INTRODUCTION GENERALE

Parmi les structures de contrôle présentes dans l'entreprise pour notamment aider le management dans la prise de décisions, on retrouve l'audit interne. C'est une fonction communément admisecomme étant un moyen à la disposition du management dans le cadre du processus de gestion des risques et d'évaluation du dispositif de contrôle interne en place. L'audit interne est défini comme une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Historiquement orienté vers la gestion financière et comptable, son champ d'action s'est étendu à tous les domaines de l'entreprise.

Les missions de contrôle et d'évaluation de la maîtrise des activités ainsi que de conseils ont suivi l'évolution économique et la croissance des organisations. De nos jours, « le management gagnant^1(*) » impose l'atteinte des objectifs dans tous les domaines. L'audit interne, par son approche systématique et méthodique, accompagne les opérationnels dans l'identification et la maîtrise des risques, en vue d'atteindre les objectifs fixés par la Direction Générale. Dans le contexte actuel d'amélioration continue des technologies d'information et de communication, les risques liés aux systèmes d'information sont en général suivis de près dans les cartographies des risques des auditeurs. Dans le cadre de cette surveillance accrue, une attention particulière est accordée à la sécurité de l'information. En effet, l'information est essentielle, voire déterminante pour la pérennité de l'entreprise.

La finalité de beaucoup d'activités et d'opérations effectuées en entreprise est de produire des informations financières et opérationnelles fiables dont il faut assurer l'intégrité et la protection. Ainsi des normes internationales telles que l'ISO 27000 définissent les exigences requises pour mettre en place un système de gestion de la sécurité de l'information. Elles sont conçues pour garantir la sélection de contrôles de sécurité adéquats et proportionnels au niveau du contrôle interne établit par la structure. Elles indiquent aux entreprises les règles de protection des données permettant de garantir la confiance des parties intéressées, notamment des clients. Les normes adoptent une approche basée sur les processus pour la création, la mise en oeuvre, l'utilisation, la surveillance, l'analyse, le maintien et l'amélioration des systèmes de gestion de la sécurité de l'information.

Dans les établissements de crédit, notamment les banques, les systèmes d'informations très performants sont devenus les outils de gestion par excellence. Ils occupent une place stratégique dans le pilotage et le traitement des opérations des banques. L'évolution du monde financier et de ses règlementations, et l'importance de la gestion des flux informationnels font de ces systèmes un volet incontournable. En revanche, dans cet environnement bancaire très concurrentiel, un défaut de gestion rigoureuse de cet outil peut se révéler comme une source de vulnérabilité. La gestion des flux informationnels comporte des risques qu'il faut identifier et maitriser pour préserver la disponibilité, l'intégrité et la confidentialité des informations.

Au regard de ce constat, nous nous interrogeons sur la contribution de l'audit interne à la sécurité de l'information. Comment les auditeurs internes s'inscrivent-ils dans une dynamique de maintien et d'amélioration continue de la sécurité de l'information au sein d'une banque?

La complexité des tâches de l'auditeur interne quant à la sécurité de l'information vient dans certains cas, d'un manque de connaissance ou d'une formation inadéquate sur les systèmes d'information électroniquesmodernes et d'autres domaines hautement sophistiqués. Plusieurs autres raisons peuvent être évoquées : l'une pourrait être le fait que certains auditeurs ont quelque fois une tendance naturelle à ne pas changer leurs habitudes ; une autre pourrait être la peur du changement. En dehors de celles précitées, nous avons d'autres difficultés rencontrées par les auditeurs internes telles que le manque de compréhension globale des processus d'activités et le suivi inadéquat des problèmes après leur détection. L'audit interne pourrait s'avérer inefficace si la direction n'assure pas toujours un suivi approprié des problèmes décelés. On pourrait parler dans ce cas-ci d'un manque d'accompagnement du management dans le processus audit interne.

Les conséquences qui en résultent sont de plusieurs ordres :

ü non détection en temps réel des risques liés aux activités du système d'information ;

ü mauvaise utilisation des données nécessaires à l'évaluation des risques ;

ü fraude ;

ü exposition directe de la banque à des risques pouvant entrainer une interruption d'activités

ü mauvaise orientation du business ;

ü perte de l'image et de la crédibilité de la banque ;

ü non atteinte des objectifs assignés par l'entreprise.

Pour pouvoir apprécier le rôle de l'audit interne dans la gestion de la sécurité de l'information, plusieurs solutions s'offrent à nous :

ü faire une enquête sur le service d'audit interne afin de comprendre son implication et sa responsabilité dans le maintien et l'amélioration de la sécurité de l'information ;

ü effectuer un examen critique du système de gestion de la sécurité de l'information ;

ü établir des lignes directrices pour l'auditeur interne, lui permettant d'évaluer et de suivre promptement le maintien et l'amélioration du système de sécurité de l'information.

Une seule solution retiendra notre attention pour cette étude à savoir faire une enquête sur le service d'audit interne afin de comprendre son implication et sa responsabilité dans le maintien et l'amélioration de la sécurité de l'information. Cette solution incorpore toutes les autres car il serait impossible d'apprécier la contribution de l'audit interne dans la sécurité de l'information sans faire un examen de la sécurité de l'information et sans établir de lignes directrices que pourront suivre les auditeurs internes pour être toujours plus opérationnels.

Notre enquête doit nous permettre de répondre à cette question fondamentale : comment l'audit interne contribue-t-il au maintien et à l'amélioration continue de la sécurité de l'information ? De cette question principale découlent d'autres spécifiques :

ü qu'est-ce que l'information ?

ü Qu'est-ce que la sécurité de l'information ? de quoi s'agit-il en milieu bancaire ?

ü Quels sont les risques inhérents à l'insécurité de l'information et comment y remédier ?

ü Par quelle approche, l'auditeur interne s'assurera-t-il de la maitrise ou non des risques sécuritaires liés à l'information?

ü Sur quels référentiels, normes ou bonnes pratiques doit-il se baser ?

ü De quelles compétences et connaissances l'auditeur interne a-t-il besoin ?

ü Enfin, quelles recommandations fera-il pour améliorer le dispositif de contrôle interne existant dans la banque, en vue de créer une valeur ajoutée?

Nous essayerons de répondre à toutes ces questions à travers l'étude du thème suivant : Contribution de l'audit interne à la sécurité de l'information en milieu bancaire : cas de ECOBANK Cote d'Ivoire.

Notre choix s'est porté sur Ecobank Cote d'Ivoirepremièrement parce qu'elle nous a permis d'effectuer un stage de 3 mois en son sein ; et deuxièmement parce que c'est une banque de plus de 20 ans d'existence qui connait actuellement une croissance accélérée de par sa présence sur le marché bancaire, de par ses nouveaux produits et de par sa forte influence sur les populations de tout type de revenu et de toute profession. Pour cela, elle a choisi un système technologique de pointe qui lui permet de répondre aux besoins de la clientèle exigeante. La concurrence étant de plus en plus accrue et l'utilisation des nouvelles technologies de l'information de plus en plus complexe, Ecobank CI nécessite qu'une attention particulière soit accordée à son système de gestion de la sécurité de l'information pour lui permettre d'assurer sa pérennité. Notre étude tentera d'apporter des solutions adéquates et efficaces pour le bon fonctionnement et la continuité d'exploitation de cette banque.

Notre objectif principal par cette étude, est de connaitre et apprécier le rôle et la contribution de l'audit interne dans le maintien et l'amélioration continue de la sécurité de l'information. De cet objectif, dérivent les objectifs spécifiques suivants :

ü identifier les bonnes pratiques en matière de sécurité de l'information

ü mettre en exergue le type d'organisation que la banque devra mettre en place pour assurer un bon fonctionnement de son système de sécurité de l'information

ü connaitre les risques relatifs à un manque de sécurité de l'information

ü apprécier les caractéristiques de l'audit interne qui pourraient aider la banque à atteindre ses objectifs

Pour le développement de notre étude, nous ne nous limiterons qu'aux 11 thèmes du cadre de gestion de la sécurité de l'information selon la norme ISO 27002 et aux normes internationales pour la pratique professionnelle de l'audit interne. Notons que cette étude ne s'abstiendra pas de faire référence au référentiel CobiT et aux recommandations pratiques établies par la commission bancaire européenne et le comité de Bâle en matière de sécurité de l'information pour une bonne gestion des institutions financières. L'étude ne prendra en compte que les aspects ressources humaines,technologie et organisationnel liés à la sécurité de l'information.

L'intérêt que revêt notre étude peut être situé à un double niveau:

- Pour l'entreprise : elle disposera des meilleures pratiques en termes de maintenance et amélioration continue du système de sécurité de l'information. Aussi elle saura ce dont elle a besoin en matière d'outils, de techniques et de moyens tant humains que matériels pour une bonne gestion de la sécurité de ses informations et une maitrise totale du système d'information. Cette étude éclaircira davantage le rôle que l'audit interne devra jouer afin d'aider le management dans la prise de décisions et dans l'atteinte efficace et effective des objectifs en matière de sécurité de l'information.

- Pour nous même : cette étude sera une occasion pour nous de confronter nos connaissances théoriques à celles pratiques acquises pendant nos moments de formation professionnelle. Il s'agira pour nous d'avoir une connaissance plus élaborée sur la gestion de la sécurité de l'information du SI bancaire et aussi sur la contribution de l'audit interne à son maintien et à son amélioration.

Pour atteindre les objectifs que nous nous sommes fixés, notre étude se fera en deux (02) grandes parties qui nous permettront :

- d'abord à travers une première partie théorique, de présenter les avis de différents auteurs qui seront contenus dans une revue de littérature ;

- ensuite nous aborderons une deuxième partie, pratique, avec Ecobank Cote d'Ivoire comme exemple d'illustration dans le but de confronter la pratique de l'audit interne dans la gestion de la sécurité de l'information dans une banque d'avec la théorie.

* ¹Le management gagnant est un mix du style directif et du style participatif. L'objectif est d'arriver à combiner ces différents styles de management afin de gérer au mieux des équipes aux multiples personnalités et de permettre à chacun des acteurs de l'entreprise d'atteindre ses objectifs.