5.2.2 Le dispositif de contrôle interne
enmatière de sécurité de l'information
Il faut déjà noter la présence d'un SMSI
au sein de Ecobank CI, règlementé au niveau du Groupe ETI. Le
SMSI est encadré d'un dispositif de contrôle soumis à tout
le personnel de la banque et géré par la Direction du
Contrôle interne. C'est cette Direction qui est chargé de veiller
au jour le jour à l'application et au respect des mesures
sécuritaires établies pour protéger et sauvegarder les
informations. Les vérifications effectuées par la direction du
contrôle interne couvrent troisprincipaux types de risques :
ü le risque opérationnel
ü le risque de crédit
ü le risque du marché
Le dispositif de contrôle interne au sein de Ecobank se
compose de moyens techniques et physiques.
Pour la sécurité logique, Ecobank CI dispose de
pare-feu, d'antivirus, d'un système de cryptographie des données,
de la mise en place de codes d'accès pour les applications, de la
messagerie web sécurisée (Outlook) pour les échanges de
données sensibles, d'un système de filtrage des mails venant de
l'extérieur. La banque impose une connexion obligatoire de tous des
ordinateurs à son réseau pour un meilleur suivi. Notons
également que les ports USB sont verrouillés et
sécurisés. La messagerie Outlook offre un cryptage interne et un
système d'accusé de réception et de lecture qui permet de
s'assurer que le message a été envoyé au bon destinataire
et qu'il l'a effectivement reçu et lu. La DCI se charge également
des attributions et privilèges aux employés pour les applications
du système d'information et autres. En effet des demandes
d'habilitations sont émises par les différents corps de
métiers existant au sein de la banque au niveau du contrôle
interne. Lui, il se charge de vérifier les demandes et d'acheminer les
dossiers vers la Direction Générale qui les approuve en apposant
sa signature. Ensuite les login et mots de passe sont créés et
sont uniques et propres à une seule personne. A la fin du contrat, les
privilèges et attributions lui sont immédiatement retirés.
Concernant la sécurité physique, Ecobank CI
dispose de gardiens, d'extincteurs, d'un dispositif d'identité
magnétique à chaque porte de bureau et des badges d'accès,
d'une protection sécurisée dans le périmètre
où se situe le serveur central des bases de données, d'un
système d'alarmes, des visuels de signalisation, de caméras de
surveillance, de câblages informatiques sécurisés, de
plusieurs serveurs distants (pour la continuité d'exploitation), des
salles ou entrepôts pour le stockage d'informations et d'outils utiles et
sensibles (dossiers comptes clients, dossiers de crédit, matériel
de travail). Notons que les informations ne sont pas classées suivant un
ordre de priorité particulier mais seulement par catégorie. Les
badges d'accès électroniques aux différents offices sont
délivrés uniquement par la Direction du Contrôle Interne
sous présentation du contrat de travail ou de stage.
La Direction du Contrôle Interne effectue un
contrôle journalier de toutes les opérations de l'entreprise pour
réajuster les écarts et faire respecter les différentes
procédures. Il s'assure que les tâches sont effectivement et
convenablement exécutées et que les moyens physiques et
techniques mis à disposition sont fonctionnels. L'audit interne se
charge de faire un contrôle périodique pour attester du maintien
de la sécurité de l'information et de l'efficacité du
dispositif de contrôle interne.
Des formations obligatoires sont engagées pour le
personnel et des conseils de sécurité sont transmis par courriel
régulièrement. C'est également un moyen utilisé par
Ecobank CI pour minimiser les risques inhérents à la
sécurité de l'information.
Notre prochaine étape est l'essence même de notre
étude à savoir le diagnostic critique de la gestion de la
sécurité de l'information menée par Ecobank CI. Ce
diagnostic nous permettra de confronter la théorie d'avec la pratique et
déceler les manquements auxquelles il faudrait remédier.
| 
