5.4
Analyse de l'implication de l'audit interne à la sécurité
de l'information
Comme nous l'avons signifié plus haut, la Direction de
l'audit interne n'a mené qu'une seule mission de sécurité
de l'information qui a eu lieu en 2011. En effet celapeut-être dû
au fait que le SMSI de la banque n'existe que depuis peu ou qu'il y a un manque
demoyens d'évaluation de la sécurité de l'information ou
encore que les compétences et connaissances en matière
d'évaluation d'un SMSI sont insuffisantes. Dans cette analyse, nous
énoncerons de façon détaillée chaque point qui nous
semble être une faiblesse dans l'implication de l'audit interne à
la sécurité de l'information.
5.4.1 Les missions d'évaluation de la
sécurité de l'information
La première remarque à faire c'est que l'audit
de la sécurité de l'information a été
effectué une seule fois et en 2011. Cet audit faisait partir du plan de
mission de 2011. Sachant que la Cote d'Ivoire a connu une crise due aux
élections présidentielles de 2010, cet audit a aussi
été surement mené dans le but d'apprécier le
fonctionnement du dispositif de contrôle interne. Après 2011, la
centralisation des systèmes sensibles s'est faite sur la plateforme
e-Process au Ghana. Ainsi les auditeurs internes ont vu leurs tâches
être réorientées puisqu'une partie des risques est
gérée au Ghana à Accra.
Cependant comme nous l'avons dit plus haut, chaque filiale
évolue dans un environnement de travail différent. De 2011
à cette année-ci, Ecobank CI a connu beaucoup
d'évènements tels que l'acquisition de nouveaux biens, le
changement du système de gestion informatisé des données,
l'accroissement de la clientèle, la signature de nouveaux contrats avec
des partenaires extérieurs etc. Cette situation a occasionné de
nouveaux risques qui devraient faire l'objet de nouveaux audits.Fort
heureusement, l'audit interne couvre périodique lors de ses missions les
aspects qui touchent la sécurité de
l'information.Néanmoins des revues dédiées à la
sécurité de l'information devraient être instituées
afin de couvrir le maximum des risques qui y sont inhérents.
5.4.2 La méthodologie d'audit du SMSI
Concernant la méthodologie d'audit du SMSI, les
auditeurs internes ont opté pour une analyse en 2 étapes :
audit organisationnel et l'audit technique et physique. L'audit organisationnel
pour vérifier l'organisation de la structure à auditer, la
formation du personnel et le fonctionnement de la
stratégiedéployée sur les outils ; ensuite l'audit
technique et physique pour s'assurer de la mise en place et le bon
fonctionnement des outils de sécurité, de la sauvegarde des
données et de la mise à jour du plan de continuité. Nous
notons que la méthodologie utilisée en elle-même est une
méthode établie par l'IFACI. Maisce qui nous importe ici c'est le
contenu de la méthode pour évaluer la gestion de la
sécurité de l'information.
Le constat que nous faisons est qu'avec la centralisation des
systèmes sensibles de Ecobank CI à Accra au Ghana, une grande
partie des risques de sécurité ne sont plus du ressort de la
filiale. C'est aussi la raison pour laquelle les missions d'évaluation
de la sécurité de l'information sont partielles et sommaires.
Elles ne sont effectuées que pour s'assurer de l'application des
recommandations par les utilisateurs finaux. Les auditeurs internes et externes
mènent des revues au niveau du e-Process (le centre commun de
technologie de Ecobank) ; ceci dans le but de rassurer le Management sur
la sécurité du SI et de préconiser des mesures pour
améliorer la gouvernance du SI. L'insuffisance de cette méthode
est que l'audit ne se fait que pour un souci de respect de la conformité
aux politiques et procédures et non pour une analyse spécifique
des systèmes de pilotage ou de gouvernance de la sécurité
de l'information en interne (c'est-à-dire au sein de la filiale
elle-même).
Les actions bien que conformes aux règles, peuvent ne
pas répondent convenablement au besoin de sécurité de
l'information et au besoin d'affaires de la banque. L'IFACI explique que
l'audit interne ne doit pas restreindre ses tâches aux procédures
ou aux activités de contrôle, mais également prendre en
compte l'organisation, le pilotage et la surveillance du processus qui se
fondent sur une approche par les risques et une diffusion fiable de
l'information.
Les normes ISO 27000 permettent d'établir un
cadreadéquat pour la gestion des systèmes d'information de
l'entreprise et aussi d'implémenter un SMSI qui répond aux
besoins et d'obtenir des moyens de l'évaluer. Si nous partons du fait
que les filiales dépendent de la maison mère, il faut aussi
savoir que les environnements de travail et de contrôle sont
différents. Ainsi la direction de l'audit interne doit donner
l'assurance que le SMSI correspond à son environnement de travail.
| 
