Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

5.3.2.3 Périodicité des formations trop longue

Nous savons que le maillon le plus faible au sein d'une entreprise est l'homme. Ainsi il est important de notifier que Ecobank CI, dans le souci d'atteindre effectivement ses objectifs, met en place des formations et des tests en lignes obligatoires pour son personnel. Plus de 80% des employés ont déjà complétés leur formation et cela réduit considérablement le taux d'erreurs et permet aux employés de mieux comprendre l'ampleur de leur tâche et les éléments de sécurité qui s'y rattachent.Si l'aspect humain n'est pas pris en compte, cecipeut entrainer des pertes financières, des pertes d'informations importantes et sensibles.

Ce que nous remarquons par contre au niveau des formations, c'est la périodicité ou la fréquence de celles-ci. En effet, les agents peuvent recevoir seulement une ou deux formations dans l'année. Ce qui est très peu vu l'évolution technologique rapide et l'environnement de mondialisation dans lequel évolue la banque. Il y a par conséquent de nouveaux risques qui surviennent dont le personnel doit prendre connaissance et quels sont les mesures et moyens de sécurité à adopter pour réduire le risque.

5.3.2.4 Méthodologie de classification des informations non optimale

Nous avons remarqué que les informations sont classées seulement par catégorie et non par ordre de priorité particulier. Les informations physiques telles que les dossiers d'ouverture de compte, les dossiers de crédit et autres sont stockés à différents endroits selon la classification personnelle des gestionnaires de ces actifs. Les informations numériquespersonnelles quant à elles sont stockéessur les ordinateurs de bureaux, les ordinateurs portables et autres appareils mobiles sans balises de sécurité et méthodes de classification particulières.

Nous savons que la protection de l'information commence par la classification de celle-ci selon son degré de sensibilité et son niveau de partage. Une mauvaise classification peut occasionner une mauvaise prise de décisions de la part du management. Il sera difficile pour ce dernier d'apprécier quelles informations sont les plus importantes à prendre en compte. Ce fait peut aussi entrainer la banque vers des horizons risqués qu'elle n'avait pas forcément prévu. La norme ISO 27002 exige que les informations soient classées par ordre de priorité afin de mieux orienter les outils de sécurité pour les données sensibles. Les informations doivent être classées du plus important au moins important et du plus sensible au moins sensible.

5.3.2.5 Gestion de la sauvegarde des données sur les ordinateurs et appareils mobiles

Dans notre description du SMSI de Ecobank CI, nous avons pu noter que les plans de sauvegarde sont assez performants. Les serveurs conservent les informations des différentssystèmes de la banque et se relaient en cas de panne de l'un d'eux. Ainsi les informations concernant les clients (particuliers ou entreprises) contenues dans les logiciels d'enregistrement et de gestion des bases dedonnéessont sauvegardées. Ceci répond au plan de continuité des activités de la banque pour éviter toute rupture d'informations.

Néanmoins nous pouvons remarquer qu'aucune mesure n'a été prise pour la conservation des données sur les ordinateurs de bureau ou portables et autres appareils mobiles (tablette numérique, téléphone portable, clé USB etc.). Les antispams et antivirus ont uniquement pour rôle la protection des données mais pas leur conservation. Aujourd'hui la menace des formules BYOD (Bring Your Own Device) est trèsfréquente dans les entreprises. Les managers autorisent le personnel à venir avec leurs propres appareils mobiles pour effectuer leur travail. Les appareils mobiles sont connectés au réseau de l'entreprise pour faciliter le travail partout où les agents se trouveront. Le plus souvent les terminaux personnels sont des dispositifs Apple^5(*), Samsung ou BlackBerry. Ces dispositifs présentent des exigences de bandes passantes et des connectivités inconnues du gestionnaire des terminaux et réseaux de l'entreprise. Par conséquent ces dispositifs de travail restent généralement sans sécurité et utilisent les mêmes ressources que les terminaux internes de l'entreprise.En cas de sinistre ou de vol, il n'y a aucun moyen de récupération des données.Les informations perdues peuvent être utilisées à mauvaise escient et cela pourrait porter atteinte à la réputation de la banque.

* ⁵Apple: entreprise multinationale qui conçoit et commercialise des produits électroniques grand public