6.2.2 Recommandations pour le
perfectionnement de l'audit interne en matière de sécurité
de l'information
L'audit interne, de par sa définition, aide
l'entreprise à atteindre ses objectifs en évaluant ses processus
de management des risques, de contrôle et de gouvernance. C'est un organe
de contrôle, conseiller de la Haute Direction, qui aide au management et
qui est créateur de valeur ajoutée. Il doit pour cela
posséder les meilleures méthodes et outils de travail afin de
mener à bien ses missions d'audit.
Pour la sécurité de l'information, les audits
doivent se faire de façon régulière. Au moins une fois
l'an, les bonnes pratiques voudraient que l'audit interne évalue la
gestion de la sécurité de l'information au niveau de la banque
toute entière de même que les opérations et les
technologies de sécurité. L'évaluation permettra de
s'assurer que la stratégie TI est toujours rigoureusement
alignéeà la stratégie globale d'affaires établie
par la banque. Aussi une évaluation des risques de
sécurité constante et régulière en collaboration
avec le RSI et le RM est importante voire obligatoire pour mieux établir
un plan d'audit pertinent.
Aucune agence ni entité de la banque ne doit rester
incontrôlée pendant plus d'un an au maximum. Nous recommandons
pour cela l'augmentation du nombre des auditeurs internes et aussi
l'augmentation des audits de sécurité de l'information. Il serait
encore plus intéressant que la Direction de l'audit interne regorge de
plusieurs spécialités. Pour cela une formation continue des
auditeurs est recommandée de même qu'une auto-évaluation de
leurs compétences et aptitudes. Les auditeurs qui ont plus de
compétencesen matière de sécurité de l'information
pourraient formés ceux qui en ont moins (création d'un centre de
partage et de réflexion) afin d'accroitre le potentiel de l'audit
interne et de réduire les couts de la banque dus aux recours
fréquents vers l'extérieur.
L'IFACI recommande aux auditeurs internes d'avoir des
connaissances et des compétences suffisantes pour conduire à bien
leurs missions d'audit. Nous suggérons donc pour l'évaluation de
la sécurité de l'information que chaque auditeur interne ait une
connaissance des normes ISO 27000 actualisées, du
référentiel CobiT et autres bonnes pratiques en matière de
sécurité des systèmes d'information. Avec ces
connaissances, la Direction de l'audit interne sera à mesure de
fournir des recommandations pertinentes pour l'amélioration de la
gestion de la sécurité de l'information.
Concernant la méthodologied'audit, nous recommandons
que l'audit interne s'imprègne de la méthode d'évaluation
élaborée par ISACA. Les différentes étapes de
l'audit interne passent par 3 phases : phase de planification, phase de
réalisation et phase de conclusion matérialisée par un
rapport final d'audit. La phase de planification doit déjà
prendre en compte les 3 niveaux réunis en 2 qu'ISACA propose à
savoir : évaluation de la gestion de la sécurité de
l'information et l'évaluation des opérations et des technologies
de sécurité de l'information.L'évaluation
générale de la sécurité de l'information pourra
être effectuée au moins une fois par an pour ne pas perdre un seul
aspect de sécurité qui pourrait s'avérer
préjudiciable pour la banque. De plus, il faudrait aux auditeurs
internes des outils ou logiciels d'audit spécialisés pour
effectuer les tests de contrôle conformément aux recommandations
de l'IFACI quant à l'évaluation des technologies de
l'information.
Cette méthode permet de se rendre compte de la
stratégie de sécurité de l'information et de son
alignement d'avec la stratégie globale de l'entreprise. Evaluer ces
différents aspects de sécurité de l'information
cités dans les pages 96 et 97, au moins une fois dans l'année
permet de s'assurer que les objectifs de sécurité définis
par la maison mère sont atteints avec efficience et efficacité.
L'assurance sera également donnée quant au bon fonctionnement du
SMSI et de sa conformité avec les règlementations et exigences
établies par Ecobank et aussi par le secteur bancaire.
L'auditeur interne doit constamment se former avec
d'acquérir des connaissances nouvelles sur les TI, les systèmes
d'information, la gestion des SMSI et autres sujets susceptibles de l'aider
dans l'accomplissement de ses tâches périodiques et dans l'apport
pour la création de valeur.
Conclusion de la deuxième partie
L'exemple de Ecobank CI nous a permis de constater et
d'apporter un jugement sur la pratique de la sécurité de
l'information au sein même de ladite banque. De notre diagnostic, nous
avons remarqué quelques anomalies susceptibles de compromettre le SMSI
de la banque et donc l'intégrité, la confidentialité et la
disponibilité des informations. De la théorie, ont
découlé des bonnes pratiques qui nous ont permis de faire des
recommandations afin que Ecobank CI évite ou
réduiseconsidérablement tous les risques inhérents de
sécurité qui pourraient survenir.
Nous avons égalementapprécié le
rôle de la Direction de l'audit interne dans la sécurité de
l'information à travers la méthodologie et le contenu du travail
effectué. Nous avons pu noter que l'audit interne s'attèle tant
bien que mal à jouer son rôle pour rassurer au mieux la Direction
Générale quant à l'efficacité et l'efficience de la
sécurité de l'information. Tout ceci en dépit du fait
qu'une partie des risques est gérée par le Groupe à cause
de la centralisation des systèmes. Cependant les missions à cet
effet sont insuffisantes et les aptitudes sont à améliorer. Nous
avons fait des recommandations qui, nous l'espérons, aideront la
Direction de l'audit interne à redéfinir sa méthodologie
d'audit de la sécurité et à être un véritable
contributeur à la sécurité de l'information.
| 
