2.2
Méthodologie de l'audit interne dans le cadre de la
sécurité de l'information bancaire
L'audit de la sécurité de l'informationdoit
être compris dans le plan d'audit interne annuel. Il vise
différents objectifs. D'abord, la détermination des
déviations par rapport aux bonnes pratiques de sécurité et
ensuite la proposition d'actions visant l'amélioration du niveau de
sécurité du système d'information. L'audit de
sécurité d'un système d'information se présente
comme un moyen d'évaluation de la conformité d'une situation
liée à la sécurité par rapport à une
politique de sécurité ou par rapport à un ensemble de
règles de sécurité, de procédures ou techniques de
référence.
La démarche d'audit devra suivre un plan de travail
bien structuré pour l'évaluation appropriée du SMSI mis en
place par le management. Pour la démarche d'analyse, l'audit interne
doit prendre en compte l'environnement global de l'entreprise en vue de
vérifier l'alignement du SMSI adopté avec les enjeux, les risques
opérationnels et les stratégieset politique de l'entreprise.
L'audit interne pourra aussi s'assurer que le SMSI est conforme aux exigences
de la norme ISO 27002. La mission d'audit interne se déroule toujours de
la même façon avec une phase de préparation incluant une
phase de prise de connaissance du domaine à auditer, une phase de
réalisation et enfin une phase de conclusion matérialisée
par la rédaction d'un rapport d'audit. Ce rapport comportera des
recommandations qui feront l'objet de suivi.
2.2.1 Le plan d'audit de la sécurité de
l'information
L'audit du SMSI doit se faire en fonction de la taille et des
activités de l'entreprise et aussi en fonction du niveau de
l'appétence pour le risque défini par la structure
elle-même. Plusieurs méthodes d'élaboration du plan d'audit
peuvent être évoquées, mais nous, nous ne prendrons en
compte que celle préconisée par ISACA (2010 ; 14 - 32).
Dans le plan d'audit, il s'agira d'évaluer :
ü Etape 1 : la gestion de la
sécurité de l'information
L'objectif est de s'assurer que le SMSI répond
effectivement aux besoins de l'entreprise. L'auditeur devra apprécier le
processus de gouvernance de la sécurité de l'information en
constatant l'existence d'un comité de pilotage de la
sécurité dans lequel chaque corps métier clé devra
être représenté. Ce comité devra se composer de la
Direction de l'audit interne, de la Direction des ressources humaines, de la
Direction des opérations, de la Direction des finances, de la Direction
de la sécurité informatique et de la Direction juridique. A
travers les rapports dudit comité, l'auditeur vérifiera si les
tâches assignées et le rôle, de même que les
recommandations faites, vont toujours dans l'intérêt de la bonne
gestion de la sécurité de l'information.
L'auditeur interne évaluera aussi les risques en
fonction du niveau de risque acceptable définit par l'entreprise.
L'existence et la conformité des politiques et procédures de
sécurité d'avec la stratégie de la structure devront
êtrevérifiées. Selon la norme ISO 27001 section 2, les
politiques et procédures devront au minimum inclure la politique du
respect de la sécurité, la politique de l'acceptation du risque
de gestion, la politique de sécurité des communications externes,
la politique de pare-feu, la politique de sécurité E-mail, la
politique de sécurité de l'ordinateur portable / de bureau et
enfin la politique d'utilisation d'internet.
L'auditeur interne s'assurera également de l'existence
d'un plan de sécurité des technologies de l'information
(intégration et maintenance) selon l'infrastructure informatique et la
culture de sécurité développées par l'entreprise.
Le plan de sécurité doit prendre en compte la classification des
données, les normes technologiques, les politiques d'accès/
ressources humaines (séparation des tâches, gestion des
utilisateurs clés et les contractants extérieurs), la
sécurité et le contrôle, la gestion des risques et les
exigences de conformité externes.
ü Etape 2 : les opérations et la
gestion de la technologie de sécurité de
l'information
L'objectif sera de s'assurer de l'existence d'un dispositif
clair de sécurité de l'information non seulement pour les
fonctions (les corps métiers) mais aussi pour les technologies de
l'information à proprement dit.
L'auditeur devra vérifier que
l'intégrité, la disponibilité et la confidentialité
des données ou informations ne sont pas compromises à travers
l'existence et l'efficacité des dispositifs d'authentification,
d'identification et de traçabilité des différents
utilisateurs du système (permanent, temporaire ou extérieur). Ce
contrôle prendra en compte l'analyse de la gestion des
privilègesaccordés aux personnes autorisées et la gestion
des accès aux applications et aux zones de sécurité.
L'auditeur appréciera la vulnérabilité ou
la robustesse des dispositifs de sécurité établis pour les
technologies de l'information (les réseaux, le matériel
informatique, les disques amovibles etc.) qui sont entre autre les pare-feu et
antivirus, les systèmes de cryptographie des données, le
dispositif de sécurité des réseaux(interne et externe) et
le mode opérationnel d'échange des informations.
Ensuite, l'auditeur interne devra s'assurer que les moyens de
gestions des incidents sont appropriés et efficaces. Il devra
vérifier l'existence et du rôle d'un comité de gestion des
incidents, l'existence d'un plan de classification des incidents par
priorité, de l'existence des procédures et plans de gestion
immédiat des incidents, l'existence, l'effectivité et la mise
à jour des plans de relance après la survenance d'incidents.Le
maillon faible de l'entreprise étant l'homme, l'auditeur doit s'assurer
que le personnel est régulièrement sensibilise et
éduqué à l'aide de formations obligatoires. Un suivi devra
être fait pour évaluer les compétences et la
compréhension réelle des dispositifs de sécurité de
l'information mis à disposition au niveau interne et externe.
Après ces deux étapes, vient l'évaluation
de l'évolution du SMSI mis en place. Basé sur les
résultats de l'audit de la sécurité de l'information et
ses observations, l'auditeur interne devra assigner un niveau de
maturitéà chacun des éléments du SMSI. Ensuite par
la comparaison de ce niveau d'avec la cible de maturité que souhaiterait
atteindre l'entreprise, il appréciera les écarts et
émettra des recommandations qui amèneront le SMSI au niveau
requis.
Pour mettre en oeuvre ce plan d'audit, l'auditeur interne a
besoin d'outils et de tests de contrôles. La prochaine section nous
éclairera sur cet aspect.
| 
