WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

2.1.3 Les référentiels applicables au système bancaire

Cette partie nous montrera les réglementations prévues pour l'environnement bancaire concernant les contrôles et la sécurité des systèmes d'information. Ces dispositions sont obligatoires pour toutes les institutions financières.

2.1.3.1 La commission bancaire

La Commission bancaire est l'organe chargé de contrôler le respect par les établissements de crédit, des dispositions législatives et réglementaires qui leur sont applicables et de sanctionner les manquements constatés. Elle examine, en outre, les conditions d'exploitation de ces établissements et veille à la qualité de leur situation financière ainsi qu'au respect des règles de bonne conduite de la profession. La surveillance ou le contrôle exercée par la commission bancaire au sein des institutions de crédits notamment les banques s'étend à tous les domaines de celles-ci. Mais pour notre étude, nous nous intéresserons essentiellement à l'aspect « gestion des systèmes d'information et sécurité de l'information » des banques.

La commission bancaire considère que la sécurité des systèmes d'information fait partie intégrante de la sécurité des établissements de crédit dont elle a la responsabilité. Ces derniers ont un devoir de sécurité vis-à-vis de leurs clients, d'eux-mêmes et de l'ensemble du système bancaire. Les SI étant, à cause de la mondialisation, tous informatisés, la menace informatique constitue un danger réel pour les banques. L'informatique est devenue un outil de production principal et inévitable : les valeurs monétaires, les informations sur les clients et partenaires, les transactions financières, les comptes bancaires etc. sont contenus, stockés et valorisés par elle.

Quelles que soient les causes, l'informatique peut jouer si la défaillance est importante, soit un rôle de déclencheur de crise, soit celui de propagateur. L'impact des problèmes que peut rencontrer une banque lorsque la sécurité de son système d'information n'est plus assurée, est important et rapide. Selon le livre blanc de la commission bancaire européenne (1996 ; page 10), les risques encourus par la banque sont :

ü le risque de non transfert, entrainant un « cash liquidity risk » où la banque, pour des raisons diverses liées à son informatique, n'est plus capable, à tout moment, de remplir à court terme ses obligations vis-à-vis de ses clients ou de ses confrères ;

ü le risque de perte d'informations, dû à la destruction totale ou partielle de ses fichiers stratégiques ou de sa mémoire, ou la divulgation d'informations confidentielles (fichiers clients, positions stratégiques etc.) ;

ü le risque de fraudes, conduisant à des pertes de valeurs (coûts économiques des détournements);

ü le risque juridique engageant la responsabilité civile éventuelle ;

ü le risque de réputation et d'image.

Pour cela, la commission bancaire a décrit un cadre de sécurité obligatoire auquel toute institution financière doit se conformer. Il s'agit pour chaque institution financière d'évaluer de façon récurrente son système d'information ainsi que la sécurité des informations qui regorgent de ce système par une méthode d'analyse et de mesure constante des risques.

Différentes étapes sont à considérer (livre blanc de la commission bancaire européenne, 1996 : 34):

ü un engagement de la direction générale, qui doit définir la politique de sécurité, le risque maximal tolérable, la liste des données stratégiques et d'autres grandes options (coûts/avantages, problèmes de personnels etc.) ;

ü l'analyse du système d'information et du niveau de sécurité de celui-ci ;

ü la définition du schéma directeur de la sécurité des systèmes d'information qui représente à l'arbitrage de la direction générale, le plan d'action (les mesures à prendre, l'organisation à définir, les budgets, les plannings, la politique de protections et la gestion des risques et le contrôle);

ü la sensibilisation permanente de tout le personnel pour rechercher l'adhésion autour du schéma sécuritaire ;

ü la cohérence et le bon sens qui permettent d'adapter la nature et l'importance des moyens aux risques et aux enjeux.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy