Catalogue des formations 2013

Transcription

Référence : CF2013
Juin 2013
171 bis Avenue Charles de Gaulle . 92200 Neuilly sur Seine
Tél : 01 40 88 11 92/ Fax :. 01 40 88 11 99 E-mail : [email protected]. web : http://www.afai.fr
Sommaire
1
TECHNIQUES DE BASE............................................................................................................................ 2
1.1
1.2
1.3
2
COBIT ET GOUVERNANCE...................................................................................................................... 7
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
3
ISO 27001 : LEAD AUDITOR ................................................................................................................. 46
ISO 27005 : CERTIFIED RISK MANAGER .............................................................................................. 49
ITIL : FONDATIONS ............................................................................................................................... 51
CONDITIONS GENERALES DE VENTE ET TARIFS ......................................................................... 52
7.1
7.2
7.3
8
FORMATION PREPARATOIRE A L’EXAMEN DU CISA.............................................................................. 41
FORMATION PREPARATOIRE A L’EXAMEN DU CISM ............................................................................. 43
FORMATION PREPARATOIRE A L’EXAMEN DU CGEIT ........................................................................... 44
FORMATION PREPARATOIRE A L’EXAMEN DU CRISC........................................................................... 45
PREPARATION AUX CERTIFICATIONS ISO ET ITIL ....................................................................... 46
6.1
6.2
6.3
7
MANAGEMENT DE LA SECURITE DES SI ................................................................................................ 34
METHODES DE LUTTE CONTRE LA FRAUDE INFORMATIQUE ................................................................. 36
L’ESSENTIEL DU MANAGEMENT DES RISQUES INFORMATIQUES ........................................................... 39
REFERENTIEL ET GUIDE UTILISATEUR RISK IT : CONTENU ET MISE EN ŒUVRE ................................... 40
PREPARATION AUX EXAMENS DE CERTIFICATION ISACA........................................................ 41
5.1
5.2
5.3
5.4
6
MODELISATION ET OPTIMISATION DES PROCESSUS METIERS .............................................................. 20
ANALYSE DES DONNEES ET CONTROLES AUTOMATISES ...................................................................... 22
AUDIT DU MANAGEMENT DE LA SECURITE DES SI ................................................................................ 24
AUDIT DE LA FONCTION INFORMATIQUE ................................................................................................ 26
AUDIT SAP............................................................................................................................................ 28
AUDIT DES APPLICATIONS INFORMATIQUES .......................................................................................... 30
AUDIT DES PROJETS INFORMATIQUES .................................................................................................. 32
SECURITE DES SI ET RISK MANAGEMENT...................................................................................... 34
4.1
4.2
4.3
4.4
5
AUDIT DE LA GOUVERNANCE DU SI......................................................................................................... 7
COBIT 5 FOUNDATION COURSE ............................................................................................................ 8
COBIT IMPLEMENTATION COURSE ...................................................................................................... 10
COBIT 5 : PRESENTATION DES NOUVEAUX CONCEPTS ....................................................................... 11
COBIT, ITIL, CMMI, ISO : QUELS REFERENTIELS CHOISIR ? ............................................................ 12
POUR UNE MISE EN PLACE EFFICACE DES REFERENTIELS DE GOUVERNANCE .................................... 14
CONTROLE INTERNE DES SYSTEMES D’INFORMATION .......................................................................... 15
L’ARCHITECTURE D’ENTREPRISE POUR LES MANAGERS DU SI ............................................................ 17
ARCHITECTURE D’ENTREPRISE, MISE EN ŒUVRE OPERATIONNELLE ................................................... 19
AUDIT INFORMATIQUE........................................................................................................................... 20
3.1
3.2
3.3
3.4
3.5
3.6
3.7
4
TECHNOLOGIES DES SYSTEMES D’INFORMATION ................................................................................... 2
INITIATION A L’AUDIT INFORMATIQUE ...................................................................................................... 4
INITIATION A LA SECURITE ET AUX RESEAUX INFORMATIQUES ............................................................... 5
FORMATION INTER-ENTREPRISES ........................................................................................................... 52
FORMATION INTRA-ENTREPRISES ........................................................................................................... 52
RENSEIGNEMENTS ADMINISTRATIFS ET BANCAIRES :............................................................................. 53
CALENDRIER JUILLET – DECEMBRE 2013 ...................................................................................... 53
Tarifs
Bulletin d’inscription
Page 1 / 53
L’AFAI, Association Française de l'Audit et du Conseil Informatiques, a pour mission de développer les compétences, les
techniques et les méthodes visant à accroître la maîtrise des systèmes d'information. Chapitre français de l'ISACA, association
internationale comptant plus de 100 000 membres dans 80 pays, l’AFAI diffuse en France et dans le monde francophone le
®
®
référentiel COBIT de gouvernance des systèmes d’information, récemment refondu en intégrant notamment VAL IT et
®
Risk IT .
Nous avons la conviction que la formation est un vecteur majeur pour diffuser les référentiels – tels que COBIT – et les bonnes
pratiques, qu’elle permet d’illustrer par des cas concrets, et bien sûr pour préparer les professionnels à l’obtention d’une
reconnaissance internationale, via les certifications.
L’offre de formation de l'AFAI est organisée autour de quatre thèmes majeurs :
•
•
•
•
les techniques de base,
les référentiels de gouvernance des systèmes d’information, et les processus
l’audit informatique,
la sécurité des systèmes d’informations.
En outre, L’AFAI dispense des formations préparatoires à l’obtention du diplôme des certifications professionnelles que sont le
1
2
3
4
CISA , le CISM , le CGEIT , le CRISC dont les examens se déroulent en France cette année les 12 juin et 11 décembre
prochain.
Animées par des professionnels, praticiens qui peuvent tous témoigner d’une expérience significative dans leurs domaines
respectifs, ces formations sont aussi des lieux d’échanges entre participants et contribuent ainsi au partage des connaissances.
Je puis vous assurer que l’équipe de permanents de l’AFAI ainsi que l’ensemble des formateurs mettront tout en œuvre pour
que ces sessions vous apportent le meilleur de l’état de l’art de nos métiers, contribuant ainsi aux progrès de vos équipes… et
de vos systèmes d’information !
Pascal Antonini
Président
1
Certified Information Systems Auditor
Certified Information Security Manager
3
Certified in Governance of Enterprise Information Technology
4
Certified in Risk and Information Systems Control
2
Page 2 / 53
1 TECHNIQUES DE BASE
1.1 TECHNOLOGIES DES SYSTEMES D’INFORMATION
Ce séminaire permet à de futurs auditeurs en système d’information, non spécialistes des technologies
informatiques, d’acquérir les bases de technologie des systèmes d'information pour suivre efficacement d’autres
séminaires plus spécialisés comme les formations à l'audit informatique ou les formations de préparation aux
examens de certification.
Objectifs:
•
•
Assimiler les concepts technologiques de base dans les SI d’aujourd’hui.
Assimiler le vocabulaire et principes de technologie nécessaires à un audit.
Participants :
Auditeurs ou consultants non spécialisés en informatique
Pré-requis :
Aucun
Programme :
Le programme comprend 8 domaines :
•
Architecture et technologie des SI
o
o
o
o
•
Architecture des ordinateurs : serveurs, postes clients.
Présentation des technologies :
Des unités de calculs.
Des unités de mémorisation : disque durs, lecteurs de bandes,… .
Des unités d’affichage et d’impression.
De sécurisation d’accès.
Principes des interfaces d’un serveur et d’un poste client.
Technologie des réseaux de stockage, virtualisation.
Réseaux et communications
o
o
o
o
o
Principes de base des réseaux : l’architecture en couches
L’exemple du protocole TCP-IP et du réseau Ethernet
Internet et intranet : VPN et accès distant.
Les équipements de réseaux.
La sécurité sur les réseaux.
•
Sécurité
Principes de confidentialité, d’intégrité, d’authentification d’une information.
Notion sur la sécurité d’un SI : sécurité physique et logique, gestion des accès.
Les virus : principes et approches de protection.
Principes du chiffrement et de la protection des données.
o
o
o
o
•
Logiciels et bases de données
Les applications logicielles : logiciels, progiciels, ERP, logiciels système, logiciels de
télécommunication : principes de fonctionnement, environnement d’utilisation.
Principes des contrôles applicatifs et traçabilité.
Base de données : administration, sécurité, maintenance.
Les obligations légales de conservation de données.
o
o
o
o
•
Gestion des projets informatiques
Problématique de la gestion de projet informatique : méthodologies et approches.
La planification et le management des risques : le pilotage du projet et son suivi.
La maîtrise de la qualité.
o
o
o
•
Support et maintenance informatique
Principes du support utilisateurs : méthodologie, ITIL
Principes de la maintenance des systèmes d’information.
Infogérance et aspects contractuels.
o
o
o
•
Gouvernance et contrôle des systèmes d’information
Principes de la Gouvernance informatique
Les référentiels : COBIT, ….
o
o
•
Page 3 / 53
Audit et normes des Systèmes d’Information
Principes et approches de l’audit d’un SI.
Normes et cadres de référence : COBIT, ISO 27001, Sarbanes Oxley, SAS70.
o
o
Durée : 2 jours
Référence : FAA008
Page 4 / 53
1.2 INITIATION A L’AUDIT INFORMATIQUE
L'audit informatique a pour but de s'assurer que les systèmes d'information de l'entreprise et les processus de
gestion de l'informatique sont maîtrisés.
Objectifs :
•
•
•
Donner une vue globale de l'audit informatique et en présenter les spécificités
Identifier les points-clés de la démarche d'audit appliquée à l'informatique et aux systèmes d'information,
Permettre à des auditeurs et à de futurs auditeurs informatiques d'apprécier les possibilités offertes par
cette démarche.
Participants :
Auditeurs, experts comptables, commissaires aux comptes, consultants et informaticiens désireux de s'orienter
vers l'audit informatique.
Prérequis :
Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement
Programme détaillé :
•
Les concepts de base de l'audit et le référentiel COBIT
•
•
•
•
•
•
•
•
•
•
L'audit de la planification du système d'information
L’audit de la fonction informatique
L'audit de la conduite de projet
L’audit des études
L’audit de l’informatique décentralisée (audit du parc micros)
L'audit d'un centre de production
L’audit des réseaux et des communications
L'audit de la sécurité
L'audit des applications opérationnelles
La conduite d’une mission d’audit informatique
Durée : 2 jours
Page 5 / 53
1.3 INITIATION A LA SECURITE ET AUX RESEAUX INFORMATIQUES
Ce séminaire est destiné aux non spécialistes de la sécurité des systèmes d'informations et réseaux informatiques.
Objectifs:
•
•
•
Connaître les principes de base de la sécurité informatique
Connaître le fonctionnement des réseaux informatiques,
Acquérir le vocabulaire relatif aux réseaux et à la sécurité des systèmes informatisés.
Participants :
Auditeurs, consultants non spécialisés en sécurité du système d'information.
Pré-requis:
Aucun
Programme détaillé:
•
La sécurité des systèmes d'information
o Panorama des vulnérabilités des systèmes d'information
o Principales menaces et risques associés
o La culture sécurité des organisations
o La cryptologie
o Les systèmes Pare-Feux (Firewalls) et Proxy
o Systèmes de détection d'intrusion (IDS)
•
Les réseaux informatiques:
o Concepts fondamentaux
o Principes des réseaux numériques
o Le modèle ISO
o Le protocole TCP/IP
o Le réseau Internet
o Architecture des protocoles TCP/IP
o Adressage
o La couche liaison d'Internet, Le protocole IP, Les protocoles TCP et UDP
o Les applications
o Outils communs d'utilisation d'un réseau sous Unix
o Langages pour le Web
o Intranet et Extranet
•
Mise en place d'une politique de sécurité
•
•
•
Principales méthodes
Technologies utilisées pour les contrôles de sécurité
Surveillance du système d'information
•
Principales normes et certifications
•
Principaux organismes spécialisés.
Page 6 / 53
Durée : 2 jours
Référence : FIA002
Ce séminaire peut également être suivi par les candidats à l'examen du CISA en préalable à la formation de
préparation de cet examen (voir § 5.1).
Page 7 / 53
2 COBIT ET GOUVERNANCE
2.1 AUDIT DE LA GOUVERNANCE DU SI
L'IFACI, l'AFAI (Association Française de l'Audit et du conseil informatique) et le CIGREF (Club
Informatique des Grandes Entreprises Françaises) ont élaboré, en 2011, à l'attention des auditeurs
internes, des contrôleurs internes, et des DSI, un guide pratique d'audit adressant, sous un angle
managérial et non pas technique, la problématique globale de la gouvernance du SI. Découvrez
comment utiliser ce guide lors de cette formation.
PREREQUIS
Avoir suivi le séminaire : "Conduire une mission d'audit interne : la méthodologie" ou connaître la
méthodologie de l'audit.
PUBLIC VISE
Responsables de l'audit interne, Responsables du contrôle interne, Manager Responsables DSI,
Responsables financiers, Contrôleurs de Gestion.
ORGANISATION
Cette formation est co-organisée par les associations AFAI et IFACI. L'inscription se fait par la
procédure habituelle sur ce site (bulletin d'inscription à renvoyer signé à l'AFAI). Le secrétariat de
l'AFAI vous mettra en rapport avec le secrétariat de l'association organisatrice selon les sessions.
PROGRAMME
Cette formation vous permettra de :
•
•
•
comprendre les enjeux de Gouvernance du SI dans la maîtrise des activités de leurs
organisations ;
connaître les meilleures pratiques en matière de Gouvernance du SI et le guide d'audit
AFAI / CIGREF / IFACI ;
mettre en oeuvre une méthodologie rigoureuse d'évaluation et d'autoévaluation.
Cette formation est co-organisée par l'IFACI.
Durée : 1 jour
Référence : FAG008
NB : tarif particulier (685 € HT pour les adhérents et 770 € HT pour les non adhérents).
Page 8 / 53
2.2 COBIT 5 FOUNDATION COURSE
COBIT 5 est le référentiel exhaustif orienté métier, conçu pour aider les entreprises à atteindre leurs objectifs de
gouvernance et de management de l'information et des actifs technologiques. Dit simplement, il aide les
entreprises à créer la valeur optimale des technologies de l’information en assurant un équilibre entre la réalisation
de profits, l'optimisation des niveaux de risque et l'utilisation efficace des ressources.
COBIT 5 permet de gouverner et de gérer l’informatique d'une manière globale au niveau de toute l'entreprise.
COBIT 5 est générique et utile pour les entreprises de toutes tailles, qu'elles soient commerciales, sans but lucratif
ou du secteur public.
Objectifs :
•
•
•
Découvrir un référentiel efficace pour fournir au métier la valeur des systèmes d’information.
Présenter de manière pratique et opérationnelle les différents composants du référentiel COBIT 5.
Valider son apprentissage par l’obtention de la certification COBIT® 5 Foundation, délivrée par l’ISACA.
Participants :
Auditeurs, consultants, responsables informatiques, managers.
Prérequis :
Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement.
Présentation générale de COBIT 5 et de la famille des publications
Présentation détaillée des différents composants de COBIT 5 :
•
•
•
•
Principes
Facilitateurs
Domaines, Processus et Activités
Critères d’évaluation
Liens avec les autres référentiels existant en matière de systèmes d’information.
Introduction à l'implémentation de COBIT 5
Introduction au modèle d'évaluation de capacités de COBIT 5 (PAM)
Préparation à l'examen
•
•
Trucs et astuces pour le passage de l'examen
Examen blanc et correction en groupe
Passage de l'examen officiel COBIT® 5 Foundation Exam
Page 9 / 53
NB : l’exposé s’appuie sur de nombreuses illustrations pratiques et offre la possibilité aux participants d’intervenir
largement.
Durée : 3 jours
Référence : FIC001
Le tarif proposé inclue les frais d'inscription à l'examen et le support de cours.
NB : l’exposé s’appuie sur de nombreuses illustrations pratiques et offre la possibilité aux participants d’intervenir
largement.
Ce séminaire sera complété par un séminaire pratique de 2 jours, consacré à la mise en œuvre opérationnelle de
COBIT, la préparation et le passage de l'examen certifiant " COBIT® 5 Implementation", proposé par l'ISACA, (voir
§ 2.3).
Page 10 / 53
2.3 COBIT IMPLEMENTATION COURSE
Comment utiliser COBIT pour améliorer la gouvernance du SI ? Comment développer un projet COBIT ?
Obtenez des informations pratiques sur comment appliquer COBIT 5 dans une organisation, analyser les
processus et les scénarios de risque. Apprenez comment mettre en oeuvre COBIT 5 dans votre entreprise et
comment l'utiliser au mieux.
Objectifs :
•
•
•
•
•
Analyser les valeurs de l'entreprise
Analyser les défis, les conditions de succès et les risques
Analyser les processus et leur maturité
Définir un plan d'amélioration
Identifier les écueils potentiels
Participants :
Auditeurs, consultants, managers, spécialistes informatiques.
Prérequis :
Avoir obtenu la certification COBIT 5 (voir la formation COBIT Foundation Course § 2.2)
La formation consiste essentiellement en des études de cas et des exercices pratiques.
Les participants apprennent à appliquer l'approche d'amélioration continue proposée par COBIT 5 de façon à
analyser les besoins, définir et mettre en oeuvre une approche de gouvernance et de management de
l'informatique.
A l'issue de la formation, les participants passent l'examen de certification COBIT 5 Implementation Exam, examen
certifiant.
Durée : 2 jours
Le tarif proposé inclut les frais d'inscription à l'examen et la fourniture du support de cours.
Page 11 / 53
2.4 COBIT 5 : PRESENTATION DES NOUVEAUX CONCEPTS
Objectifs :
•
•
•
Présenter de manière synthétique les concepts qui sous-tendent le référentiel COBIT 5.
Présenter la bibliothèque de documents COBIT 5 parus et à venir.
Présenter les différences avec le référentiel COBIT 4.1.
Participants :
•
•
•
Les utilisateurs actuels de COBIT 4.1
Les nouveaux utilisateurs de COBIT comme référentiel de gouvernance.
Les professionnels des SI tant dans le domaine de l’audit, du contrôle que de la gestion de la
gouvernance, du risque SI et de la sécurité.
Prérequis :
Principes généraux de COBIT et des référentiels de gouvernance.
Programme :
•
•
•
•
•
•
•
Présentation générale de COBIT 5, ses principes, son historique et les documents de référence
Présentation des principes de management de SI et de leurs impacts sur l’organisation générale.
Présentation des principes de la gouvernance du SI d’entreprise : expliquer la différence entre
management et gouvernance.
Présentation de l’approche COBIT 5 et la mise en œuvre des 5 principes, des 7 activateurs de
gouvernance et le modèle de référence des processus.
Présentation des principes d’implémentation de COBIT 5
Présentation des différences entre COBIT 4.1 et COBIT 5 et comment envisage la transition.
Les plus de COBIT 5 pour l’entreprise, les managers du SI.
Durée : 1 jour
Page 12 / 53
2.5 COBIT, ITIL, CMMI, ISO : QUELS REFERENTIELS CHOISIR ?
La gouvernance des systèmes d’information comporte de multiples facettes, ce qui explique la prolifération de
référentiels (standards, bonnes pratiques, normes) qui s’y rapportent.
Objectifs :
•
•
•
Présenter les trois référentiels majeurs : COBIT, ITIL, CMMI,
Comprendre les possibilités d’application des référentiels et leurs articulations,
Pouvoir démarrer ou progresser sur la mise en œuvre de ces référentiels dans un esprit de convergence
des approches.
Participants :
Auditeurs informatiques, responsables informatiques.
Prérequis :
•
Introduction
•
•
Les cadres de référence, leurs limites et leur articulation,
Identification des principales préoccupations d’une DSI : la conduite des projets et le bon
fonctionnement des opérations, la gouvernance d’ensemble.
Nécessité d’avoir des approches adaptées au cas par cas qui convergent afin d'être efficaces
•
•
•
COBIT
•
•
•
•
•
•
•
Comment COBIT peut contribuer à l'organisation de la gouvernance des systèmes d'information ?
Le cadre de référence et les grands principes de COBIT
Le guide de management COBIT
Auto-évaluation du contrôle et de la maturité des processus de contrôle
Le guide de mise en œuvre de COBIT
Qui devrait utiliser COBIT et comment ?
Un cas pratique, afin de s’exercer sur les points précédents.
•
•
•
•
•
•
ITIL, présentation, périmètre d’application
Le service desk, au centre du référentiel ITIL
Les processus de support des services
Les processus de fourniture des services
La mise en œuvre d’ITIL
Un cas pratique, afin de s’exercer sur les points précédents.
ITIL
•
CMMi
•
•
•
De CMM à CMMi, historique et positionnement
Les modèles de maturité focalisés sur les processus
Les domaines couverts par le CMMi: Ingénierie des logiciels et des systèmes, développement
intégré, choix des fournisseurs
25 processus et 5 niveaux de maturité
La démarche de mise en œuvre du CMMi dans une organisation, le choix de la représentation
Les risques et enseignements du CMMi
•
•
•
•
Page 13 / 53
Synthèse
•
Un exemple concret de convergence des référentiels sur une étude de cas pratique.
Durée : 2 jours
Référence : FAC001
Page 14 / 53
2.6 POUR UNE MISE EN PLACE EFFICACE DES REFERENTIELS DE GOUVERNANCE
Le développement des référentiels de gouvernance du SI répond à une attente forte d’industrialisation et de
contrôle du SI. Toutefois, il ne s 'agit pas pour les DSI de construire "à côté" des processus existants, mais bien de
viser l'excellence opérationnelle.
Objectifs :
•
•
•
•
•
Comprendre les leviers et limites des référentiels de gouvernance dans une démarche d’amélioration de la
performance,
Analyser la valeur ajoutée d’un processus,
Maîtriser les outils fondamentaux d’optimisation,
Apprendre à construire en quelques jours un processus optimisé, sur la base de cas pratiques,
Connaître les leviers pour soutenir durablement la performance d’un processus.
Participants :
•
•
•
•
DSI et managers SI
Directeurs de projet
Auditeurs informatiques
Consultant en informatique et en organisation
Pré-requis :
Connaissance de base des référentiels de gouvernance (COBIT, ITIl, CMMi, ISO)
•
•
•
•
•
Apports et limites des référentiels de gouvernance
Fondamentaux de l’efficacité opérationnelle
Optimiser un processus en 5 jours
Soutenir la dynamique d’amélioration continue de la performance
Cas pratiques :
o Emergence d’un projet SI
o Demande de changement
Durée : 1 jour
Page 15 / 53
2.7 CONTROLE INTERNE DES SYSTEMES D’INFORMATION
Au-delà de la reconnaissance du support quotidien que les systèmes d’information apportent aux activités métiers
et à leurs processus, il est indispensable de comprendre comment ils impactent la maîtrise et le contrôle interne
des activités d’une organisation.
Dans une approche d’optimisation et de recherche d’efficacité, il est nécessaire d’identifier et de mettre en place
les leviers s’appuyant sur ces systèmes d’information pour renforcer cette maîtrise des opérations, mais également
de surveiller efficacement leur pérennité dans le temps.
Objectifs :
•
•
•
•
Identifier les enjeux du contrôle interne des systèmes d’information.
Comprendre l’articulation entre les contrôles apportés aux processus métiers par les systèmes
d’information et la maîtrise des processus de gestion des systèmes d’information, généralement opérés
par la direction des systèmes d’information.
Appréhender en détail les différents dispositifs de contrôle.
Aborder les démarches d’évaluation, de surveillance (monitoring) et d’optimisation du contrôle interne du
système d’information.
Nous nous appuierons sur l’expérience de nos animateurs et les différents référentiels existants sur ces sujets,
dont notamment :
•
•
•
•
COBIT 4.1, publié par l’ISACA,
COBIT and Application Controls, publié en 2009 par l’ISACA,
Monitoring Internal Control Systems and IT, publié en 2010 par l’ISACA,
« Le contrôle interne du système d’information des organisations : guide opérationnel d’application de
référence AMF relatif au contrôle interne », publié conjointement par l’IFACI et le CIGREF
Participants :
Auditeurs généralistes, auditeurs informatiques, consultants, responsables contrôle interne et contrôle interne
informatique, opérationnels et responsables métiers, responsables des systèmes d'information.
Prérequis :
Notions de contrôle interne, Expérience des processus, Connaissances minimales en gestion des systèmes
d’information.
•
Les dispositifs de contrôle interne liés aux systèmes d’information
•
Contrôle interne des processus métiers et Systèmes d’information :
•
•
•
•
•
le rôle des systèmes d’information et des applications informatiques dans le support des
processus métiers
les contrôles spécifiques disponibles pour améliorer la maîtrise des processus
les risques spécifiques liés à l’utilisation de systèmes d’information
les responsabilités en matière de définition et de mise en œuvre des contrôles liés au SI
dans les processus
focus sur certains domaines fonctionnels
•
Page 16 / 53
Contrôle interne des processus de gestion des systèmes d’information :
•
•
le rôle fondamental du contrôle interne des processus de gestion des systèmes
d’information
es différents objectifs et dispositifs de contrôle au sein des différents processus et les rôles
et responsabilité des différents acteurs : Management des SI, Planification et Organisation,
Développement et gestion des changements, Exploitation et gestion des incidents,
Sécurité, Gestion des projets
NB : le cas particulier des activités gérées à l’extérieur de l’organisation sera spécifiquement abordé :
externalisation, cloud computing…
•
La gestion du contrôle interne lié aux systèmes d’information : évaluer et optimiser :
•
•
•
•
mesurer l’efficacité opérationnelle du contrôle interne
identifier les acteurs et les différentes approches possibles
quelques pistes pour optimiser son dispositif de contrôle interne
Mettre en place un monitoring des contrôles pour gagner en efficacité
•
la notion de monitoring des contrôles
o les principes et étapes
o la comparaison avec les autres modes d’évaluation
les objectifs et bénéfices d’un monitoring des contrôles sur
o la responsabilité des acteurs des processus
o les cycles d’évaluation
o les modes opératoires
les contrôles éligibles à un suivi par monitoring et les conditions préalables indispensables
o la définition du périmètre
o les prérequis et conditions indispensables : organisation, information, …
les étapes de la mise en place d’un monitoring efficace, de l’évaluation des risques jusqu’à la mise
en œuvre
•
•
•
Durée : 2 jours
Page 17 / 53
2.8 L’ARCHITECTURE D’ENTREPRISE POUR LES MANAGERS DU SI
Objectifs :
•
•
Présenter de manière pratique et opérationnelle la démarche et les principes de l’architecture d’entreprise.
Présenter les approches de l’architecture d’entreprise au niveau des métiers et du système d’information.
Participants :
Responsables informatiques, managers, consultants.
Prérequis :
Principes généraux de management des systèmes d’information.
1. Les enjeux et les opportunités de l’Architecture d’entreprise
•
•
•
•
•
Enjeux pour les managers du SI
Enjeux, Tendances de long terme des technologies de l'information
Un levier d’alignement des visions du SI
Un levier pour réutiliser et mutualiser
Gérer les risques et saisir les occasions
2. Faire de l’architecture pour décider
•
•
•
•
•
•
Faire des scénarios
Développer une vision systémique de l'entreprise
Faire des scénarios stratégiques, des scénarios tactiques, donner corps à l'alignement
Donner le pouvoir de décider
Décider pour le long terme
Les décisions tactiques
3. L'architecture et les métiers de l’entreprise
•
•
•
•
Une intégration agile du métier
Saisir les occasions favorables
Optimiser les processus métiers
Engranger les bénéfices des bonnes pratiques
4. L'architecture et le Système d’Information
•
•
•
•
•
•
Les usages du Système d’Information, les exigences d'alignement
Factoriser les scénarios de solutions
Concevoir un Système d’Information qui maximise l'utilité métier
Réutiliser : les aller-retours entre le conceptuel, le logique et le physique
La maîtrise des risques
L’architecture des données
Page 18 / 53
5. L'architecture d’entreprise, un pilier de la gouvernance du SI
•
•
•
L'architecture d’entreprise et les projets
L'architecture et la gestion du portefeuille de projets
L'architecture au sein du dispositif de gouvernance du SI
6. Les référentiels d’Architecture et les autres référentiels de gouvernance du SI
•
•
Les référentiels d’Architecture d’Entreprise : ZACHMAN, EAF, FEAF,…
Les référentiels de gouvernance : ITIL, COBIT, VAL-IT
7. Synthèse et Bilan
•
•
Revue des notions présentées
Feedback des participants
Durée : 1 jour
Page 19 / 53
2.9 ARCHITECTURE D’ENTREPRISE, MISE EN ŒUVRE OPERATIONNELLE
Objectifs :
•
Présenter de manière pratique et opérationnelle la démarche et les principes de l’architecture d’entreprise.
Participants :
•
Responsables informatiques, managers, consultants.
Prérequis :
•
Principes généraux de management des systèmes d’information.
Programme
A - Les principes de l'architecture d'entreprise
1. Les enjeux et les opportunités de l’Architecture d’entreprise
2. Faire de l’architecture pour décider
3. L'architecture et les métiers de l’entreprise 4. L'architecture et le Système d’Information
B - Les cas pratiques sur 3 1/2 journées
C - Synthèse et feed-back stagiaires
Durée : 2 jours
Page 20 / 53
3 AUDIT INFORMATIQUE
3.1 MODELISATION ET OPTIMISATION DES PROCESSUS METIERS
Les processus sont au cœur des évolutions actuelles de nos organisations. Le développement du contrôle interne
et des bonnes pratiques, le renforcement de la réglementation et le souci d'efficacité les rendent incontournables. Il
est nécessaire de les analyser, de les maîtriser et ensuite de les optimiser.
Objectifs :
•
•
•
•
Comprendre la dynamique des processus,
Maîtriser les outils d’audit et d’optimisation de processus,
Identifier et valoriser les risques en fonction des exigences des parties prenantes de l’entreprise (client,
réglementaire, actionnaire, etc.),
Réaliser un diagnostic rapide d’un processus et présenter un plan d’action d’amélioration par percée.
Participants :
Auditeurs, consultants, responsables des systèmes d’information.
Prérequis :
Aucun
•
Introduction à la mise en performance d’un processus :
•
•
•
•
Présentation des démarches d’audit et de rationalisation
•
•
•
•
•
•
Historique et état de l’art
Retour d’expérience
Techniques de modélisation : BPMN,-Turbo post-it
Optimiser un processus en 5 jours avec les événements Kaizen
Comment mettre en œuvre une démarche d’audit et de rationalisation permanente
Mettre en œuvre un modèle de maturité dans son entreprise
Monter un plan d’action dans un environnement budgétaire contraint
Sélectionner les domaines à optimiser en priorité
La boîte à outils pour optimiser un processus
•
•
•
•
•
•
Analyser la valeur d’un processus de service et identifier les sources de gaspillages,écouter la voix
du client
Configurer le traitement des opérations au plus juste,
Piloter la performance des processus de production de services,
Analyser des causes d’anomalie et recherche de solutions,
Réduire et analyser les risques avec AMDEC,
Comment standardiser et rationaliser les échanges et les stockages d’information dans les
services,
•
•
•
•
•
Rendre visible l’invisible avec le management visuel,
Mettre en place des systèmes anti erreur dans le processus administratif,
Optimiser les ressources et les moyens,
Accélérer le traitement des opérations avec la mise en place d’un système à flux tendu
Les infrastructures informatiques pour accroitre l’efficacité
•
•
•
Page 21 / 53
Les systèmes de gestion de processus
Principe de mise en œuvre
S’organiser durablement autour des processus :
•
•
Management par les processus
Pilotage des processus
Durée : 2 jours
Page 22 / 53
3.2 ANALYSE DES DONNEES ET CONTROLES AUTOMATISES
Mettre en place des contrôles dans les applications opérationnelles, nécessite de disposer d’outils automatisés,
afin d'analyser efficacement les données et de fournir les éléments de contrôle aux responsables de processus
Objectifs :
•
•
•
•
Proposer un panorama de l'ensemble des outils disponibles pour les auditeurs et plus particulièrement
ceux d’analyse de données,
Comprendre les enjeux et la valeur ajoutée de l’analyse de données,
Acquérir une méthodologie de travail adaptée,
Initier une pratique efficace de quelques outils d’analyse de données.
Participants :
Auditeurs, experts comptables, commissaires aux comptes, contrôleurs de gestion.
Prérequis :
Notion de fichiers et de bases de données.
•
•
Les enjeux. L'analyse des données est une démarche incontournable pour tout auditeur, qu'il soit
généraliste ou auditeur informatique
L’analyse de données et l'audit d’application
o Les points de contrôle de l’audit d’application
o Présentation des grandes familles d'outils disponibles, les logiciels les plus diffusés, leurs
avantages et leurs limites
•
•
•
•
Les tableurs. C'est la solution la plus fréquente. Est-ce une bonne approche ?
Les bases de données. Il existe des outils de requêtes puissants permettant d'analyser les
données
Les logiciels d’audit
•
La valeur ajoutée de l’analyse de données dans la démarche d’audit. Son
positionnement dans une démarche d'audit
•
Quelques exemples d'utilisation dans le cadre de mission d'audit financier ou
d'audit opérationnel. Leur utilisation dans le cadre d'amélioration de dispositifs de
contrôle interne
•
Les critères clés pour choisir un produit adapté à vos besoins
Démarche pour effectuer un audit des données
•
Définir une démarche sûre et efficace
•
Les différents fichiers et les bases de données utilisables. Comment choisir les bases les plus
intéressantes et quels types de requêtes effectuer.
•
Les différentes étapes de travail d'audit. Les étapes clés de l'analyse des données et la
sécurisation des conclusions
•
Mise en œuvre de l’analyse de données. Étude de différents exemples
•
•
Page 23 / 53
Mise en œuvre de contrôles avec : analyse du cycle ventes facturation
Synthèse
o L'essentiel à retenir,
o Les facteurs clés de succès.
Durée : 2 jours
Page 24 / 53
3.3 AUDIT DU MANAGEMENT DE LA SECURITE DES SI
Il revient à des professionnels spécialisés d’imaginer, d’implémenter et de contrôler les solutions de sécurité. Mais
c’est au management de s’approprier la politique de sécurité de l’information, et d’en aligner les orientations sur sa
stratégie métier. Le rôle de l'auditeur est alors d'évaluer l'ensemble du dispositif.
Objectifs :
•
•
•
•
Comprendre la place de la sécurité de l’information et les risques,
Définir le périmètre de la sécurité de l’information et comprendre son articulation avec la culture
d’entreprise,
Positionner l’usage des principaux référentiels, normes et guides de bonnes pratiques,
Présenter les différentes approches de l’audit de sécurité de l’information.
Participants :
Auditeurs, consultants spécialisés en sécurité, responsables sécurité des systèmes d'information, risk managers,
responsables informatiques.
Prérequis :
Ne pas avoir d’idées préconçues sur la complexité apparente de la sécurité de l’information.
•
Introduction
•
•
•
•
Une histoire de référentiel
•
•
•
Les enjeux de la sécurité de l’information et l’évolution des menaces,
Les contraintes et les risques qui pèsent sur l’entreprise,
Le cadre de gestion de la sécurité de l’information.
La sécurité de l’information dans des référentiels, normes, guides de bonnes pratiques comme
COBIT V4, ISO 17799:2005, ISO 27001, ITIL,
"Aligning COBIT, ITIL and ISO 17799 for Business Benefit”.
Commanditer et réaliser un audit de sécurité
•
•
•
•
Les questions auxquelles se doivent de répondre les audits de sécurité de l’information,
La typologie des audits, de l’audit de la politique de sécurité au test d’intrusion en passant par
l’audit du plan de continuité des activités,
La démarche d’audit,
Petit guide de survie des audits de sécurité du système d’information :
•
•
•
•
•
•
•
Qui est le commanditaire ?
Qui seront les destinataires ?
Qui seront les auditeurs ?
Quel sera le périmètre ?
Quelles méthodes, quels référentiels utiliser ?
Quel résultat ? …
Les risques d’un audit de sécurité.
•
Page 25 / 53
Les grands principes de la sécurité des systèmes d’information
•
•
•
•
Politique, organisation et administration de la sécurité,
Sécurité physique,
Sécurité logique,
Sécurité des réseaux et des échanges.
Durée : 2 jours
Page 26 / 53
3.4 AUDIT DE LA FONCTION INFORMATIQUE
Les décideurs s’interrogent de plus en plus sur l’adéquation et la performance de leur organisation informatique, et
sur le contrôle et le pilotage de leurs systèmes d’information.
Objectifs :
•
•
Donner une vue globale de l’audit de la fonction informatique vue sous ses différents aspects (audit des
risques, audit des organisations, audit de la performance),
Identifier les enjeux, les risques et les bonnes pratiques de management des systèmes d’information.
Participants :
Auditeurs, consultants, responsables des systèmes d'information.
Prérequis :
Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement
Le programme de ce séminaire est articulé autour de trois thèmes principaux :
1. Audit de l’organisation, de la planification et du pilotage des systèmes d’information
2. Audit de la fonction études informatiques
3. Audit de la fonction production informatique
Pour chaque thème, les quatre points suivants seront systématiquement étudiés:
•
•
•
•
Définitions et éléments de connaissance. Il est important de bien comprendre le contexte, de connaître
d'état de l'art du domaine et de positionner les grandes évolutions technologiques.
Risques et enjeux. Avant d'auditer un domaine, il est nécessaire d'évaluer les risques de façon à se
concentrer sur les points à enjeux.
Bonnes pratiques. Il est nécessaire de connaître les bonnes pratiques du domaine audité reconnues par
tous les professionnels.
Guide d’audit et points de contrôle.
Plan détaillé :
•
Introduction :
•
•
•
Nature et objectif des audits de fonction informatique,
Démarche d’audit et phases préliminaires.
Audit de l’organisation, de la planification et du pilotage des systèmes d’information
•
•
•
•
•
Rôle et positionnement de l’informatique dans l’entreprise
La planification stratégique
Budget et suivi des coûts informatiques
Mesure et suivi de la performance informatique
Organisation et structure de la DSI
•
Audit des études informatiques
•
•
•
•
Organisation, rôle et responsabilités de la fonction études informatiques
Développement et maintenance des applications
Planification et suivi de l’activité d'études
Audit de la production informatique
•
•
•
•
•
•
Page 27 / 53
Enjeux, engagements de service et suivi de la performance
Organisation de la fonction production
Gestion de l’exploitation et des livraisons en production
Procédures de sauvegarde et de reprise
Maintenance du matériel et du logiciel de base
Conclusion
•
Les points clés dans une démarche d'audit de la fonction informatique
Durée : 2 jours
Page 28 / 53
3.5 AUDIT SAP
Le progiciel intégré SAP est largement diffusé dans les entreprises; une démarche d'audit adaptée doit être mise
en oeuvre pour en évaluer sa maîtrise et son impact sur les processus métiers supportés.
Objectifs :
•
•
Donner une vue globale de l’audit en environnement SAP,
Apprendre et maîtriser une démarche d'audit adaptée au contexte SAP.
Participants :
Auditeurs, experts comptables, commissaires aux comptes, consultants et informaticiens désireux de s'orienter
vers l'audit informatique.
Prérequis :
Bases de comptabilité et de finance ; connaissance de l'informatique, de ses modes d'organisation et de son
fonctionnement.
•
•
Introduction
Qu’est ce que SAP ?
•
•
•
Présentation fonctionnelle détaillée du progiciel SAP :
o Les concepts de base
•
•
Les principaux flux : achats, ventes.
Identification et évaluation des différents types de risques auxquels doit faire face l’entreprise qui utilise
SAP
•
•
•
•
•
•
Présentation générale du progiciel de gestion intégré
Les parts de marché
Les risques liés à l‘environnement
Les risques liés à la gestion de projet
Les risques liés à l’organisation
Les risques liés à l’architecture fonctionnelle
Les risques liés à l’architecture technique
Démarche d’audit en environnement SAP
•
•
•
•
Présentation d’une démarche d’audit adaptée aux risques identifiés
Revue de pré-implémentation / Revue de post-implémentation : où comment positionner une revue
SAP ?
Outils et méthodologies existants
Exemple d'audit d’un projet SAP : illustration au travers d’exemples tirés de la pratique
•
Modalité de revue des points clefs de contrôles internes sur les principaux flux
•
•
•
•
Rappels sur le dispositif Sarbanes-Oxley
Démarche d’analyse du contrôle interne au travers des flux
Exemples tirés de la pratique
Audit de sécurité en environnement SAP
•
•
•
Page 29 / 53
Présentation des concepts
Démarche d’audit
Mode d’organisation autour de SAP.
o Qu’est ce qu’un centre de compétences ?
Durée : 2 jours
Page 30 / 53
3.6 AUDIT DES APPLICATIONS INFORMATIQUES
Les applications informatiques sont le support incontournable des processus métiers ou fonctionnels.
Savoir les comprendre, les analyser, en mesurer les risques et le degré de maîtrise est indispensable à qui veut
mesurer la fiabilité du processus supporté.
Objectifs :
•
•
•
•
Initier à l'audit des applications informatiques et des contrôles automatisés.
Identifier les enjeux de l'audit des contrôles automatisés et les différents contextes.
Proposer une démarche et des outils.
Identifier les limites de la démarche ou les compléments nécessaires.
Nous nous appuierons sur l’expérience de ce type d’audit et les référentiels récemment publiés sur le sujet :
•
COBIT and Application Controls, publié en 2009 par l’ISACA,
•
Guide d’audit des applications informatiques, co-publié par le chapitre Suisse de l’ISACA et l'AFAI en
novembre 2008,
•
Global Technology Audit Guide (GTAG) n° 8 – Auditing Application Controls, publié par l’Institute of
Internal Auditors (juillet 2007) et traduit par l’Institut Français de l’Audit et du Contrôle Interne (IFACI) sous
le titre Audit des contrôles applicatifs.
Participants :
Auditeurs généralistes, auditeurs informatiques, consultants, responsables contrôle interne et contrôle interne
informatique, responsables des systèmes d'information désireux de s'orienter vers l'audit informatique.
Prérequis :
Expérience des processus et des applications, notions de contrôle interne.
•
Enjeux de l'audit des applications et contexte :
• le rôle des applications informatiques dans le support des processus métiers : mise en évidence de
l’importance des applications dans l’efficacité des processus métiers, détail des opportunités,
risques et contraintes associes ;
• les contrôles automatisés : définition de la notion de contrôle automatisé (ou contrôle programmé) et
nombreux exemples. Bénéfices et limites de ce type de contrôle (sur le processus lui-même ou sur
son contrôle a posteriori). Criticité des contrôles ;
• les types d'audit d'application : présentation des différents types d’audits d’application, de leur apport
selon la situation ou les objectifs poursuivis ;
• les référentiels : présentation des différents référentiels existants, de leurs apports et de leurs limites,
de la façon de les utiliser.
•
•
Page 31 / 53
Méthode d'audit des applications :
•
les différentes étapes : décomposition d’un audit d’application, et notamment les méthodes
d’investigation, l’analyse des risques, l’identification et l’évaluation des contrôles applicatifs, les
tests des contrôles applicatifs ;
•
les techniques de documentation : rappel des différents modes de documentation et de leur apport
en termes de méthodologie et de support du raisonnement de l’audit ;
•
les techniques de test : présentation des différentes techniques de test disponibles pour un
auditeur, avec leurs points clés, leurs avantages et les pré-requis nécessaires.
Audits d’application en cours d'implémentation : contexte spécifique de ce type d’intervention, les
bénéfices propres, les risques et les nécessaires adaptations à la méthode.
Durée : 2 jours
Référence : FAS004
Page 32 / 53
3.7 AUDIT DES PROJETS INFORMATIQUES
Les entreprises sont de plus en plus souvent conduites à évaluer leurs projets informatiques en cours de
mise en œuvre, du fait de leur complexité accrue et des risques afférents.
Objectifs :
•
•
Connaître les bonnes pratiques en matière de gestion de projet informatique,
Acquérir les connaissances nécessaires pour effectuer le diagnostic d’un projet informatique notamment
au plan de ses risques.
Participants :
Auditeurs, consultants, chefs de projets
Prérequis:
•
•
Pratique de la gestion de projet informatique,
Connaissance des phases du cycle de vie d’un projet et des structures de conduite de projet.
•
Les préoccupations en matière de projet
o Les questions clés posées par des décideurs
o Certains décideurs ont plus de mal
o Grandes tendances et préoccupations des dirigeants
o L’état de l’art en matière de projet informatique
•
Les préalables de l’audit de projet
•
•
•
•
•
•
•
La notion de projet
Les particularités des projets informatiques
Tenir les délais et les budgets
Évaluation des risques liés au projet
Les risques de la non-qualité, les dérapages des coûts et des délais
Nécessité de mettre en place un dispositif de pilotage efficace
Les bonnes pratiques en matière de gestion de projet
•
•
•
•
•
•
•
•
Existence d’une méthodologie de conduite des projets
Conduite du projet par étapes
Le respect des phases du projet
Maîtrise du processus de développement
Conformité des projets aux objectifs généraux de l’informatique et à ceux de l’entreprise
Note de cadrage
Qualité des études amont : expression des besoins, cahier des charges
Importance des tests, notamment des tests utilisateurs
•
Les différentes approches de l’audit des projets
•
•
•
Les grandes règles de l'audit de projet
COBIT : le PO 10 et les autres référentiels d'audit
Démarches d'audit des projets
•
•
•
•
•
•
•
•
Les objectifs et les points de contrôle :
Évaluation du processus de développement
Existence de processus, de méthodes et de standards
Vérification de l’application de la méthodologie
Compréhension les causes de dérives des projets
Adéquation des fonctions aux besoins des utilisateurs
Autres objectifs de contrôle
Audit des projets aux différentes phases du projet
•
•
•
•
•
•
Étude de faisabilité (dossier d’expression des besoins, étude d’opportunité,...)
Cahier des charges (analyse fonctionnelle, conception générale,…)
En cours de réalisation (analyse détaillée, programmation, paramétrage, tests unitaires,…)
Tests (tests d’intégration, tests de performance, recette,…)
Application opérationnelle
Les différents types d’audit des projets
•
•
•
•
•
•
•
Les grands projets
Les projets stratégiques
La mise en œuvre d’un ERP
Le déploiement sur de nombreux sites
Les petits projets
Les projets en PME
Exemples de mission d’audit de projet
•
•
•
•
•
Page 33 / 53
Audit d’un projet en phase amont
Audit d’un grand projet à la fin du cahier des charges
Audit d’un projet moyen en mode client-serveur
Audit d’un projet en RAD
Traitement en groupe d'un cas
•
•
L'audit d'un projet au stade de la faisabilité
L'audit d'un projet à la fin de l'analyse fonctionnelle
Durée : 2 jours
Page 34 / 53
4 SECURITE DES SI ET RISK MANAGEMENT
4.1 MANAGEMENT DE LA SECURITE DES SI
La sécurité des systèmes d'information est un sujet critique pour lequel il convient de mettre en œuvre les bonnes
pratiques de gouvernance, via un management efficace.
Objectifs :
•
•
•
Connaître les démarches permettant de mettre en œuvre des dispositifs de sécurité efficaces,
En identifier les points-clés,
Prendre en compte les règles et les pratiques de management permettant d’améliorer de manière
significative le niveau de sécurité des SI.
Participants :
Auditeurs, consultants spécialisés en sécurité, responsables sécurité des systèmes d'information, risk managers.
Prérequis :
•
Analyse de risques et politique de sécurité
•
•
•
•
•
•
Analyse et gestion des risques informatiques
Les méthodes existantes (Mehari, etc.)
Utilisation des normes ISO17799 et ISO27001
Politique et organisation de la sécurité
Les schémas directeurs et plans de sécurité
Le cadre juridique de la sécurité informatique
•
•
•
•
•
•
•
•
La CNIL, la loi Godfrain, et les principes de la propriété intellectuelle
La signature électronique
La LSQ, l’économie numérique
Les problèmes propres à l’infogérance
Le droit des contrats : les contrats de travail et les contrats avec les prestataires
La surveillance des salariés
L’élaboration des chartes
La « Privacy »
•
La mise en œuvre de la sécurité
•
•
•
•
•
•
•
•
•
Page 35 / 53
Les tableaux de bord
L’élaboration du budget
La sécurité dans les projets informatiques
La conduite de projet
La sensibilisation et la formation
La conduite du changement
La mesure et les contrôles
La politique de veille
La gestion de la crise
•
•
•
•
La gestion des incidents
Le plan de continuité des activités
Le plan de secours
La communication
Durée : 4 jours
Page 36 / 53
4.2 METHODES DE LUTTE CONTRE LA FRAUDE INFORMATIQUE
Les moyens des fraudeurs se multiplient avec l’évolution des techniques. Il est de plus en plus difficile, sans avoir
des connaissances suffisantes, de déterminer rapidement les faiblesses d'une organisation, et trouver les parades
adaptées.
Objectifs :
•
•
•
Donner une vision globale de la fraude et de ses implications,
Permettre aux auditeurs de réagir suffisamment vite et de conseiller les décideurs sur les dispositifs de
sécurité à mettre en œuvre pour éviter les fraudes,
Identifier les points-clés de la démarche d'audit appliquée à la détection des fraudes.
Participants :
Auditeurs, consultants, responsables sécurité des systèmes d'information, risk mananagers, responsables
informatiques
Prérequis :
Connaissances générales concernant l'informatique et notamment les communications.
•
1ère partie – La fraude classique
•
•
•
•
•
•
•
•
•
•
Définitions et inventaires – L'arbre des fraudes
« Quid » de la fraude
Caractéristiques de la fraude
Buts recherchés
Environnement de la fraude
Les supports de la fraude
La méthode applicable
La mécanisation des recherches
Les aspects juridiques
2ème partie – La fraude informatique
•
•
•
•
•
•
Les réseaux
Les communications
Internet – Intranet – Extranet
L’administration de la sécurité
La piste d’audit adaptée à l’informatique
Les grands classiques informatiques
•
•
•
•
•
La fraude applicative
La fraude à partir du système d’exploitation
La fraude en production
La fraude via les réseaux
Le « craquage » des mots de passe
•
Quelques spécificités
•
•
•
•
Fraude sur les ERP (achats et ventes),
Fraudes sur cartes bancaires
Les « pourriciels »
1ère Etude de cas : « le salami »
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Les cyber fraudes
Le « sniffing »
Le « spoofing »
Le chantage aux fichiers cryptés (technique PGPxx)
Le « flooding »
Le « TCP-SYN Flooding »
Le « smurf »
Le débordement de tampon
Les virus, vers, chevaux de Troie
Les bombes logiques
Les « hoax »
Les « backdoors »
L’ingénierie sociale
Mascarade et piratage de sites…
Autres aspects de la fraude informatique
•
•
•
•
•
Page 37 / 53
La technique dite du Salami
Le piratage de logiciels
Les logiciels d’attaque et de piratage
Captage et découplage…
3ème partie – Méthode de lutte contre la fraude informatique – Indicateurs
•
•
•
•
•
•
•
•
•
Indicateurs
Les contrôles (accusés réception automatiques,…)
Les liens entre cartographie applicative, cartographie des risques, cartographie des réseaux
Les « règles du jeu »
L’obligation d’inventaire des contrôles automatisés
La séparation des tâches informatiques (la matrice des habilitations)
Benford
La cryptologie et la cryptanalyse
2ème étude de cas : Matrice des habilitations
•
•
•
•
La documentation – sa conservation (historisation)
Protection des sauvegardes
Les fiches techniques de détection et prévention de la fraude (FTDF)
3ème Etude de cas – Etablissement d’une FTDF fraude informatique
Page 38 / 53
•
4ème partie – Les auditeurs et la gestion de la fraude
o Les points d’accroche
o Méthodologie
o 1ère phase : Identification – qualification – recherches complémentaires – coûts financiers
o 2ème phase : Analyse et coordination
o 3ème phase : Communication et rapport
•
Conclusion – Stratégie de lutte contre la fraude
•
•
•
•
•
Lutte contre les pourriciels et la manipulation des comptes,
La place des auditeurs dans la stratégie de lutte,
Le rôle du secteur « risk management »,
Le rôle des autres organes de l’entreprise,
L’excellence du contrôle interne classique et informatisé.
Durée : 2 jours
Page 39 / 53
4.3 L’ESSENTIEL DU MANAGEMENT DES RISQUES INFORMATIQUES
Objectifs :
•
•
•
•
Connaître les concepts et principes du management des risques
Découvrir les principales normes et les référentiels majeurs de management des risques informatiques
Connaître les principes, processus et activités de management des risques informatiques
Appréhender les points clés du management des risques informatiques
Participants :
Responsables de la gestion des risques, du contrôle interne, de la sécurité, auditeurs, consultants, informaticiens.
Prérequis :
Aucun. Cependant la connaissance de l'informatique et de son fonctionnement permet de tirer pleinement profit du
séminaire.
•
•
•
•
•
•
•
•
•
•
•
Le risque : définitions
Les risques liés à l’informatique : définitions et caractéristiques
Composantes du risque et éléments du vocabulaire du management des risques
Management des risques : définition et composantes
Gouvernance des SI et risques informatiques
Principales normes et référentiels majeurs de management des risques :
o Modèle FERMA, COSO ERM, ISO 31000
o Risk IT
o ISO 27000, CRAMM, EBIOS, MEHARI, OCTAVE
o Autres référentiels (ITIL, PMBOK)
Risk IT : contenu et structure
Principes, processus et activités de management des risques informatiques :
o Gouvernance
o Appréciation
o Traitement
o Surveillance
o Communication
Outils intégrés de management des risques
Synthèse des points clés du management des risques informatiques
La certification CRISC
Durée : 1 jour
Les participants à cette formation bénéficient d'une réduction de 15% pour l'achat du Référentiel Risk IT et du
Guide utilisateur Risk IT en français.
Référence : FIR001
Page 40 / 53
4.4 REFERENTIEL ET GUIDE UTILISATEUR RISK IT : CONTENU ET MISE EN ŒUVRE
Objectifs :
•
•
Appréhender de manière exhaustive le référentiel et le guide utilisateur Risk IT
Aider à la mise en œuvre de Risk IT
Participants :
Responsables de la gestion des risques, du contrôle interne, de la sécurité, consultants, informaticiens et
responsables métier.
Pré-requis :
•
•
•
Connaissance de l’informatique et de son fonctionnement.
Connaissance des principes, processus et activités de management des risques (ces éléments sont
présentés dans le séminaire L’essentiel du management des risques informatiques (voir § 4.3) dont le
contenu est supposé acquis).
Connaissance de COBIT et de Val IT.
•
•
•
•
•
•
•
Le risque lié à l’informatique : définitions et caractéristiques
Positionnement de Risk IT par rapport aux principales normes et référentiels majeurs de management des
risques
Référentiel Risk IT et Guide utilisateur Risk IT : contenu et structure
Présentation détaillée des 3 domaines, 9 processus et 47 bonnes pratiques de Risk IT basées sur COBIT
et Val IT
Mise en œuvre de Risk IT : guide utilisateur et outils complémentaires
Analyse critique de Risk IT
Traitement de cas pratiques.
Durée : 2 jours
Les participants à cette formation bénéficient d'une réduction de 15% pour l'achat du Référentiel Risk IT et du
Guide utilisateur Risk IT en français.
Page 41 / 53
5 PREPARATION AUX EXAMENS DE CERTIFICATION ISACA
5.1 FORMATION PREPARATOIRE A L’EXAMEN DU CISA
Cette formation a pour but de préparer les candidats à l'examen du CISA.
Attention :
•
•
Elle n’est en aucun cas une formation à l’audit du système d’information.
L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site
de l'ISACA. (www.isaca.org)
Objectifs :
•
•
•
• Analyser les différents domaines du programme sur lequel porte l’examen.
• Assimiler le vocabulaire et les idées directrices de l’examen.
• S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaire.
Participants :
Auditeurs confirmés ou informaticiens qui souhaite obtenir la certification CISA (Certified Information System
Auditor) délivrée par l'ISACA, et préparer l'examen. Celui-ci dure 4 heures et utilise un questionnaire constitué de
200 questions portant sur l’ensemble des domaines relevant de l’audit du système d’information
Programme :
Le programme du séminaire suit les 6 domaines définis pour l'examen :
•
Domaine 1 : Processus d’audit des SI
•
•
•
•
Domaine 2 : Gouvernance des SI
•
•
•
•
•
Les standards d’audit
L’analyse de risque et le contrôle interne
La pratique d’un audit SI
Stratégie de la gouvernance du SI
Procédures et Risk management
La pratique de la gouvernance des SI
L’audit d’une structure de gouvernance
Domaine 3 : Gestion du cycle de vie des systèmes et de l’infrastructure
•
•
•
•
Gestion de projet : pratique et audit
Les pratiques de développement
L’audit de la maintenance applicative et des systèmes
Les contrôles applicatifs
•
Domaine 4 : Fourniture et support des services
•
•
•
•
Audit de l’exploitation des SI
Audit des aspects matériels du SI
Audit des architectures SI et réseaux
Domaine 5 : Protection des avoirs informatiques
•
•
•
•
•
Page 42 / 53
Gestion de la sécurité : politique et gouvernance
Audit et sécurité logique et physique
Audit de la sécurité des réseaux
Audit des dispositifs nomades
Domaine 6 : Plan de continuité et plan de secours informatique.
•
•
Les pratiques des plans de continuité et des plans de secours
Audit des systèmes de continuité et de secours.
Dans chaque exposé, l’accent sera mis sur les éléments organisationnels et technologiques fondamentaux et leurs
impacts sur la stratégie d’audit en termes de validité et d’exhaustivité des éléments audités conformément à
l’approche ISACA.
Méthode :
•
•
•
•
Un questionnaire d’auto-évaluation sur les différents domaines vous est proposé avant votre inscription à
l’examen pour vous permettre d’évaluer éventuellement vos lacunes et y remédier en suivant une
formation sur la sécurité, la sécurité des réseaux et Internet que vous propose l’AFAI
Ensemble d’exposés couvrant chaque domaine du programme de l’examen.
A la fin de chaque exposé, les participants doivent s’entraîner à répondre à un ensemble de questions
portant sur le thème de l’exposé. Ces questions sont issues des précédentes sessions du CISA (ou
d’examens comparables).
Simulation partielle de l’examen (examen blanc) effectuée en fin de formation.
Il est vivement recommandé aux auditeurs peu habitués à la problématique des réseaux et de la sécurité ou
sécurité des réseaux/Internet de suivre au préalable le séminaire Initiation à la sécurité et aux réseaux
informatiques (voir § 1.3).
Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la
documentation de préparation de l'examen (CISA review manual 2013 en anglais ou Manuel de révision CISA en
français).qu'ils peuvent acquérir auprès de l'ISACA (www.isaca.org).
Durée : 5 jours
Référence : FIA001
Page 43 / 53
5.2 FORMATION PREPARATOIRE A L’EXAMEN DU CISM
Cette formation a pour but de préparer les candidats à l'examen du CISM (Certified Information System Manager),
la certification internationale délivrée par l’ISACA, examen qui se déroule chaque année en juin et décembre.
Attention :
Cette formation n’est pas une formation au management de la sécurité.
L'inscription à cette formation est totalement indépendante de celle à l'examen, qui se fait sur le site de l'ISACA
(www.isaca.org).
Objectifs :
•
•
•
Analyser les différents domaines du programme sur lequel porte l’examen.
Assimiler le vocabulaire et les idées directrices de l’examen.
S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaire.
Participants :
Ingénieurs Sécurité, RSSI, consultants en sécurité.
Pré-requis :
Expérience en matière de management de la sécurité des systèmes d'information.
Programme :
•
•
•
•
•
•
Gouvernance de la sécurité
Risk Management
Gestion des plans de sécurité
Gestion des activités de sécurité
Réponse aux incidents
Questionnaire d’entraînement
Méthode :
•
•
Ensemble d’exposés couvrant chaque domaine du programme de l’examen.
A la fin de chaque exposé, les participants doivent s’entraîner à répondre à un ensemble de questions
portant sur le thème de l’exposé. Ces questions sont issues des précédentes sessions du CISA (ou
d’examens comparables).
•
documentation de préparation de l'examen (CISM review manual 2013) qu'ils peuvent acquérir auprès de l'ISACA
(www.isaca.org).
Durée : 3 jours
Référence : FIM001
Page 44 / 53
5.3 FORMATION PREPARATOIRE A L’EXAMEN DU CGEIT
Cette formation a pour but de préparer les candidats à l'examen du CGEIT (Certified in Governance of Enterprise
Information Technology), la certification internationale délivrée par l’ISACA, examen qui se déroule chaque année
en juin et décembre.
Attention :
Cette formation n’est en aucun cas une formation à la gouvernance du système d’information.
L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site de
l'ISACA (www.isaca.org).
Objectifs :
Se préparer à l’examen bi-annuel de la certification CGEIT de l’ISACA. Cet examen se déroule en France 2 fois
par an, exclusivement en anglais. Celui-ci dure 4 heures et utilise un questionnaire constitué de 120 questions
portant sur l’ensemble des domaines relevant des domaines de la gouvernance des SI.
Participants :
Auditeurs, Consultants, Responsables Informatiques, Managers.
Prérequis :
Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement. Connaissance des
principes généraux de la gouvernance et de COBIT.
Le programme du séminaire suit les 6 domaines définis pour l'examen :
•
•
•
•
•
•
Le cadre de référence et les grands principes de la gouvernance.
L’alignement stratégique.
La fourniture de valeur.
Le risk management.
Le management des ressources.
La mesure de la performance du SI.
Pour chaque domaine, seront détaillés les principes de mise en place de la gouvernance du SI selon l’ISACA et les
documents et informations de référence. La préparation à l’examen CGEIT sera associée à des examens blancs
sur chacun des domaines (20 questions par domaine).
•
La pratique de l’examen : déroulement, gestion du temps.
documentation de référence qu'ils peuvent acquérir auprès de l'ISACA ; celle-ci comprend notamment : COBIT, Val
IT, Board briefing on IT Governance, IT Governance domains and practices, etc. Certains de ses documents sont
accessibles en téléchargement gratuits. (voir sur www.isaca.org) : CGEIT Exam reference materials).
Durée : 3 jours
Référence : FIG001
Page 45 / 53
5.4 FORMATION PREPARATOIRE A L’EXAMEN DU CRISC
Cette formation a pour but de préparer les candidats à l'examen du CRISC.
Attention :
Elle n’est en aucun cas une formation au management des risques informatiques.
L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site de
l'ISACA.
Objectifs :
•
•
•
Analyser les différents domaines du programme sur lequel porte l’examen.
Assimiler le vocabulaire et les idées directrices de l’examen.
S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaire.
Nota : L’examen a lieu deux fois par an en France. Exclusivement en anglais, il consiste à répondre à 200
questions à choix multiples en 4h.
documentation de référence qu'ils peuvent se procurer auprès de l'ISACA
Participants :
Professionnels de l’informatique, professionnels de la gestion des risques, analystes métier spécialisés en risques,
directeurs de projets, responsables de la conformité, professionnels métier qui souhaitent obtenir la certification
CRISC (Certified in Risk and Information Systems Control) délivrée par l'ISACA, et préparer l'examen.
Pré-requis :
Bonne connaissance de l’informatique, des risques liés à l’informatique et de la façon de les maîtriser ainsi que du
référentiel Risk IT.
Il est conseillé d’avoir suivi préalablement la formation Risk IT : contenu et mise en œuvre (voir § 4.4).
Programme :
Le programme du séminaire couvre les 5 domaines définis pour l'examen et comprend une simulation partielle de
l’examen.
•
•
•
•
•
Domaine 1 : Identification, Appréciation et Évaluation des risques
Domaine 2 : Traitement des risques
Domaine 3 : Surveillance des risques
Domaine 4 : Conception et mise en place du contrôle des SI
Domaine 5 : Surveillance et suivi du contrôle des SI
Pour chaque domaine, seront détaillés les principes de management des risques informatiques selon l’ISACA
(documents et informations de référence de l’ISACA).
La pratique de l’examen : déroulement, gestion du temps
Durée : 3 jours
Page 46 / 53
6 PREPARATION AUX CERTIFICATIONS ISO ET ITIL
6.1 ISO 27001 : LEAD AUDITOR
Ce cours intensif de cinq jours permet aux participants d’acquérir les connaissances nécessaires et de développer
l’expertise pour :
•
planifier et effectuer des audits de la conformité d’un système de management de la sécurité de
l’information par rapport aux exigences de la norme ISO 27001;
•
manager une équipe d’auditeurs en appliquant les principes, procédures et techniques d’audits
communément reconnus.
A partir d’exercices pratiques basés sur un cas d’étude, le stagiaire sera mis en situation de développer les
compétences (maîtrise des techniques d’audit) et les aptitudes (gestion d’équipes et d’un programme d’audit,
communication avec les clients, résolution de conflits, etc.) nécessaires à la conduite d’un audit.
La formation est basée sur les lignes directrices d’audit de système de management (ISO 19011:2002) ainsi que
les meilleures pratiques internationales d’audit. Elle se compose de :
•
Cours magistraux illustrés de cas concrets,
•
Exercices pratiques, réalisés seul ou en groupe (jeux de rôles), tirés de missions réelles, en lien direct
avec la préparation à l’examen.
Objectifs:
•
•
•
•
•
Comprendre les principes d’application de l’ISO 27001:2005 dans la construction d’un système de
management de la sécurité de l’information,
Comprendre la relation entre le système de management de la sécurité de l’information, le management
des risques, les mesures, et les différentes parties prenantes,
Comprendre les principes, procédures et techniques d’audit de l’ISO 19011 :2002, et comment les
appliquer dans le cadre d’un audit selon l’ISO 27001,
Comprendre l’application des obligations légales, statutaires, réglementaires ou contractuelles pertinentes
lors de l’audit d’un SMSI,
Acquérir les compétences nécessaires pour effectuer un audit de façon efficace, et les techniques de
gestion d’une équipe d’audit, préparer et compléter un rapport d’audit ISO 27001.
Prérequis:
Une connaissance préalable des normes ISO 27001 et ISO 27002 est recommandée.
Participants:
•
•
•
•
•
Personnes désirant diriger des audits de certification ISO 27001 en tant que responsable d’une équipe
d’audit,
Consultants désirant préparer et accompagner une organisation lors d’un audit de certification ISO 27001,
Auditeurs internes désirant préparer et accompagner leur organisation vers l’audit de certification ISO
27001,
Responsables de la sécurité de l’information ou de la conformité,
Conseillers experts en technologies de l’information.
Page 47 / 53
Programme:
Jour 1 : Introduction à la gestion d’un système de management de la sécurité de l’information selon ISO 27001
•
•
•
•
•
•
Objectifs et structure du cours
Cadre normatif et réglementaire
Processus de certification ISO 27001
Principes fondamentaux de la sécurité de l’information et de la gestion du risque
Système de management de la sécurité de l’information (SMSI)
Présentation des clauses 4 à 8 de l’ISO 27001
Jour 2 : Démarrer un audit ISO 27001
•
•
•
•
•
•
•
Concepts et principes fondamentaux d’audit
Éthique et déontologie de l’audit
L’approche d’audit fondée sur la preuve et sur le risque
Préparation d’un audit de certification ISO 27001
L’audit documentaire
Préparation du plan d’audit
Conduite d’une réunion d’ouverture
Jour 3 : Conduire un audit ISO 27001
•
•
•
Communication durant l’audit
Les procédures d’audit (observation, entrevue, techniques d’échantillonnage)
Rédaction des conclusions d’audit et des rapports de non-conformité
Jour 4 : Conclure un audit ISO 27001
•
•
•
•
•
•
Documentation de l’audit
Revue des notes d’audit
Conclusion d’un audit ISO 27001
Gestion d’un programme d’audit
La compétence et l’évaluation des auditeurs
Clôture de la formation
Jour 5 : Examen
•
Examen
Examen et certification:
L’examen ISMS - ISO 27001 Lead Auditor est certifié par le RABQSA et répond aux critères du ‘RABQSA Training
Provider Examination Certification Scheme’ (TPECS), dont il couvre les unités de compétence:
•
•
•
RABQSA – IS (sécurité de l’information),
RABQSA – AU (Techniques d’audit),
RABQSA –TL (Techniques d’auditeur principal).
L’examen ISMS - ISO 27001 Lead Auditor est disponible en français, en anglais et en espagnol.
Page 48 / 53
Un certificat est remis aux participants ayant réussi l’examen.
Le certificat de réussite d’examen RABQSA est reconnu par l’IRCA et répond aux critères de certification
IRCA/2016.
Le participant ayant réussi l’examen pourra s’inscrire auprès de l’IRCA ou du RABQSA, et prétendre, selon son
expérience de l’audit, au titre d’auditeur provisoire ISO 27001, d’auditeur ISO 27001, d’auditeur principal ISO
27001, ou de Lead Auditor ISO 27001.
Documentation fournie aux participants:
•
•
•
Une copie papier de la norme ISO/CEI 27001 :2005
Une attestation de participation de 35 CPE (Continuing Professional Education),
Une trousse à outils d’audit ainsi qu’un manuel de l’étudiant (plus de 400 pages d’informations et
d’exemples pratiques)
Durée:
La durée de la session est de 5 jours : 4 jours de cours et une demi-journée d'examen, soit un stage de 40 heures
réparties en 32 heures de cours, 5 heures de travail individuel à réaliser le soir après les cours, et 3 heures
d'examen.
Cette durée de 40 heures répond à une exigence de la norme ISO 19011:2002.
Coût:
Le coût de l'examen est inclus dans le tarif spécifique de cette formation.
Référence : FCS001
Page 49 / 53
6.2 ISO 27005 : CERTIFIED RISK MANAGER
a formation ISO 27005 Certified Risk Manager permet de maîtriser les éléments fondamentaux relatifs à la gestion
des risques reliés à l’information.
Objectifs:
En réalisant des exercices pratiques basés sur des études de cas, par des démonstrations et des débats, les
participants acquièrent la capacité d’apprécier les risques sur la sécurité de l’information, de les gérer et de les
contrôler, d’effectuer des évaluations sur la sécurité de l’information, et de développer des plans de maîtrise des
risques, tenant compte des éléments stratégiques, administratifs, technologiques et organisationnels.
Cette formation comprend une présentation comparée des différentes méthodes d’analyses de risques
compatibles à la norme ISO 27005. Cette formation à la maîtrise des risques s'inscrit parfaitement dans le cadre
d'un processus d'implémentation d’un système de management de la sécurité de l’information selon la norme ISO
27001.
Prérequis:
Une connaissance de base des principes de la sécurité de l’information, et de la continuité des activités est
recommandée.
Participants:
•
•
Collaborateurs affectés à la maîtrise des risques de leur organisation et en charge de conduire une
analyse des risques
Consultants en sécurité des systèmes d’information désirant compléter leurs connaissances dans la
gestion des risques et/ou accompagnant des organisations dans leur analyse des risques.
Programme:
•
•
•
•
•
•
•
•
•
•
•
•
Concept de base en gestion des risques
Les normes et cadres de référence en gestion des risques
Mise en œuvre d’un programme de gestion des risques
Classification des actifs
Identification et analyse des risques
Approche quantitative et qualitative de l’évaluation des risques
Traitement du risque
Gestion des risques résiduels
Gestions des risques de projets
Gouvernance et gestion des risques
Présentation des principales méthodologies de gestion des risques : EBIOS, MEHARI, OCTAVE, CRAMM,
Microsoft Security Compliance Management
Examen ISO 27005 Certified Risk Manager (2 heures)
Documentation remise aux participants:
•
•
•
Une copie de la norme ISO 27005,
Le manuel de l’étudiant,
Un certificat de participation valant 14 points CPE (continuing professional education).
Page 50 / 53
Examen et certification :
L’examen ISO 27005 Certified Risk Manager est en cours de certification par le RABQSA et répond aux critères du
‘RABQSA Training Provider Examination Certification Scheme’ (TPECS) et couvre l’unité de compétences
: RABQSA – IS (Sécurité de l’information).
L’examen ISO 27005 Certified Risk Manager est disponible en français et en anglais
Durée de l’examen : 2 heures
Un certificat sera remis aux participants suite à la réussite de l’examen.
Durée:
3 jours.
Coût:
NB : D'autres formations certifiantes relatives à ISO 27005 sont susceptibles d'être proposées par l'AFAI. Si vous
êtes intéressé(e)s, merci d'adresser un e-mail à [email protected].
Référence : FCS002
Page 51 / 53
6.3 ITIL : FONDATIONS
Ce cours d’introduction à ITIL offre aux participants la possibilité d’acquérir les connaissances de base sur la
gestion de service informatique selon ITIL.
Objectifs :
Comprendre la structure ITIL afin de fournir la base des concepts clés, de la terminologie, des processus et des
fonctions proposées par ITIL.
Prérequis:
Aucun pré-requis n’est exigé ni recommandé
Participants:
Auditeur, consultant, gestionnaire TI, personnel TI ou toute personne désirant se familiariser avec ITIL
Documentation:
•
•
•
•
Une copie du livre « an introduction to ITIL » sera remise aux participants
Une copie des notes de cours est remise aux participants
Un examen de pratique sera remis aux participants
Un certificat de participation de 21 CPE (continuing professional education) sera remis aux participants
Programme:
•
•
•
•
•
•
•
•
•
Présentation d’ITIL
La gestion de service en tant que pratique
Introduction du concept de cycle de vie
Stratégie de service
Conception de service
Transition de service
Exploitation de service
Amélioration continue de service
Considérations technologiques
Examen et certification:
La certification de niveau « fondations » est obtenue suite à la réussite à un examen composé de quarante (40)
questions à choix multiple à réaliser dans un délai de soixante (60) minutes.
Durée: 3 jours
Coût:
NB : D'autres formations certifiantes relatives à ITIL sont susceptibles d'être proposées par l'AFAI. Si vous êtes
intéressé(e)s, merci d'adresser un e-mail à [email protected].
Référence : FCT001
Page 52 / 53
7 CONDITIONS GENERALES DE VENTE ET TARIFS
7.1 FORMATION INTER-ENTREPRISES
Inscriptions
Les inscriptions aux formations inter-entreprises sont effectuées en utilisant exlclusivement le bulletin d’inscription (voir § 0).
L'envoi à l'AFAI du bulletin vaut inscription et engage l'entreprise. Un accusé de réception est adressé par e-mail au participant
et au responsable de formation par l'AFAI.
Horaires et lieux
Les formations se déroulent de 9h30 à 12h30 et de 14h à 18h. Les déjeuners sont pris au restaurant. Un petit déjeuner
d'accueil est servi à partir de 9h. Ces formations se déroulent à Paris ou proche banlieue. Le lieu et les moyens d'accès sont
communiqués aux participants par messagerie électronique.
Frais d’inscription
Pour l’application de la tarification consentie aux membres de l’AFAI, la qualité d’adhérent est contrôlée lors de l’établissement
de la facture, à l’issue de la formation.
Toute formation commencée est due en totalité. Si la formation est prise en charge par un OPCA, la demande de prise en
charge doit être effectuée directement par l'entreprise et mentionnée impérativement sur le bulletin d'inscription.
Annulations / remplacements
Toute inscription peut être librement annulée au plus tard 10 jours avant le début du séminaire ; au-delà de ce délai, elle est
considérée comme définitive et ne pourra être remboursée. En cas de désistement, le remplacement par un autre participant
est accepté à tout moment.
Conventions de formation
Les factures tiennent lieu de convention professionnelle simplifiée. Une convention séparée peut être délivrée sur demande.
Décomptes d’heures de formation
Le décompte des heures de formation (DIF et CPE) est de 7 heures par jour de formation. Une attestation de présence est
délivrée aux participants à l’issue de la formation.
Tarifs
Voir annexe
Règlements
Pour les entreprises françaises, le règlement de la prestation est payable à réception de facture, émise à l'issue de la formation.
Pour les entreprises étrangères, le règlement doit être effectué au moment de l'inscription. Sur demande, un devis peut être
émis par l'AFAI. Les entreprises de l'Union Européenne doivent impérativement fournir à l'AFAI leur numéro de TVA
intracommunautaire; à défaut, la facture inclut le montant de la TVA française.
7.2 FORMATION INTRA-ENTREPRISES
Toutes nos formations peuvent être délivrées en intra-entreprise, sur demande.
Page 53 / 53
7.3 RENSEIGNEMENTS ADMINISTRATIFS ET BANCAIRES :
N° d’agrément de l’AFAI en tant qu’organisme de formation : 11921720092
N° SIRET : 335 277 562 000 47
N° TVA intracommunautaire : FR253 352 775 62
Banque :
HSBC France - Agence Centrale
103 avenue des Champs Elysées - 75008 PARIS
RIB : 30056 00148 01485409551 37
IBAN : FR76 3005 6001 4801 4854 0955 137
Code swift /BIC : CCFRFRPP
8 CALENDRIER JUILLET – DECEMBRE 2013
Référence
FIC001
FAA009
Titre
Audit de la Gouverance du SI
COBIT 5 Foundation Course
FIA001
Pour une mise en place efficace des référentiels de
gouvernance
Audit SAP
Audit des applications informatiques
Audit des projets informatiques
Management de la sécurité des SI
Référentiel et guide utilisateur Risk IT : contenu et mise en
œuvre
Formation préparatoire à l’examen du CISA
FIM001
FIG001
FIR003
Formation préparatoire à l’examen du CISM
Formation préparatoire à l’examen du CGEIT
Formation préparatoire à l’examen du CRISC
FAA004
FAS004
FAA002
FAS002
FIR002
Dates des sessions
18 juillet
16-18 septembre
4-6 novembre
13 septembre
14-15 octobre
9-10 octobre
16-17 octobre
4-8 novembre
2-3 novembre
8- 12 juillet
21-25 octobre
18-22 novembre
25-29 novembre
28-30 octobre
25-27 novembre
13-15 novembre
Tarif des formations inter-entreprises
Tarifs (en € HT)
Référence
Titre
FAA008
FAA001
FIA002
FAG008
FIC001
FIC004
FIC007
FAC001
FAA009
FAA010
FAG004
FAG005
FAA007
FAA006
FAA005
FAA003
FAA004
FAS004
FAA002
FAS002
FAS001
FIR001
FIR002
FIA001
FIM001
FIG001
FIR003
FCS001
FCS002
FCT001
Technologies des SI
Initiation à l’audit informatique
Initiation à la sécurité et aux réseaux informatiques
Audit de la gouvernance des SI
COBIT Foundation Course
COBIT Implementation Course
COBIT 5 : présentation et nouveaux concepts
COBIT, ITIL, CMMi, ISO : quels référentiels choisir
Pour une mise en place efficace des référentiels de gouvernance
Contrôle interne des systèmes d’information
L’architecture d’entreprise pour les managers du SI
Architecture d’entreprise : mise en œuvre opérationnelle
Modélisation et optimisation des processus métier
Analyse de données et contrôle automatisé
Audit du management de la sécurité des SI
Audit de la fonction informatique
Audit SAP
Audit des applications informatiques
Audit des projets informatiques
Management de la sécurité des SI
Méthode de lutte contre la fraude informatique
L’essentiel du management des risques informatiques
Référentiel et guide utilisateur Risk IT : contenu et mise en oeuvre
Formation préparatoire à l’examen du CISA
Formation préparatoire à l’examen du CISM
Formation préparatoire à l’examen du CGEIT
Formation préparatoire à l’examen du CRISC
ISO 27001 : Lead Auditor
ISO 27005 : Certified Risk Manager
ITIL : Fondations
Tarif adhérent
€HT
1 200 €
1 200 €
1 200 €
665 €
1 800 €
1 200 €
600 €
1 200 €
600 €
1 200 €
600 €
1 200 €
1 200 €
1 200 €
1 200 €
1 200 €
1 200 €
1 200 €
1 200 €
2 400 €
1 200 €
600 €
1 200 €
3 000 €
1 800 €
1 800 €
1 800 €
3 000 €
1 800 €
1 800 €
Tarif non-adhérent
€ HT
1 600 €
1 600 €
1 600 €
770 €
2 400 €
1 600 €
800 €
1 600 €
800 €
1 600 €
800 €
1 600 €
1 600 €
1 600 €
1 600 €
1 600 €
1 600 €
1 600 €
1 600 €
3 200 €
1 600 €
800 €
1 600 €
4 000 €
2 400 €
2 400 €
2 400 €
4 000 €
2 400 €
2 400 €
Page 1 / 3
Bulletin d’inscription
Les champs marqués d'une * sont obligatoires.
Formation choisie :
*Référence : _______________________
*Session : du ____/____/____ au ______/______/_____
*Libellé :___________________________________________________________________________
Vos coordonnées
*Nom : ______________________________
*Prénom : ___________________________
*Société : ___________________________________________________________________
*Fonction :__________________________________________________________________
*Adresse : __________________________________________________________________
___________________________________________________________________________
*Code postal : _________________*Ville :_________________________________________
*Pays :_______________________________________________________
*Tél : ___________________________________
*Fax : _____________________________
*Email : ___________________________________________________________________
Les coordonnées de votre responsable de formation
*Nom : ______________________________ *Prénom : ___________________________
*Société : ___________________________________________________________________
*Fonction :__________________________________________________________________
*Adresse : __________________________________________________________________
___________________________________________________________________________
*Pays :_______________________________________________________
*Tél : ___________________________________
*Fax : _____________________________
*Email : ___________________________________________________________________
Page 2 / 3
Facturation
N° TVA intracommunautaire : ___________________________________________________________
*Contact :___________________________________________________________________________________
*Société : ___________________________________________________________________
*Fonction :__________________________________________________________________
*Adresse : __________________________________________________________________
___________________________________________________________________________
*Pays :_______________________________________________________
*Tél : ___________________________________
*Fax : _____________________________
*Email : ___________________________________________________________________
Si la procédure interne de votre entreprise nécessite un bon de commande, merci d'en renseigner le
numéro : N° de bon de commande : _________________________________________________
Prise en charge par un OPCA
Si votre formation est prise en charge par un OPCA, merci de nous en indiquer les coordonnées
*Société : ___________________________________________________________________
*Adresse : __________________________________________________________________
___________________________________________________________________________
*Pays :_______________________________________________________
*Tél : ___________________________________
*Fax : _____________________________
Renseignements complémentaires
N° adhérent ISACA/AFAI : ___________________________________________________
Page 3 / 3
Conditions générales de vente
Je reconnais accepter les conditions générales de vente
Signature
Cachet de l’entreprise
A retourner à l’AFAI, signé et tamponné

Catalogue des formations 2013

Transcription

Documents pareils

Le management par les risques informatiques : des principes

Contrôle interne et système d`information

HOTEL RAS EL AIN TOZEUR a été auditée par BUREAU VERITAS

CODE BANQUE CODE GUICHET NUMERO DE

CMC - Conseil en Marketing et Communication

Fiche métier Auditeur

Expert en Qualité dans l`Agroalimentaire depuis plus

Olivier DEFONTE Consultant Indépendant, CISA Conseil en

Audit en RH - Recto - Chambre de Métiers et de l`Artisanat de la

Management et Audit Social et Juridique