WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

1.2.3 Mise en oeuvre du cadre de gestion de la sécurité de l'information

Le facteur essentiel dans la protection des actifs informationnels et de la confidentialité est de jeter les bases d'une gestion efficace de la sécurité de l'information. Tous les acteurs de l'entreprise doivent prendre connaissance et conscience et s'engager dans le maintien de la sécurité de l'information afin d'atteindre les buts et objectifs fixés.

1.2.3.1 Engagement de la Haute Direction

En matière de systèmes d'information, selon l'IFACI (1993 : 2), la direction générale est responsable de l'évaluation des risques, de l'établissement de la politique de sécurité et de la mise en oeuvre d'une structure organisationnelle. Son rôle lui est délégué par le conseil d'administration, détenteur légal et suprême des actifs informationnels. ISACA (2011 : 105) ajoute que la mise en place d'une gouvernance efficace de la sécurité de l'information et la détermination des objectifs de sécurité stratégique de l'organisation dépendent et doivent rencontrer l'appui de la haute direction. Le développement d'une stratégie de sécurité de l'information nécessite qu'elle soit intégrée et alignée aux objectifs globaux de l'entreprise.

Selon l'IFACI (1993 : 2) : l'engagement de la haute direction consiste à :

ü effectuer une évaluation des risques liée à la confidentialité, l'intégrité et la disponibilité des données et des ressources ;

ü établir une politique de sécurité à l'échelle de l'organisation dans le but de canaliser le développement efficace des procédures et des pratiques de sécurité, de protéger les infrastructures et actifs critiques de l'entrepriseet de responsabiliser l'ensemble du personnel.Une politique de sécurité de l'information est un ensemble de documents indiquant les directives, procédures, lignes de conduite, règles organisationnelles et techniques à suivre relativement à la sécurité de l'information et à sa gestion. C'est une prise de position et un engagement clair et ferme de protéger l'intégrité, la confidentialité et la disponibilité de l'actif informationnel de l'entreprise ;

ü mettre en place une structure organisationnelle afin de contrôler régulièrement la conformité des opérations avec la politique de sécurité. Peter Drucker pouvait dire dans l'énonciation de sa théorie sur le management des entreprises « une structure organisationnelle solide est un prérequis à la santé et à la performance d'une organisation. Et le test d'une entreprise en bonne santé se définit par la performance de son personnel».

La direction générale doit s'atteler à mettre en place, par le biais d'un service dédié à la sécurité de l'information du système d'information, des dispositifs sécuritaires adéquats à l'entreprise toute entière. Notons que les politiques, objectifs et activités de sécurité doivent être en phase avec les objectifs et buts globaux de l'entreprise et s'inscrire dans une approche conforme à sa culture. Il lui faut pour cela un plan de sécurité adapté à ses activités. Selon Pipkin (2000), cinq (5) phases sont importantes pour élaborer un plan de sécurité à savoir :

ü inspection : Identifier les fonctionnalités qui sont à la base des activités de l'entreprise.Évaluer les besoins en sécurité de l'organisation.

ü protection : Mettre en place des moyens pour une réduction dynamique des risques.

ü détection : Mettre en place des moyens pour une réduction réactive des risques.

ü réaction : Mettre en place un plan de secours d'urgence.

ü réflexion: Une fois l'incident terminé et tout remis en place, procéder à l'étude del'événement.

La direction générale a l'autorité et doit s'engager à représenter l'organisation dans la protection et la sécurité de l'information. Elle doit définir les grandes lignes de sécurité qui doivent être suivies et appliquées par l'ensemble du personnel. La direction générale doit communiquer ses exigences concernant la protection de ses systèmes d'information afin que chaque acteur interne ou externe à l'entreprise, puisse s'y conformer pour le maintien de l'intégrité, la confidentialité et la disponibilité des informations. Elle doit également rendre compte au conseil d'administration, de la bonne fonctionnalité des systèmes de contrôle et de sécurité des informations. La direction générale doit apporter son soutien clair et massif à la démarche de sécurité et favoriser l'implication, la sensibilisation et la participation de tous les salariés.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy