WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Contribution de l'audit interne a la sécurité de l'information en milieu bancaire

( Télécharger le fichier original )
par Sarah Stéphanie TETCHI-YAVO
CESAG - DESS Audit et controle de gestion 2011
  

précédent sommaire suivant

6.2.2 Recommandations pour le perfectionnement de l'audit interne en matière de sécurité de l'information

L'audit interne, de par sa définition, aide l'entreprise à atteindre ses objectifs en évaluant ses processus de management des risques, de contrôle et de gouvernance. C'est un organe de contrôle, conseiller de la Haute Direction, qui aide au management et qui est créateur de valeur ajoutée. Il doit pour cela posséder les meilleures méthodes et outils de travail afin de mener à bien ses missions d'audit.

Pour la sécurité de l'information, les audits doivent se faire de façon régulière. Au moins une fois l'an, les bonnes pratiques voudraient que l'audit interne évalue la gestion de la sécurité de l'information au niveau de la banque toute entière de même que les opérations et les technologies de sécurité. L'évaluation permettra de s'assurer que la stratégie TI est toujours rigoureusement alignéeà la stratégie globale d'affaires établie par la banque. Aussi une évaluation des risques de sécurité constante et régulière en collaboration avec le RSI et le RM est importante voire obligatoire pour mieux établir un plan d'audit pertinent.

Aucune agence ni entité de la banque ne doit rester incontrôlée pendant plus d'un an au maximum. Nous recommandons pour cela l'augmentation du nombre des auditeurs internes et aussi l'augmentation des audits de sécurité de l'information. Il serait encore plus intéressant que la Direction de l'audit interne regorge de plusieurs spécialités. Pour cela une formation continue des auditeurs est recommandée de même qu'une auto-évaluation de leurs compétences et aptitudes. Les auditeurs qui ont plus de compétencesen matière de sécurité de l'information pourraient formés ceux qui en ont moins (création d'un centre de partage et de réflexion) afin d'accroitre le potentiel de l'audit interne et de réduire les couts de la banque dus aux recours fréquents vers l'extérieur.

L'IFACI recommande aux auditeurs internes d'avoir des connaissances et des compétences suffisantes pour conduire à bien leurs missions d'audit. Nous suggérons donc pour l'évaluation de la sécurité de l'information que chaque auditeur interne ait une connaissance des normes ISO 27000 actualisées, du référentiel CobiT et autres bonnes pratiques en matière de sécurité des systèmes d'information. Avec ces connaissances, la Direction de l'audit interne sera à mesure de fournir des recommandations pertinentes pour l'amélioration de la gestion de la sécurité de l'information.

Concernant la méthodologied'audit, nous recommandons que l'audit interne s'imprègne de la méthode d'évaluation élaborée par ISACA. Les différentes étapes de l'audit interne passent par 3 phases : phase de planification, phase de réalisation et phase de conclusion matérialisée par un rapport final d'audit. La phase de planification doit déjà prendre en compte les 3 niveaux réunis en 2 qu'ISACA propose à savoir : évaluation de la gestion de la sécurité de l'information et l'évaluation des opérations et des technologies de sécurité de l'information.L'évaluation générale de la sécurité de l'information pourra être effectuée au moins une fois par an pour ne pas perdre un seul aspect de sécurité qui pourrait s'avérer préjudiciable pour la banque. De plus, il faudrait aux auditeurs internes des outils ou logiciels d'audit spécialisés pour effectuer les tests de contrôle conformément aux recommandations de l'IFACI quant à l'évaluation des technologies de l'information.

Cette méthode permet de se rendre compte de la stratégie de sécurité de l'information et de son alignement d'avec la stratégie globale de l'entreprise. Evaluer ces différents aspects de sécurité de l'information cités dans les pages 96 et 97, au moins une fois dans l'année permet de s'assurer que les objectifs de sécurité définis par la maison mère sont atteints avec efficience et efficacité. L'assurance sera également donnée quant au bon fonctionnement du SMSI et de sa conformité avec les règlementations et exigences établies par Ecobank et aussi par le secteur bancaire.

L'auditeur interne doit constamment se former avec d'acquérir des connaissances nouvelles sur les TI, les systèmes d'information, la gestion des SMSI et autres sujets susceptibles de l'aider dans l'accomplissement de ses tâches périodiques et dans l'apport pour la création de valeur.

Conclusion de la deuxième partie

L'exemple de Ecobank CI nous a permis de constater et d'apporter un jugement sur la pratique de la sécurité de l'information au sein même de ladite banque. De notre diagnostic, nous avons remarqué quelques anomalies susceptibles de compromettre le SMSI de la banque et donc l'intégrité, la confidentialité et la disponibilité des informations. De la théorie, ont découlé des bonnes pratiques qui nous ont permis de faire des recommandations afin que Ecobank CI évite ou réduiseconsidérablement tous les risques inhérents de sécurité qui pourraient survenir.

Nous avons égalementapprécié le rôle de la Direction de l'audit interne dans la sécurité de l'information à travers la méthodologie et le contenu du travail effectué. Nous avons pu noter que l'audit interne s'attèle tant bien que mal à jouer son rôle pour rassurer au mieux la Direction Générale quant à l'efficacité et l'efficience de la sécurité de l'information. Tout ceci en dépit du fait qu'une partie des risques est gérée par le Groupe à cause de la centralisation des systèmes. Cependant les missions à cet effet sont insuffisantes et les aptitudes sont à améliorer. Nous avons fait des recommandations qui, nous l'espérons, aideront la Direction de l'audit interne à redéfinir sa méthodologie d'audit de la sécurité et à être un véritable contributeur à la sécurité de l'information.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy