Controle interne
Guide pratique : Controle interne. Recherche parmi 300 000+ dissertationsPar anismtl • 28 Novembre 2015 • Guide pratique • 2 733 Mots (11 Pages) • 1 469 Vues
[pic 1]
DÉPARTEMENT DES SCIENCES COMPTABLES
Travail de session été 2012
Présenté par :
Groupe : K11
Présenté à
Dans le cadre du cours sco4525
Contrôle Interne
Le 28 Mai 2012
A l’attention de Mme Robitaille, responsable de la gestion de la compagnie ROBOMATIQUE Inc.
Le présent rapport contient une synthèse des conclusions tirées suite à mon analyse des différents aspects reliés aux contrôles généraux des technologies de l’information appliqués au sein de votre entreprise. Les contrôles généraux analysés, par ordre de présentation, sont les suivants :
- Gestion des incidents informatique;
- Protection des fichiers;
- Sécurité des accès logiques aux systèmes d’application;
- Sécurité physique des équipements informatique.
L’approche retenue dans la rédaction de notre rapport d’opinion consiste, pour chaque catégorie de contrôle général, à présenter tout d’abord sous forme de texte, les principaux points forts relevés avant de dresser dans la cadre d’un tableau une synthèse des faiblesses et de nos propositions d’amélioration.
Nous terminerons enfin, par émettre une opinion sur la fiabilité des contrôles généraux analysés.
- Gestion des incendies informatiques
Les grandes forces relevées dans le domaine de la gestion des incendies informatiques ont trait essentiellement à :
- La sécurité générale de l’édifice doté d’un système d’alarme relié à une centrale externe;
- La disposition d’un système contre les incendies qui respecte les normes en la matière;
- Les équipements informatiques sont logés à l’étage du département des finances à l’abri des risques d’inondation (risque potentiel s’ils étaient logés au sous-sol) et d’accès plus au moins facile de personnes mal intentionnées extérieures de l’entreprise.
Noter que l’autre aspect relié à l’accès autorisé aux locaux via cartes magnétiques accordées en fonction des responsabilités, bien qu’il semble constituer un point fort, il est vidé de son efficacité pour la protection physique des équipements informatique et ce étant donné que ces derniers sont logés au même département des finances sans une séparation physique sécuritaire renforcée.
Élément de Contrôle | Description de la faiblesse | Impacts et conséquences | Recommandation |
Emplacement des équipements nécessaires à la connexion des postes de travail et à la prise de copie de sauvegarde | -Emplacement accessible au personnel non autorisé, notamment le personnel du département des finances -Aucune sécurité physique quant à l’accès aux ressources informatiques (séparation seulement par des panneaux acoustiques) | Risque potentiel de manipuler, d’endommager et de vandaliser les ressources informatiques | Aménagement d’un local réservé aux équipements informatiques verrouillé, à accès limité aux personnes autorisées. |
Système de camera , rondes des gardiens de sécurité | Aucun système de caméra de surveillance n’est mis en place, insuffisance dans la fréquence des rondes des gardiens de sécurité | Accroitre le risque de vandalisme, de vol et de toute autre pratique affectant l’intégrité, la disponibilité et la confidentialité des données | Installation d’un système de surveillance via caméras, augmentation de la fréquence des rondes (rondes quotidienne) |
Carte magnétique à zone autorisée ainsi que leur configuration | La carte magnétique donne accès au personnel de la comptabilité aux équipements informatiques vu que ces derniers sont logés au même département sans une séparation physique sécuritaire | Possibilité de manipuler, d’endommager et de vandaliser les ressources informatiques -Absence de responsabilisation problème d’imputabilité en cas d’incidents | L’utilisation de la carte magnétique doit obligatoirement être jumelée à la séparation physique du local abritant les équipements informatiques tout en le considérant comme une zone autorisée à part. -Responsabilisation d’une personne identifier, privilégié l’utilisation de documents signé et validé pour tout demande de configuration |
- Protection des fichiers
Concernant le volet de la protection des fichiers, les principales forces qu’on peut constater sont les suivantes :
- Les copies de sauvegardes réalisées automatiquement portent sur l’ensemble des données de l’entreprise;
- L’entreprise dispose d’un logiciel de gestion des sauvegardes et restaurations extrêmement fiable. Elle a donc investi dans un matériel adapté qui répond à ses besoins surtout qu’elle est d’une phase de pleine croissance;
- L’entreprise dispose d’une procédure claire sur l’interdiction d’installation de logiciels non autorisé dans les postes de travail. Procédure communiquée à tout le personnel via intranet;
- L’entreprise a prévu une sanction et ce à travers un commentaire inséré dans l’évaluation de l’employé qui ne respecte pas la procédure visée au point n°3 ci-dessus.
On peut considérer le fait que ROBOMATIQUE. N’a jamais eu de panne informatique majeure du serveur comme étant un signal, quoique ambigu et ce en l’absence d’autres informations détaillées, que le personnel de cette dernière respecte au moins les grands aspects de contrôle général reliés à la sécurité des fichiers déjà en place.
Élément de Contrôle | Description de la faiblesse | Impacts et conséquences | Recommandation |
Procédure à suivre en cas de panne | Aucune procédure n’est formalisée | Risque d’arrêt de l’activité en cas d’absence du personnel expérimenté habitué à intervenir sur les pannes informatiques | -Établissement et communication d’une procédure claire et détaillée à suivre en cas de panne -Formation du personnel informatique sur les procédures en question avec des essais périodiques (simulations) |
Norme d’identification des fichiers | Norme non révisée ou mise à jour depuis 5 ans | Risque que les normes déjà établies ne répondent de façon satisfaisante aux besoins actuels et futurs de l’entreprise en matière d’identification de ses fichiers | Réunions à engager avec toutes les parties concernées afin d’étudier s’il y a lieu de procéder à la préparation d’une norme révisée |
Fréquence des prises des copies de secours et la tenue de registre de copies de sauvegarde, entreposage de copies de sauvegarde | Copies de sauvegarde très espacées dans le temps : intervalle d’un mois, registre inexistant, leur classement non sécurisé ainsi que son accessibilités à des personnes non autorises | Risque de perte de données en cas d’une panne ou d’un incident informatique, vol, incendies | Nous suggérons idéalement une prise quotidienne de copie de sauvegarde, et création de registre de suivi des copies de sauvegarde, entreposage en interne |
Installation de Logiciels personnels | -Aucune limitation d’ordre informatique n’est prévu au moment de l’installation des logiciels personnels; -Suivi de l’application de la procédure interdisant l’installation de logiciels personnels est très espacé dans le temps (annuellement) - inefficacité des actions entreprises contre le personnel ayant installé des logiciels personnels dans son poste de travail | - diminution de l’espace de la mémoire vive du poste de travail - risque d’infection par des virus des ressources informationnelles de l’entreprise |
SINON
|
Mise à jour de l’antivirus | Fréquence de mise à jour de l’antivirus est très longue (un an) | Risque important d’attaque de virus, ou introduction dans les bases de données avec toutes les conséquences possibles (panne de système, perte de données, lenteur dans le démarrage des programmes…) | Les mises à jour des antivirus doivent avoir lieu automatiquement |
Capacité de chargement des disques du serveur principal | -Capacité de stockage des données du serveur principal insuffisante (sous hypothèse d’atteinte fréquente du taux de chargement de 99%) - le niveau de chargement de 99% retenu pour engager les actions d’épuration est inadéquat | -Risque de blocage et de perturbation de l’activité; -Risque de non sauvegarde des données. | -Engager les actions d’épuration des disques du serveur à partir d’un niveau de chargement (beaucoup plus inférieur que 99%) permettant de garantir une marge de manœuvre sécuritaire contre les risques de perturbation de l’activité et de sauvegarde des données. -Étudier la possibilité d’agrandir l’espace de chargement surtout en cas d’atteinte fréquente du seuil de 99%. |
...