WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

2.2 Méthodologie de l'audit interne dans le cadre de la sécurité de l'information bancaire

L'audit de la sécurité de l'informationdoit être compris dans le plan d'audit interne annuel. Il vise différents objectifs. D'abord, la détermination des déviations par rapport aux bonnes pratiques de sécurité et ensuite la proposition d'actions visant l'amélioration du niveau de sécurité du système d'information. L'audit de sécurité d'un système d'information se présente comme un moyen d'évaluation de la conformité d'une situation liée à la sécurité par rapport à une politique de sécurité ou par rapport à un ensemble de règles de sécurité, de procédures ou techniques de référence.

La démarche d'audit devra suivre un plan de travail bien structuré pour l'évaluation appropriée du SMSI mis en place par le management. Pour la démarche d'analyse, l'audit interne doit prendre en compte l'environnement global de l'entreprise en vue de vérifier l'alignement du SMSI adopté avec les enjeux, les risques opérationnels et les stratégieset politique de l'entreprise. L'audit interne pourra aussi s'assurer que le SMSI est conforme aux exigences de la norme ISO 27002. La mission d'audit interne se déroule toujours de la même façon avec une phase de préparation incluant une phase de prise de connaissance du domaine à auditer, une phase de réalisation et enfin une phase de conclusion matérialisée par la rédaction d'un rapport d'audit. Ce rapport comportera des recommandations qui feront l'objet de suivi.

2.2.1 Le plan d'audit de la sécurité de l'information

L'audit du SMSI doit se faire en fonction de la taille et des activités de l'entreprise et aussi en fonction du niveau de l'appétence pour le risque défini par la structure elle-même. Plusieurs méthodes d'élaboration du plan d'audit peuvent être évoquées, mais nous, nous ne prendrons en compte que celle préconisée par ISACA (2010 ; 14 - 32).

Dans le plan d'audit, il s'agira d'évaluer :

ü Etape 1 : la gestion de la sécurité de l'information

L'objectif est de s'assurer que le SMSI répond effectivement aux besoins de l'entreprise. L'auditeur devra apprécier le processus de gouvernance de la sécurité de l'information en constatant l'existence d'un comité de pilotage de la sécurité dans lequel chaque corps métier clé devra être représenté. Ce comité devra se composer de la Direction de l'audit interne, de la Direction des ressources humaines, de la Direction des opérations, de la Direction des finances, de la Direction de la sécurité informatique et de la Direction juridique. A travers les rapports dudit comité, l'auditeur vérifiera si les tâches assignées et le rôle, de même que les recommandations faites, vont toujours dans l'intérêt de la bonne gestion de la sécurité de l'information.

L'auditeur interne évaluera aussi les risques en fonction du niveau de risque acceptable définit par l'entreprise. L'existence et la conformité des politiques et procédures de sécurité d'avec la stratégie de la structure devront êtrevérifiées. Selon la norme ISO 27001 section 2, les politiques et procédures devront au minimum inclure la politique du respect de la sécurité, la politique de l'acceptation du risque de gestion, la politique de sécurité des communications externes, la politique de pare-feu, la politique de sécurité E-mail, la politique de sécurité de l'ordinateur portable / de bureau et enfin la politique d'utilisation d'internet.

L'auditeur interne s'assurera également de l'existence d'un plan de sécurité des technologies de l'information (intégration et maintenance) selon l'infrastructure informatique et la culture de sécurité développées par l'entreprise. Le plan de sécurité doit prendre en compte la classification des données, les normes technologiques, les politiques d'accès/ ressources humaines (séparation des tâches, gestion des utilisateurs clés et les contractants extérieurs), la sécurité et le contrôle, la gestion des risques et les exigences de conformité externes.

ü Etape 2 : les opérations et la gestion de la technologie de sécurité de l'information

L'objectif sera de s'assurer de l'existence d'un dispositif clair de sécurité de l'information non seulement pour les fonctions (les corps métiers) mais aussi pour les technologies de l'information à proprement dit.

L'auditeur devra vérifier que l'intégrité, la disponibilité et la confidentialité des données ou informations ne sont pas compromises à travers l'existence et l'efficacité des dispositifs d'authentification, d'identification et de traçabilité des différents utilisateurs du système (permanent, temporaire ou extérieur). Ce contrôle prendra en compte l'analyse de la gestion des privilègesaccordés aux personnes autorisées et la gestion des accès aux applications et aux zones de sécurité.

L'auditeur appréciera la vulnérabilité ou la robustesse des dispositifs de sécurité établis pour les technologies de l'information (les réseaux, le matériel informatique, les disques amovibles etc.) qui sont entre autre les pare-feu et antivirus, les systèmes de cryptographie des données, le dispositif de sécurité des réseaux(interne et externe) et le mode opérationnel d'échange des informations.

Ensuite, l'auditeur interne devra s'assurer que les moyens de gestions des incidents sont appropriés et efficaces. Il devra vérifier l'existence et du rôle d'un comité de gestion des incidents, l'existence d'un plan de classification des incidents par priorité, de l'existence des procédures et plans de gestion immédiat des incidents, l'existence, l'effectivité et la mise à jour des plans de relance après la survenance d'incidents.Le maillon faible de l'entreprise étant l'homme, l'auditeur doit s'assurer que le personnel est régulièrement sensibilise et éduqué à l'aide de formations obligatoires. Un suivi devra être fait pour évaluer les compétences et la compréhension réelle des dispositifs de sécurité de l'information mis à disposition au niveau interne et externe.

Après ces deux étapes, vient l'évaluation de l'évolution du SMSI mis en place. Basé sur les résultats de l'audit de la sécurité de l'information et ses observations, l'auditeur interne devra assigner un niveau de maturitéà chacun des éléments du SMSI. Ensuite par la comparaison de ce niveau d'avec la cible de maturité que souhaiterait atteindre l'entreprise, il appréciera les écarts et émettra des recommandations qui amèneront le SMSI au niveau requis.

Pour mettre en oeuvre ce plan d'audit, l'auditeur interne a besoin d'outils et de tests de contrôles. La prochaine section nous éclairera sur cet aspect.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy