WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire


par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy
1.2.3.3 Communication et responsabilité des différents acteurs

L'un des piliers de la mise en place de la gouvernance réside dans la sensibilisation et la formation des ressources humaines. Il est donc vital pour l'entreprise, d'encadrer les habitudes et méthodes de travail, de mettre un point d'honneur sur l'importance de la communication, ainsi que de détecter et corriger les comportements inappropriés.

En plus de la direction générale qui définit les grandes lignes de la sécurité informationnelle, chaque acteur de l'entreprise a la responsabilité de l'application des clauses de sécurité prescrites pour une bonne marche de la structure.Les employés doivent être sensibilisés aux risques et aux comportements suivants :

ü utilisation des outils de l'entreprise à des fins personnels (internet, téléphone, courriel...)

ü protection contre les virus ou autres logiciels malveillants

ü gestion de l'identité informatique et contrôle d'accès aux actifs informationnels

ü protection des droits d'auteur, des renseignements personnels et de la vie privée

Selon les bonnes pratiques contenues dans la norme ISO/IEC 27002, l'entreprise doit être dotée d'un Système de Gestion de la Sécurité de l'Information (SGSI) mais également de personnes ressources, responsables et garant de cette sécurité. Voici les rôles et responsabilités des groupes concernées par la gestion de la sécurité de l'information selon le manuel du CISA (ISACA, 2011 : 366) :

ü un comité directeur de la sécurité des SI : qui se constitue des représentants des divers niveaux de direction de l'entreprise. Ils sont chargés de discuter des problèmes, d'établir et d'approuver des pratiques de sécurité qui auront un bon impact sur l'organisme. Le comité doit être établit formellement par un mandat approprié ;

ü les cadres supérieurs : qui seront responsables de la protection générale des actifs informationnels et de la mise en place et de la maintenance du cadre stratégique ;

ü le groupe consultatif pour la sécurité : chargée de définir le processus de gestion des risques de sécurité de l'information et le niveau de risque acceptable, ainsi que de passer en revue les plans de sécurité de l'organisation. Il doit faire savoir à l'entreprise si ses programmes de sécurité répondent aux objectifs opérationnels ;

ü le chef de la protection des renseignements personnels : c'est un dirigeant de niveau supérieur chargée de rédiger et de faire appliquer les politiques établies pour protéger la vie privée des clients et des employés ;

ü l'officier principal de la sécurité de l'information : dirigeant de niveau supérieur charge de rédiger et de faire appliquer les politiques conçus pour protéger les actifs informationnels ;

ü les détenteurs du processus : assurent que les mesures adéquates de sécurité concordent avec la politique organisationnelle et qu'elles sont maintenues ;

ü les détenteurs d'actifs informationnels et détenteurs de données : ils sont responsables des actifs possédés. Ce qui entraine l'exécution d'une évaluation des risques, la sélection des contrôles adéquats pour faire diminuer les risques à un niveau acceptable, et l'acceptation du risque résiduel ;

ü les utilisateurs et les parties externes: suivent les procédures établies dans la politique de sécurité et adhèrent aux règlementations sur la confidentialité et la sécurité ;

ü l'administrateur de la sécurité : chargé de fournir la sécurité physique et logique adéquate pour les programmes des SI, les données et l'équipement. Il travaille sur les recommandations de base données par la politique de sécurité de l'information ;

ü les spécialistes / conseillers en matière de sécurité : aident à concevoir, à implanter, à gérer et à réviser la politique, les normes et les procédures de sécurité de l'entreprise ;

ü les développeurs des TI : implantent la sécurité de l'information au sein des applications ;

ü auditeurs : fournissent à la direction, une assurance objective et indépendante de la pertinence et de l'efficacité des objectifs de la sécurité de l'information et des contrôles connexes à ces objectifs.

L'idée dans la description des rôles et responsabilités selon ISACA est que le SMSI soit confié au personnel de l'entreprise lui-même. L'homme étant le maillon le plus faible de l'entreprise, cela lui permettra de comprendre l'enjeu de la sécurité de l'information et de mieux l'appliquer. En matière de système de sécurité de l'information, le plus important c'est la communication. Plus le personnel est informé et sensibilisé, mieux l'entreprise évite les risques qui peuvent lui coûter la fin de son existence. La communication doit être verticale (Management - Opérationnels / Opérationnels - Management) et horizontale (entre les opérationnels).

A travers ce premier chapitre, nous avons posé les bases de l'audit interne et celles de la sécurité de l'information. Ce chapitre s'applique à tout type d'entreprise. Cela nous permet donc par la suite de comprendre et d'apprécier le rôle que doit jouer l'audit interne dans la sécurisation de l'information au sein d'une banque. Dans le prochain chapitre, nous verrons quels sont les normes et référentiels applicables à la banque et à l'audit interne et quel est l'apport de l'audit interne à la sécurité de l'information bancaire.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy