WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy
5.3.2.6 Gestion des badges d'accès et privilèges par la Direction du Contrôle Interne

Un point qui s'avère être une force pour Ecobank CI, c'est que chaque individu en fonction de son poste, a un privilège qui l'autorise à entrer dans les applications du système nécessaire seulement pour son travail.Ceci est une exigence du CobiT. Il insiste sur le fait que les droits et privilèges de chaque utilisateur par rapport aux données et aux systèmes doivent être en phase avec les besoins d'affaires de l'entreprise et que le rôle joué par l'utilisateur doit être parfaitement lié aux besoins du poste qu'il occupe.

En revanche CobiT explique que les droits d'utilisateurs doivent être requis par le service de la gestion des utilisateurs, approuvés par les propriétaires du système et exécutés par le personnel responsable de la sécurité de l'information. Mais le constat que nous faisons, c'est qu'au sein de Ecobank CI, à défaut d'être approuvés par la Direction Générale (et donc les propriétaires du système), chaque droit d'utilisateur est demandé par la Direction à laquelle il appartient et c'est la Direction du contrôle interne qui se charge de l'attribution des droits. Dans ce cas de figure, l'on peut dire que la Direction du contrôle interne de Ecobank CI joue aussi le rôle d'un service responsable de la sécurité de l'information. Si cette tâche n'est pas contrôlée et règlementée, elle pourrait porter atteinte au principe de séparation des tâches incompatibles étant donné qu'il existe déjà un responsable de la sécurité de l'information. Ce fait peut aussi porter atteinte à l'objectivité de la Direction du Contrôle Interne qui est supposée garantir la fiabilité et l'efficacité du dispositif de contrôle interne.

5.3.2.7Approche réactive du comité de gestion des incidents

Un autre point fort est la présence d'un comité de gestion des incidents. Ce comité a pour charge de réfléchir sur les problèmes ou incidents qui surviennent dans le courant des activités de la banque et d'apporter des solutions pertinentes pour les résoudre.

Nous notons cependant que ce comité ne se réunit qu'en cas d'incidents majeurs de sécurité et après leur gestion, il est mis en pause jusqu'à la survenance d'autres incidents. On dira que la gestion des incidents est abordée sur une base réactive. Il ressort donc de ce fait un manque de planification anticipéedes différents problèmes (sachant que d'un problème peut découler plusieurs incidents). Ceci peut entrainer une compréhension erronée des problèmes à traiter et l'apport de réponses inadéquates ou tardives aux incidents survenus.

Normalement chaque incident résolu dans le passée devrait permettre avec l'expérience de résoudre le même incident en cas de survenance. Toutefois nous sommes dans une ère nouvelle de mondialisation et de nouvelles technologies. Les risques sont multipliés et les incidents et problèmes sont de plus en plus nombreux.Il est vrai que le management de la technologie est trimestriellement suivi. Néanmoins, gérer les incidents sur base réactive n'est pas toujours efficace surtout que les incidents peuvent être d'ordre divers. Les conséquences qui en découlent peuvent avoir un impact préjudiciable pour la banque et pour ses activités qui dépendent aujourd'hui encore plus des nouvelles technologies de l'information.

A toutes ces insuffisances, l'audit interne doit pouvoir apporter des recommandations pour y palier et ainsi créer de la valeur ajoutée. La prochaine étape nous permettra donc d'analyser l'impact que l'audit interne de Ecobank CI a eu sur son SMSI. Notre analyse s'axera autour de la méthodologie utilisée pour l'évaluation de la sécurité de l'information et de la compétence dont font preuve les auditeurs internes.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy