Ralis par : Moussaoui Imane

Etude de cas : Cobit

Fetal Anass

Extrait du texte
Pierre Legros (responsable de linformatique pour SA) a carte blanche pour la gestion du service informatique. Pierre Legros a suggr un de ses techniciens de prendre la copie de scurit de la semaine prcdente qui tait dans ltagre de son bureau; ce qui fut fait. Aucune entente formelle na t signe avec la firme DHS qui est reconnue dans le domaine de lhbergement de solutions informatiques Certains de ces derniers (utilisateurs) pouvaient avoir des privilges daccs importants (programmation ou paie, par exemple). En gnral, aucun mcanisme formel dannulation des accs nest appliqu au moment du dpart dun employ. Nous avons observ quen moyenne, le tiers des droits daccs examins ntaient pas justifis, entre autres, parce que lemploy avait quitt lemplacement. En gnral, aucune date dexpiration nexiste pour les accs accords des personnes extrieures lorganisation. Des codes daccs ne sont pas associs une personne physique et peuvent tre partags par plusieurs employs, parfois pour accder des applications critiques telles que la paie. Les activits des utilisateurs possdant des privilges qui permettent de contourner les mesures de scurit ne sont pas suivies par un responsable en autorit. La gestion des privilges d'accs aux systmes et aux donnes est inadquate Entre autres, les activits des administrateurs du systme, dont certains sont responsables des donnes financires, ne font pas lobjet dune journalisation. La priode requise pour le changement des mots de passe varie selon les emplacements pour les serveurs locaux Sur le rseau, en raison de la configuration des systmes, les utilisateurs ne peuvent pas changer leur mot de passe. Les mots de passe nexpirent jamais et peuvent demeurer inchangs depuis leur cration. Dans les emplacements o un rapport produit par le systme existait, il a t constat

Les failles
Absence de contrles lis la gestion et la supervision des TI. La procdure de la restauration des copies de sauvegarde nest pas efficace et concordante. Absence d'une entente contractuelle formelle pour l'impartition.

Domaine du Cobit
PO

Processus
4

Recommandation
Mise en place dune structure de gouvernance des TI lie lentreprise. Mise en place dun processus formel et crit ainsi quune mthode qui organise les copies et les sauvegardes.

DS

5 et 11

DS

Signer une entente formelle.

La gestion des comptes utilisateurs nest pas adquate.

DS

Assurer un processus pour grer les utilisateurs visant et les oprations qui vont avec tels que : La cration ; La modification ; La suppression.

DS

5
La gestion des comptes utilisateurs nest pas adquate.

Assurer la communication entre le dpartement des systmes dinformation et le dpartement des ressources humaines pour assurer la mise jour des comptes des utilisateurs. Aussi que la cration dun processus qui vise modifier et mettre jour les comptes utilisateurs dune manire priodique.

La gestion des mots de passe est inadquate.

DS

Mise jour dun processus pour grer les mots de passe ainsi que les normes Assurer une revue des paramtres des systmes et des droits accords certains utilisateurs.

La gestion des mots de passe est inadquate.

DS

Mettre jour des droits des utilisateurs et faire un suivi qui reflte ces changements.

quenviron la moiti des utilisateurs navaient pas chang de mot de passe depuis plus dun an, et dans un emplacement, depuis plus de quatre ans, voire 10 ans pour certains utilisateurs. La gestion des mots de passe est inadquate. Mentionnons aussi que la longueur minimale du mot de passe nest pas suffisante dans les emplacements vrifis. Certains peuvent avoir deux ou quatre caractres, ce qui les rend trop faciles dcouvrir. Les donnes sur les ordinateurs des reprsentants ne sont pas chiffres.

La documentation relative au dveloppement et la maintenance des applications est faible.

Le vol ou la perte dun ordinateur peut causer des troubles et des problmes pour lentreprise.et nimporte qui pourra accder aux donnes supposes confidentielles de lentreprise. Les contrles lis la documentation sont faibles.

DS

Mettre en place dun systme de cryptage et du chiffrement des donnes Pour assurer la confidentialit ainsi que lintgrit des informations.

AI

Mise en place dun processus pour la documentation relative la maintenance et au dveloppement ainsi quaux applications.

Les rustines des systmes dexploitation sont effectues par les diffrents techniciens en informatique lorsquils en sentent le besoin. Les techniciens installent les rustines directement sur les serveurs et comme ils le pensent. Un vieux virus avait en effet affect le systme dexploitation du serveur matre et a dtruit certaines donnes

Les contrles lis la mise jour des systmes d'exploitation ou du rseau sont inadquats.

AI

Mettre en place un processus de tests et dapprobation des changements aux systmes d'exploitation ou du rseau.

Les anti virus installs manquent des mises jour.

AI

Mettre en place un processus de mise jour quotidien de lantivirus.