WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire


par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

2.3 La contribution de l'audit interne et création de valeur ajoutée

En matière de sécurité de l'information, le cadre de gestion doit faire partie intégrante du contrôle interne car la protection des ressources et des données utilisées ou produites par le système d'information nécessite une forte structure de contrôle. Le comité de Bâle (1998 : 20) explique que surveiller l'efficacité des contrôles internes est une tâche qui peut être accomplie par du personnel de plusieurs secteurs différents, dont celui en charge des opérations elles-mêmes, le contrôle financier et l'audit interne. Selon lui, le système de contrôle de la banque se constitue en contrôle interne en amont et d'audit interne en aval. Par ricochet, l'audit interne doit s'assurer qu'un dispositif de contrôle interne existe à tous les niveaux de la chaîne de traitement de l'information, qu'il est conforme aux orientations du business et adapté à l'environnement de travail.Autrement dit, il doit veiller à ce que ce dispositif de contrôle interne réponde convenablement aux besoins de sécurité de l'entreprise en l'évaluant et en apportant des recommandations pour son amélioration continue.

Dans le secteur bancaire, étant fortement concurrenciel, la réussite dépend de la sécurité, de l'exactitude, de la fiabilité et de la disponibilité des données ou de l'information que les technologies mettent à la disposition de la direction et des employés au besoin. L'audit interne est donc cette entité capable d'assurer que les systèmes d'information sont bien gouvernés et la sécurité de l'information bien gérée afin que les décisions prises par le management créent de la valeur ajoutée. Par ailleurs, une solide gouvernance d'entreprise constitue le fondement d'une gestion efficace des risques et de la confiance du public dans les banques et dans le système bancaire (le comité de Bale, 2012 : 2). L'audit interne est chargé de vérifier la régularité des activités de la banque. À cette fin, il fournit, à tous les niveaux de responsabilité de la banque, des assurances, des analyses, des plans d'actions approuvés ou des recommandations, des conseils et des informations concernant les activités qu'il a vérifiées (Banque Européenne d'investissement, 2007 : 2).

L'audit interne contribue à la détection des risques de sécurité qui pourraient échapper au dispositif de contrôle interne en place. Il redore ainsi par ses recommandations, l'image de l'entreprise devant le monde extérieur. L'auditeur interne doit être celui qui a une vue et une compréhension approfondie des risques inhérents à la sécurité de l'information. C'est la raison pour laquelle il lui est recommandé une formation continue et une connaissance approfondie des technologies de l'information modernes.

L'audit est rendu obligatoire par la clause 6 de la norme ISO 27001 qui précise que des audits doivent être conduits à intervalles planifiés pour s'assurer que les objectifs et mesures de sécurité, les processus et procédures du SMSI sont :

ü conformes au standard (ISO 27001 et son Annexe A) et aux législations et règlements en vigueur,

ü conformes au SOA,

ü effectivement implémentées et mises à jour,

ü fonctionnent comme prévu.

Selon le site SSi-conseil, l'audit participe au processus d'amélioration continu permettant de contrôler, de corriger ou d'améliorer les mesures de sécurité mises en place grâce à 3 types d'actions :

ü les audits internes (planifiés)

ü les contrôles internes (inopinés mais plus ciblés)

ü les revues de management (généralement planifiées sauf événement exceptionnel).

L'audit Interne a une approche factuelle basée sur des tests, des interviews, des observations. Cela lui permet de donner un point de vue indépendant sur ce qui est appliqué et la conformité aux bonnes pratiques en matière de gestion de sécurité de l'information.

Toute entreprise espère assurer intégrité, confidentialité et disponibilité de ses informations pour les parties prenantes. Ainsi, les vérifications et recommandations de l'auditeur interne crée de la valeur ajoutée pour cette entreprise à différents niveaux :

Ø au niveau de la gestion de la sécurité de l'information :

L'entreprise aura une approche cohérente de la définition des processus IT et connaitra l'importance d'un comité de pilotage de la sécurité de l'information et son rôle.Elle comprendra mieux son environnement de contrôle informatique et l'importance des politiques de sécurité informationnelle. Elle saura sur quels points mettre l'accent afin d'aligner sa stratégie informatique avec sa stratégie globale.

L'entreprise pourra aisémentmettre à jour ses procédures et politiques en matière de sécurité de l'information et les suivre en fonction de son changement d'environnement ou de stratégie. Elle aura connaissance des risques liés à la sécurité de l'information susceptibles d'avoir un impact négatif sur ses activités et pourra mieux les classer par priorité. Par la compréhension des risques de sécurité, l'entreprise sera àmême de prendre des décisionsqui s'alignent aisémentà ses objectifs.

Chaque corps métier saura ce qu'il faut faire pour maintenir et améliorer la sécurité de l'information dans son domaine. L'entreprise saura de quelles compétences elle a besoin pour son fonctionnement et pourra ainsi attribuer convenablement les rôles et responsabilités. De même, cela favorisera une bonne protection et une bonne utilisation des actifs liés aux TI.

Ø Au niveau des opérations et de la technologie de sécurité de l'information

L'évaluation de ce facteur permettra à l'entreprise de mieux identifier les risques liés aux technologies de l'information.Elle sera à même de palier rapidement aux incidents de sécurité qui surviendront par la mise en place d'un comité de gestion des incidents. En adoptant un système de management de qualité pour la sécurité de l'information, l'entreprise rencontrera la satisfaction de ses partenaires de même que la compréhension et la motivation de son personnel.

L'entreprise saura quels sont les moyens et méthodes techniques modernes à adopter pour sauvegarder et protéger ses informations, comment les utiliser et comment les faire respecter. Les technologies seront utilisées de manière efficiente et efficace pour permettre la réalisation des objectifs au moment opportun. Il y aura une amélioration de la satisfaction de la clientèle puisque la gestion de la qualité du SMSI et des services sera alignée à leurs attentes. Les rôles seront également clairement définis et les attributions et privilèges, nettement repartis.

Ce chapitre nous a permis de comprendre le cadre normatif et référentiel dans lequel se trouve le système bancaire. Nous avons également fait référence à l'apport de l'audit interne dans la gestion de la sécurité de l'information. De façon générale, son rôle est de veiller à l'atteinte des objectifs assignés par la Direction Générale dans ses procédures de sécurisation des actifs informationnels de la structure.

Notre étude a pour exemple de travail, la banque ECOBANK Cote d'Ivoire. Pour l'obtention des informations et leur analyse et interprétation, nous avons suivi une démarche qui sera présentée dans ce dernier chapitre de notre partie théorique. A travers un modèle d'analyse précis, nous vérifierons non seulement l'existence du SMSI de ECOBANK CI mais nous évaluerons aussi ses forces et ses faiblesses. Enfin nous montrerons ce que l'audit interne peut apporter pour pallier les éventuelles défaillances à travers nos recommandations.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy