WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

5.3.2 Evaluation des activités et de la gestion des technologies relatives à la sécurité de l'information

Pareillement à l'évaluation de la gestion organisationnelle de la sécurité de l'information, nous énoncerons point par point les différentes défaillances décelées dans la description du SMSI existant.

5.3.2.1 Inefficience de la gestion de la sécurité de l'information

De l'évaluation des opérations ou activités de sécurité de l'information, nous pouvons noter l'existence d'un service responsable de la sécurité de l'information avec à sa tête un responsable Security, encore appelé Responsable de la sécurité de l'information.Il travaille de concert avec la Division IT, le Contrôle et l'Audit Interne. .

Selon l'organigramme de la structure bancaire, le responsable Security est en staff sous la direction informatique ; ce qui n'est pas de nature à faciliter ses tâches. Il se pose donc le problème d'indépendance de la fonction par rapport au système à évaluer, de temps de réponse aux préoccupations particulières de la filiale et de gestion efficace de la sécurité de l'information. Le responsable Security ne sera pas en mesure de couvrir correctement toutes les zones de sécurité sans l'aide permanente d'un comité de pilotage de la sécurité du système d'information. De plus, chacune des filiales évolue dans un pays différent et donc dans un environnement de travail différent. Par ricochet, les besoins de sécurité et les risques sont également différents.

Le système d'information automatisé se compose d'humains, de matériel informatique et de données diverses. Il est important d'avoir une bonne organisation, impliquer le personnel, appréhender son SI de manière globale. Mais il est aussi nécessaire d'avoir un système informatique sécurisé, car il y a toujours des portes d'entrée qui doivent être protégées.

5.3.2.2. Traçabilité des agents et ouverture du réseau de l'entreprise vers l'extérieur

Nous constatons que chaque utilisateur ayant une activité dans le système s'identifie par un mécanisme clair d'identification (soit un login et un mot de passe). Un journal est automatiquement généré et fait apparaitre le nom de l'agent qui a passé une opération donnée avec son code d'identification électronique, la date et l'heure de l'enregistrement. Cependant tous ne sont pas parfaitement traçables exceptéceux qui manipulent les informations comptables et données financières (physiques ou numériques).Ce fait pourrait donner l'occasion à un stagiaire ou un employé d'une autre direction de mener des infractions contre la sécurité sans se faire repérer. Même si elles demeurent mineures, on assistera à une atteinte au principe de traçabilité et de non-répudiation.

Aussi le service informatique permet aux ordinateurs portables (délivrés bien entendu par la banque elle-même) d'accéder non seulement aux systèmes d'information mais aussi au réseau internet.Il faut cependant noter que l'accès WEB est restreint par défaut et que les systèmes sensibles sont couverts. Les ordinateurs personnels de même que les informations sensibles contenues dans ses machines ne sont pas totalement exemptent de risques. Ainsi ce fait peut donnerlieu à tout type d'infraction. La sécurité du réseau et donc des systèmes d'information est menacée.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy