validant » différencié d#un code « saisissant » 3l#intérieur d#une application 2&
Pour c1acun des aspects évo5ués dans les deu%
5uestions précédentes, 5ui attriue et définit les
crit"res d#aut1entification 2
'uels sont les crit"res 3 respecter en mati"re de
c1oi% du mot de passe $nomre et nature des
caract"res, liellé différent des mots précédents,
etc.& 2
-
8/19/2019 Questionnaire sYs Comp
10/20
'()*+O-* O( -O- O*)RA+O-*
*i oui, par 5ui est0il suivi 2
)%iste0t0il un enregistrement des tentatives dacc"s 3
lapplication non autorisées, disponile dansl#étalissement 2
*i oui, cet enregistrement fait0il lo:et dun suivi et
dun rapport périodi5ue 2
0 3 la Direction
0 au service informati5ue
0 au% c1efs de service
Des instructions interdisant la programmation detouc1es du clavier automatisant la procédure de
saisie du mot de passe ont0elles été données 2
Ont0elles été formalisées 2
+out utilisateur du s!st"me d#information est0il
s!stémati5uement déconnecté apr"s plusieurs
tentatives dacc"s infructueuses 2
-
8/19/2019 Questionnaire sYs Comp
11/20
'()*+O-* O( -O- O*)RA+O-*
-
8/19/2019 Questionnaire sYs Comp
12/20
'()*+O-* O( -O- O*)RA+O-*
*i oui 9
0 'uelle est la fré5uence des contrôles e%térieurs 2
0 'uelle est la date du dernier contrôle 2
!emettre le omte-rendu du dernier ontr+le
au" auditeurs # l’ouverture de l’audit$
-
8/19/2019 Questionnaire sYs Comp
13/20
'()*+O-* O( -O- O*)RA+O-*
8omment la maintenance des matériels est0elle
suivie pour les aspects suivants 9
• é5uipements électri5ues,
• dispositif anti0incendie,
• sécurité anti0intrusion,
• autres
'ui est en c1arge de ce suivi 2
8omment est0il formalisé 2
*elon 5uelle périodicité l#étalissement réalise0t0il
une revue des dispositifs dédiés 3 la sécurité
p1!si5ue du s!st"me d#information 2
'ui effectue cette tCc1e 2
-
8/19/2019 Questionnaire sYs Comp
14/20
'()*+O-* O( -O- O*)RA+O-*
ndi5ue6 5uels dispositifs informati5ues sont mis en
uvre dans le cadre de la fin de gestion de
l#e%ercice comptale et plus particuli"rement 9
• la clôture informati5ue de l#e%ercice =
• les reprises automati5ues en alance d#entrée.
* - ,"loitation du SI omtable et finanier
'uel est le rôle du service informati5ue dans
l#e%ploitation de l#application de comptailité
générale 2
)%iste0t0il une possiilité de modifier les
programmes de l#application de comptail itégénérale 2
Dans l#affirmative, une procédure a0t0elle été miseen place pour limiter l#acc"s au% codes de
l#application 2
(ne tra>ailité de ces modifications e%iste0t0elle 2
Des anomalies informati5ues ont0elles été
identifiées dans l#application de comptailité
générale 2
)n ce cas, 5uelle procédure met en uvre le serviceinformati5ue pour les résoudre 2
(n suivi des indisponiilités des applications,
éventuellement des indicateurs, e%iste0t0il 2
*I - iste d’audit
Des contrôles sont0ils réalisés par le service
informati5ue sur l#intégration 9
- des données entrantes $via les applications de
comptailité au%iliaire& dans l#application de
comptailité générale 2
- des données sortantes de l#application de
comptailité générale vers les applications decomptailité au%iliaire 2
0 7@ 0
-
8/19/2019 Questionnaire sYs Comp
15/20
'()*+O-* O( -O- O*)RA+O-*
Dans l#affirmative 9
• décrire ces contrôles =
• indi5ue6 si des anomalies d#intégration sont
détectées et les suites données.
*II - .aintenane du SI omtable et finanier
Par 5ui est assurée la maintenance des logiciels 2
'uelle procédure a été définie en mati"re de
maintenance 9
• 8orrective
• )volutive
• modifications urgentes
Précise6 votre réponse sur le plan des conditions de
test et de recette des programmes et c1aMnes de
traitement concernés.
-
8/19/2019 Questionnaire sYs Comp
16/20
'()*+O-* O( -O- O*)RA+O-*
*III - Sauvegardes des données omtable et finanières
'uelles sont les r"gles de sauvegardes des donnéesde l#application de comptailité générale 2
Des applications de comptailité au%iliaire 2
A 5uel niveau ont été définies les modalités de
sauvegarde des données et traitements $fré5uence de
sauvegarde, procédures tec1ni5ues 3 mettre en
uvre& 9
• la Direction de l#étalissement
• le service informati5ue
• autres
-
8/19/2019 Questionnaire sYs Comp
17/20
'()*+O-* O( -O- O*)RA+O-*
-
8/19/2019 Questionnaire sYs Comp
18/20
'()*+O-* O( -O- O*)RA+O-*
'uels sont les indicateurs mis en place pour évaluer
la 5ualité / le caract"re opérationnel de la procédure
de secours 2
'uelle est la fré5uence d#actualisation de ces
indicateurs 2
Des tests de simulation de reprise de l#e%ploitationdes applications 3 partir du site de secours ont0ils
été effectués 2
Ont0ils fait apparaMtre des difficultés particuli"res 2
'uelles dispositions ont été prises pour corriger les
difficultés rencontrées lors de ces tests 2
-
8/19/2019 Questionnaire sYs Comp
19/20
!I01I23,S 23I124IO0S &, G,S4IO0 1O.4253, ,4 %I0201I,!, (4ableau" #omléter 6 éventuellement sous forme de tableau" ,/1,3)
0om del’aliation
4ye de matériel suivant aliation 4raitementtransations
4 ou 7!
.I1!O72-!-1
+ 9 +ransactionnel
A 9 AutonomeR 9 en réseau avec d#autres micros8 9 connectés au mainframe
0 7K 0
-
8/19/2019 Questionnaire sYs Comp
20/20
23I124I%S I0%O!.24I89,S (4ableau # omléter éventuellement sous forme de tableau"
,/1,3) 6 1artogra'ie aliative
-om de
l#application
&es logiiels ourogiiels
1aratéristiques
aliation; 6 interne< 6 rogiiel nonmodifié= 6 rogiiel adaté
0O. *,!SIO0
rogiiel a'eté
&ate dernière modifiation
ou version
&ate modif$ .aj$