WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire


par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

TABLEAU 1 : Tableau récapitulatif des insuffisances relevées et leurs risques respectifs

ETAPES D'AUDIT

CONSTATS

RISQUES

MENTION / CRITICITE

Gestion de la sécurité de l'information

- absence d'un comité de pilotage

- inexistence d'une organisation claire de sécurité de l'information

MOYEN

- politiques et procédures très récentes

- adaptation lente

- difficultés à gérer le changement et à impacter la culture de l'entreprise

MOYEN

- méconnaissance de la politique de risques par les opérationnels

- réalisation de tâches incompatibles

- fraudes

- mauvaise manipulation de données à répétition

- incompréhension dans l'accomplissement des tâches

- tolérance d'incidents qui peuvent s'avérerde haute importance pour la banque

- disparité des pratiques en matière de risques

ELEVE

Evaluation des opérations de sécurité

- inefficience dans la gestion de la sécurité de l'information

- insuffisance dans la transmission des objectifs de la maison mère en matière de sécurité de l'information

- évaluation erronée ou insuffisante des risques de sécurité

- mauvaise attribution des responsabilités

- méconnaissance des risques inhérents à la sécurité de l'information

ELEVE

- approche réactive du comité de gestion des incidents

- insuffisance dans la planification des réponses aux incidents

- réponses médiates aux incidents

- pertes financières

MOYEN

- Périodicité des formations trop longue

- méconnaissance des risques actuels liés à la sécurité de l'information

- méconnaissance des nouvelles technologies de l'information

- pertes financières

MOYEN

- inexistence d'une méthodologie formelle de classification des informations

- retard dans les prises de décision

- prises de décision erronée

- pertes d'informations

- transfert d'informations confidentielles ou sensibles aux personnes non autorisées

- mauvaise utilisation des informations

MOYEN

Evaluation des technologies de sécurité

- traçabilité des agents et ouverture du réseau de l'entreprise à l'extérieur

- vulnérabilité du réseau

- infiltrations des hackers (piratage)

- pertesd'informations

- pertes financières

FAIBLE

- gestion de la sauvegarde des données sur les stations de travail et appareils mobiles

- pertes d'informations

- fraudes

- utilisation des informations à mauvais escient

- atteinte à la réputation de la banque

ELEVE

Source : nous-même

Le tableau récapitulatif nous donne d'apprécier les risques qui ressortent du SMSI de Ecobank CI. A travers cette présentation de risques, nous pouvons déduire si le SMSI est vulnérable ou non et si les objectifs de sécurité de la banque sont atteints. Selon notre système de cotation CMMI, les objectifs sont atteints si chacun des 6 éléments clés de la sécurité de l'information élargie aux processus sont au niveau 4. Ce tableau nous permet donc d'évaluer le niveau de maturité du SMSI de Ecobank CI à travers ce graphique ci-après :

Figure 4 : Graphique du niveau de maturité du SMSI de Ecobank CI

LEGENDE

PO4: Organisation et Processus de la sécurité de l'information

PO9 : Evaluation et gestion des risques de sécurité

AI7 : Classification des informations

DS4 : Gestion de la continuité d'exploitation

DS5 : Gestion des technologies de sécurité

DS8 : Gestion des incidents et problèmes

DS10 : Gestion du personnel

ME2 : Surveillance et évaluation du contrôle interne

ME3 : Conformité avec les exigences extérieures

Source : Graphique établit par nous-même à partir de la méthode d'évaluation et de calcul CMMI du CobiT

Le calcul et l'évaluation du niveau de maturité du SMSI permet d'apprécier ou se situe la sécurité de l'information par rapport aux exigences de la norme ISO 27000. Nous pouvons constater à travers ce graphique ci-dessus que le niveau de maturité du SMSI de Ecobank CI (ligne verte)a globalement atteint le critère 3 ; il est bien établit mais présente encore quelques carences. Ce qui signifie que les exigences de la norme ISO 27000 sont plus ou moins respectés avec des insuffisances diverses. Sur neuf (9) éléments de choix pour l'évaluation du SMSI, cinq (5) se retrouvent dans l'intervalle [0 ; 2,99]. Ces éléments critiques sont l'organisation générale de la sécurité de l'information, la classification des informations, le processus de gestion des incidents et problèmes, la gestion du personnel et l'évaluation de la conformité globale aux exigences de la norme et autres exigences du système bancaire.

L'idéal serait d'atteindre le critère 5 mais étantdonné qu'aucun système ne peut êtreassuréabsolument, nous avons défini des niveaux à court et long terme selon le CobiT. Le niveau à court terme (critère 4) est le minimal que le SMSI devra accéder pour réduire au mieux ses insuffisances et être par conséquent moins vulnérable. Nous proposerons donc des suggestions pour que le SMSI atteigne le niveau minimum requis. Ces recommandations doivent bien entendu être sujettes àamélioration en fonction de l'évolution et de l'expansion de Ecobank CI.

6.2 Recommandations pour l'amélioration de la sécurité de l'information et l'audit interne au sein de Ecobank Cote d'Ivoire

A travers ce chapitre nous ferons des recommandations pour l'amélioration du SMSI et ensuite des recommandations pour rendre plus opérationnel et accroitre la valeur ajoutée de la Direction d'audit interne en matière de sécurité de l'information. Dans l'étape suivante, nous suggérerons des lignes directrices d'audit qui pourraient être des missions d'audit de la sécurité de l'information.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy