WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

5.4 Analyse de l'implication de l'audit interne à la sécurité de l'information

Comme nous l'avons signifié plus haut, la Direction de l'audit interne n'a mené qu'une seule mission de sécurité de l'information qui a eu lieu en 2011. En effet celapeut-être dû au fait que le SMSI de la banque n'existe que depuis peu ou qu'il y a un manque demoyens d'évaluation de la sécurité de l'information ou encore que les compétences et connaissances en matière d'évaluation d'un SMSI sont insuffisantes. Dans cette analyse, nous énoncerons de façon détaillée chaque point qui nous semble être une faiblesse dans l'implication de l'audit interne à la sécurité de l'information.

5.4.1 Les missions d'évaluation de la sécurité de l'information

La première remarque à faire c'est que l'audit de la sécurité de l'information a été effectué une seule fois et en 2011. Cet audit faisait partir du plan de mission de 2011. Sachant que la Cote d'Ivoire a connu une crise due aux élections présidentielles de 2010, cet audit a aussi été surement mené dans le but d'apprécier le fonctionnement du dispositif de contrôle interne. Après 2011, la centralisation des systèmes sensibles s'est faite sur la plateforme e-Process au Ghana. Ainsi les auditeurs internes ont vu leurs tâches être réorientées puisqu'une partie des risques est gérée au Ghana à Accra.

Cependant comme nous l'avons dit plus haut, chaque filiale évolue dans un environnement de travail différent. De 2011 à cette année-ci, Ecobank CI a connu beaucoup d'évènements tels que l'acquisition de nouveaux biens, le changement du système de gestion informatisé des données, l'accroissement de la clientèle, la signature de nouveaux contrats avec des partenaires extérieurs etc. Cette situation a occasionné de nouveaux risques qui devraient faire l'objet de nouveaux audits.Fort heureusement, l'audit interne couvre périodique lors de ses missions les aspects qui touchent la sécurité de l'information.Néanmoins des revues dédiées à la sécurité de l'information devraient être instituées afin de couvrir le maximum des risques qui y sont inhérents.

5.4.2 La méthodologie d'audit du SMSI

Concernant la méthodologie d'audit du SMSI, les auditeurs internes ont opté pour une analyse en 2 étapes : audit organisationnel et l'audit technique et physique. L'audit organisationnel pour vérifier l'organisation de la structure à auditer, la formation du personnel et le fonctionnement de la stratégiedéployée sur les outils ; ensuite l'audit technique et physique pour s'assurer de la mise en place et le bon fonctionnement des outils de sécurité, de la sauvegarde des données et de la mise à jour du plan de continuité. Nous notons que la méthodologie utilisée en elle-même est une méthode établie par l'IFACI. Maisce qui nous importe ici c'est le contenu de la méthode pour évaluer la gestion de la sécurité de l'information.

Le constat que nous faisons est qu'avec la centralisation des systèmes sensibles de Ecobank CI à Accra au Ghana, une grande partie des risques de sécurité ne sont plus du ressort de la filiale. C'est aussi la raison pour laquelle les missions d'évaluation de la sécurité de l'information sont partielles et sommaires. Elles ne sont effectuées que pour s'assurer de l'application des recommandations par les utilisateurs finaux. Les auditeurs internes et externes mènent des revues au niveau du e-Process (le centre commun de technologie de Ecobank) ; ceci dans le but de rassurer le Management sur la sécurité du SI et de préconiser des mesures pour améliorer la gouvernance du SI. L'insuffisance de cette méthode est que l'audit ne se fait que pour un souci de respect de la conformité aux politiques et procédures et non pour une analyse spécifique des systèmes de pilotage ou de gouvernance de la sécurité de l'information en interne (c'est-à-dire au sein de la filiale elle-même).

Les actions bien que conformes aux règles, peuvent ne pas répondent convenablement au besoin de sécurité de l'information et au besoin d'affaires de la banque. L'IFACI explique que l'audit interne ne doit pas restreindre ses tâches aux procédures ou aux activités de contrôle, mais également prendre en compte l'organisation, le pilotage et la surveillance du processus qui se fondent sur une approche par les risques et une diffusion fiable de l'information.

Les normes ISO 27000 permettent d'établir un cadreadéquat pour la gestion des systèmes d'information de l'entreprise et aussi d'implémenter un SMSI qui répond aux besoins et d'obtenir des moyens de l'évaluer. Si nous partons du fait que les filiales dépendent de la maison mère, il faut aussi savoir que les environnements de travail et de contrôle sont différents. Ainsi la direction de l'audit interne doit donner l'assurance que le SMSI correspond à son environnement de travail.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy