WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

1.2.3.2 La constitution de la structure de mise en oeuvre de la sécurité de l'information

Pour que le système d'information soit efficace, il faut mettre en place un cadre de gestion adéquat de la sécurité de l'information. Le cadre de gestion sert de fondement pour la mise en place de processus formels de gestion intégrée et continue de la SI, ainsi que des risques afférents. Il doit tenir compte des changements divers (technologique, juridique, social etc.) qui peuvent avoir une influence sur le système d'information. Le cadre de gestion vise principalement à établir une structure de gouvernance et de coordination et à énoncer formellement un ensemble de rôles et de responsabilités en SI.

Afin d'encadrer la démarche de mise en oeuvre du cadre de gestion de la sécurité de l'information, notre étude se réfèrera à la norme ISO/IEC 17799 :2000, aujourd'hui appelé Norme ISO 27002.La norme ISO/IEC 27002 considère que beaucoup de systèmes d'information n'ont pas été conçus pour être sécurisés. Ainsi la mise en oeuvre de moyens techniques de protection a un impact limité et doit être soutenue par une organisation appropriée et par des procédures. Ladite norme propose 133 règles regroupées en 11 thèmes décrivant les meilleures pratiques en matière de sécurité de l'information. Linlaud (2003 : 55 - 80) par un tableau d'analyse des thèmes de la norme ISO/IEC 27002 et Hollo (2009 : 12) par son diagramme de répartition des catégories ISO 27002, ont défini chacun des éléments du cadre de gestion de la sécurité de l'information. Ainsi, le cadre de gestion de la sécurité de l'information prend donc en compte les 11 étapes suivantes :

Figure 1 : Le diagramme de répartition des catégories ISO 27002

Source : Laurent Hollo (2009)

Ø Thème 1 : la gestion de la politique de sécurité : elle traduit l'engagement de la direction à fournir une orientation stratégique et un support en ce qui concerne la gestion de la sécurité de l'information par l'établissement d'une politique de sécurité approuvée, publiée et communiquée par elle à tous les employés. Cette politique doit faire l'objet d'une révision constante et doit être en phase avec les objectifs de l'entreprise.

Ø Thème 2 : l'organisation de la sécurité : il s'agit de l'organisation interne et externe liées à la sécurité de l'information de l'entreprise. L'organisation interne doit prendre en compte un cadre adéquat de gestion de la sécurité par la présence d'un comité de gestion de la sécurité de l'information émanant de la direction, la répartition claire des responsabilités en matière de sécurité de l'information, les procédures de sécurité mises en place et les dispositifs de contrôle. Pour l'organisation externe en particulier pour la sécurité d'accès des tiers et les contrats d'externalisation, la politique de sécurité doit tenir compte des risques associés à l'accès des tiers au système d'information de l'entreprise ainsi que des contrôles adaptés qui doivent être mis en oeuvre. Elle doit également prendre en compte le fait que les contrats d'externalisation fassent l'objet d'engagements contractuels très précis.

Ø Thème 3 : la classification et le contrôle des actifs : Deux points importants : la responsabilité liée aux actifs et la classification de l'information. Concernant la responsabilité liée aux actifs, l'entreprise doit réaliser un inventaire régulier de tous ses actifs liés à son SI. En délégant des responsables de gestion de ces actifs, elle peut mieux contrôler et s'assurer qu'une mise à jour récurrente de l'inventaire est effectuée. Concernant la classification de l'information, elle doit être accompagnée de procédures formelles et être exécutée en tenant compte des besoins liés à l'exploitation, de la sensibilité des informations, des restrictions éventuelles et du degré d'impact des évènements nuisibles à leur exploitation.

Ø Thème4 : les éléments de sécuritéliés aux ressources humaines : il s'agit ici d'intégrer la sécurité de l'information dans la description des tâches ; de sélectionner le personnel permanent, contractuel ou intérimaire en fonction des critères liés à la sécurité de l'information conformément à la politique de sécurité ; de faire signer au personnel des accords de confidentialité ; de sensibiliser et de former tous les employés de l'organisme et les tiers utilisateurs si nécessaire à l'application et au respect des procédures et politique de sécurité de l'information ; d'inciter les employés à réagir face aux incidents et aux défauts de sécurité en signalant toute forme de défaillance ou dysfonctionnement.

Ø Thème5 : la sécurité physique et la sécurité de l'environnement : consiste en la mise en place de périmètres de sécurité dans le but de protéger les secteurs physiques qui abritent les équipements de traitement des informations de même que les équipements eux-mêmes. Il s'agira de protéger ces secteurs ainsi que leurs accès afin de garantir que l'entrée n'est accordée qu'aux personnes autorisées. Les équipements et les secteurs physiques doivent être protégés contre tout sinistre (coupure de courant intempestive, tentative d'interception causée par une défaillance du câblage électrique, crise, guerre etc.).

Ø Thème 6 : la gestion des communications et des opérations : inclut plusieurs objectifs. L'organisme doit mettre en place des procédures et documents formels d'exploitation afin de définir les responsabilités et de séparer au mieux les tâches qui s'avèrent incompatibles. Ces procédures devront prendre en compte la gestion des incidents, la gestion des réseaux, l'utilisation de services extérieurs, la protection contre les logiciels malveillants, la sauvegarde de l'information, l'accès du système aux parties externes (prestataires, clients, public...), la sécurisation du E-commerce, la sécurisation du courrier électronique et des systèmes bureautiques. Ces procédures doivent s'encadrer de dispositifs de contrôles adaptés aux technologies de l'entreprise.

Ø Thème 7 : le contrôle des accès logiques : il s'agira ici de contrôler les accès à l'information. Les exigences concernant ce contrôle doivent être documentées et contenues dans la politique de sécurité de l'information. Ce contrôle inclut que chaque utilisateur soit clairement identifié par une authentification et un mot de passe forts et uniques (pour le respect du principe de traçabilité) ; que les attributions et utilisations des privilèges sont limitées et contrôlées ; que les procédures d'enregistrement, de modification ou de suppression des droits d'utilisateurs existent et sont respectées et utilisées au moment opportun ; que les accès aux réseaux et aux applications sont restreints ; que les accès aux matériels, systèmes, applications, réseaux, ont été délivrés aux personnes indiquées.

Ø Thème8 : le développement et la maintenance des systèmes : il s'agit de mettre en place des sécurités dans les applications et les systèmes de fichiers (système de validation des données entrantes et sortantes, contrôle du traitement interne), et aussi des mesures de cryptographie (code, signature numérique etc.) dans le but d'assurer la confidentialité des informations. Il faut également que les processus de maintenance des systèmes soient adaptés et mis régulièrement à jour et en oeuvre. Les logiciels et progiciels doivent être protégés contre toute attaque virale et les systèmes doivent être révisés lorsque qu'une modification se produit. Les évènements des systèmes doivent être générés et conservés (journalisation des évènements).

Ø Thème9 : la gestion des incidents de sécurité : consiste d'abord en la journalisation ou l'élaboration d'un rapport des évènements exceptionnels et significatifs ayant attrait à la sécurité de l'information. Cela permet de surveiller les opérations et d'apporter en temps réel les corrections qui s'y rapportent. Ensuite il faudrait gérer à proprement dit les incidents en définissant les responsabilités et en développant un processus d'amélioration continue qui prend en compte l'arsenal technologique de l'entreprise de même que les objectifs globaux.

Ø Thème10 : la gestion de la continuité de l'activité : l'entreprise doit mettre en place un processus pour gérer les interruptions des activités d'exploitation causées par des défaillances majeures ou des sinistres. Ensuite elle doit développer non seulement un plan stratégique basé sur l'évaluation des risques afin de déterminer l'approche complète de la continuité d'activités, mais en plus elle doit définir des plans de continuité pour maintenir ou rétablir le fonctionnement de l'exploitation. Ces plans doivent être de façon récurrente contrôlés, testés et réévalués.

Ø Thème11 : la gestion de la conformité : la politique de sécurité et les procédures doivent respecter les exigences légales, règlementaires et contractuelles applicables à la structure. Ces procédures doivent être mis à jour, protégés et correctement suivis par tous les employés de l'entreprise ; le département de l'audit interne ou de la conformité devront s'en assurer. Les dispositifs de sécurité des SI doivent être régulièrement vérifiés pour assurer leur conformité technique. Les exigences d'audit des systèmes opérationnels doivent être soigneusement planifiées et approuver afin de minimiser au maximum le risque.

La mise en oeuvre du cadre de gestion ainsi développé, doit permettre d'assurer une gestion efficace de la sécurité de l'information.  Aussi l'entreprise désireuse d'améliorer de façon continue sa sécurité de l'information, a le choix entre prendre en compte les recommandations ou bonnes pratiques des normes ISO citées plus haut ou opter pour une gestion de la sécurité de l'information par des méthodes d'analyse des risques ; toujours est-il que ces méthodes intègrent les recommandations de certaines normes ISO.

Une méthode d'analyse des risques est une démarche, un processus ou un ensemble de principes qui permet d'appliquer une norme au système d'information de l'entreprise. La méthode sert aussi à faire un audit qui donne l'occasion d'effectuer, par exemple, un état de la sécurité du système d'information. Elle est souvent accompagnée d'outils afin d'appuyer son utilisation. Selon Debrock et Gourdin (2009 : 8 - 9), on distingue 3 catégories de méthodes : les méthodes quantitatives (ex : cout, impact financier...), qualitatives (ex : classement des risques - élevé, moyen, faible) et celles avec bases de connaissance (ex : recherche de standard ou bonnes pratiques à appliquer dans la sécurisation des TI). Les méthodes les plus utilisées sont les méthodes OCTAVE, MEHARI et EBIOS. Bien que fonctionnant de façon différente, ces méthodes ont pour finalité la mise en avant des actifs importants de l'entreprise et de la vulnérabilité des infrastructures des SI, l'étude des risques et l'établissement des plans de sécurité afférents.

Une entreprise s'attelant à mettre en place un cadre de gestion de la sécurité de l'information tel que décrit par la norme ISO/IEC 27002, atteindra ses objectifs en matière d'intégrité, de confidentialité et de disponibilité de l'information. Cependant il faudrait que tous ses acteurs, contribuant à son fonctionnement, comprennent leur responsabilité directe et indirecte quant à la sécurité des informations pour une atteinte effective des buts et objectifs globaux.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy