WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

5.4.3 Les compétences et outils de travail

Concernant la compétence des auditeurs, nous avions remarqué qu'un seul sur les quatre auditeurs internes avait une formation et une certification en matière de système d'information. A travers le questionnaire d'audit interne sur la sécurité de l'information, nous avons notéen moyenne, une méconnaissance des exigences de la norme ISO 27002 pour les systèmes d'information de la banque. Il est vrai que le référentiel de l'audit interne selon l'IIA n'oblige pas les auditeurs à posséder l'expertise d'un auditeur informatique. Néanmoins, nous remarquons que, bien que sachant quel rôle jouer en tant qu'auditeurs internes, la sécurité de l'information ne fait pas souventpartir de leur programme annuel de mission.

Un autre point est le nombre très faible d'auditeurs pour les 48 agences de Ecobank déployées sur le territoire ivoirien. Cette situation favorise que certaines agences ne soient évaluées que chaque 2 ou 3 ans. Ce qui occasionne l'accumulation de risques divers et des pertes financières. Aussi le faible nombre des auditeurs n'offre pas à la Direction de l'audit interne et donc à Ecobank CI une pluralité de spécialités.

A propos des outils de travail, nous constatons que la Direction de l'audit interne ne dispose pas de logiciels d'audit spécialisés utiles pour les tests d'intrusion ou les tests d'appréciation de la vulnérabilité du système de la banque. Ce manque ne permet pas à l'auditeur interne d'inspecter et d'évaluer en intégralité les systèmes informatiques et les risques présents et ceux qui pourraient survenir.

Nous savons à travers la théorie que l'audit de la sécurité de l'information est rendu obligatoire par la clause 6 de la norme ISO 27001 qui précise que des audits doivent être conduits à intervalles planifiés. De plus, l'IFACI précise que le processus de contrôle de l'audit interne doit viser l'ensemble du dispositif de contrôle interne.En matière de système d'information, l'IFACI explique que les auditeurs doivent effectuer des contrôles des technologies de l'information. Ces contrôles viennent en appui de la gestion et de la gouvernance de l'organisation et comportent des contrôles généraux et des contrôles techniques sur les infrastructures des technologies de l'information dans lesquelles on retrouve les applications, les informations, les installations et les personnes. Pour cela ils doivent posséder une connaissancesuffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en oeuvre dans le cadre des travaux qui leur sont confiés.

Il ressort donc de notre diagnostic critique une lacune quantà l'implémentation de la norme ISO 27002 aux systèmes d'information de la banque. Ecobank CI possède bel et bien un SMSI défini mais sa gouvernance de même que la stratégie d'audit utilisée pour son amélioration continue pourraient être perfectionnées. Un SI est dit fiable s'il procure des informations pertinentes et en temps réel à l'entreprise. Par ailleurs les flux d'information qui en découlent, doivent faire l'objet d'un excellent cadre de sécurité de l'information. La prochaine étape sera pour nous l'occasion d'apporter des suggestions aux difficultés qui ressortent de notre évaluation.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy