1.2.3.3 Communication et responsabilité des
différents acteurs
L'un des piliers de la mise en place de la gouvernance
réside dans la sensibilisation et la formation des ressources humaines.
Il est donc vital pour l'entreprise, d'encadrer les habitudes et
méthodes de travail, de mettre un point d'honneur sur l'importance de la
communication, ainsi que de détecter et corriger les comportements
inappropriés.
En plus de la direction générale qui
définit les grandes lignes de la sécurité
informationnelle, chaque acteur de l'entreprise a la responsabilité de
l'application des clauses de sécurité prescrites pour une bonne
marche de la structure.Les employés doivent être
sensibilisés aux risques et aux comportements suivants :
ü utilisation des outils de l'entreprise à des
fins personnels (internet, téléphone, courriel...)
ü protection contre les virus ou autres logiciels
malveillants
ü gestion de l'identité informatique et
contrôle d'accès aux actifs informationnels
ü protection des droits d'auteur, des renseignements
personnels et de la vie privée
Selon les bonnes pratiques contenues dans la norme ISO/IEC
27002, l'entreprise doit être dotée d'un Système de Gestion
de la Sécurité de l'Information (SGSI) mais également de
personnes ressources, responsables et garant de cette sécurité.
Voici les rôles et responsabilités des groupes concernées
par la gestion de la sécurité de l'information selon le manuel du
CISA (ISACA, 2011 : 366) :
ü un comité directeur de la
sécurité des SI : qui se constitue des
représentants des divers niveaux de direction de l'entreprise. Ils sont
chargés de discuter des problèmes, d'établir et
d'approuver des pratiques de sécurité qui auront un bon impact
sur l'organisme. Le comité doit être établit formellement
par un mandat approprié ;
ü les cadres supérieurs :
qui seront responsables de la protection générale des actifs
informationnels et de la mise en place et de la maintenance du cadre
stratégique ;
ü le groupe consultatif pour la
sécurité : chargée de définir le
processus de gestion des risques de sécurité de l'information et
le niveau de risque acceptable, ainsi que de passer en revue les plans de
sécurité de l'organisation. Il doit faire savoir à
l'entreprise si ses programmes de sécurité répondent aux
objectifs opérationnels ;
ü le chef de la protection des renseignements
personnels : c'est un dirigeant de niveau supérieur
chargée de rédiger et de faire appliquer les politiques
établies pour protéger la vie privée des clients et des
employés ;
ü l'officier principal de la
sécurité de l'information : dirigeant de niveau
supérieur charge de rédiger et de faire appliquer les politiques
conçus pour protéger les actifs informationnels ;
ü les détenteurs du
processus : assurent que les mesures adéquates de
sécurité concordent avec la politique organisationnelle et
qu'elles sont maintenues ;
ü les détenteurs d'actifs informationnels
et détenteurs de données : ils sont responsables
des actifs possédés. Ce qui entraine l'exécution d'une
évaluation des risques, la sélection des contrôles
adéquats pour faire diminuer les risques à un niveau acceptable,
et l'acceptation du risque résiduel ;
ü les utilisateurs et les parties
externes: suivent les procédures établies dans la
politique de sécurité et adhèrent aux
règlementations sur la confidentialité et la
sécurité ;
ü l'administrateur de la
sécurité : chargé de fournir la
sécurité physique et logique adéquate pour les programmes
des SI, les données et l'équipement. Il travaille sur les
recommandations de base données par la politique de
sécurité de l'information ;
ü les spécialistes / conseillers en
matière de sécurité : aident à
concevoir, à implanter, à gérer et à réviser
la politique, les normes et les procédures de sécurité de
l'entreprise ;
ü les développeurs des TI :
implantent la sécurité de l'information au sein des
applications ;
ü auditeurs : fournissent à
la direction, une assurance objective et indépendante de la pertinence
et de l'efficacité des objectifs de la sécurité de
l'information et des contrôles connexes à ces objectifs.
L'idée dans la description des rôles et
responsabilités selon ISACA est que le SMSI soit confié au
personnel de l'entreprise lui-même. L'homme étant le maillon le
plus faible de l'entreprise, cela lui permettra de comprendre l'enjeu de la
sécurité de l'information et de mieux l'appliquer. En
matière de système de sécurité de l'information, le
plus important c'est la communication. Plus le personnel est informé et
sensibilisé, mieux l'entreprise évite les risques qui peuvent lui
coûter la fin de son existence. La communication doit être
verticale (Management - Opérationnels / Opérationnels -
Management) et horizontale (entre les opérationnels).
A travers ce premier chapitre, nous avons posé les
bases de l'audit interne et celles de la sécurité de
l'information. Ce chapitre s'applique à tout type d'entreprise. Cela
nous permet donc par la suite de comprendre et d'apprécier le rôle
que doit jouer l'audit interne dans la sécurisation de l'information au
sein d'une banque. Dans le prochain chapitre, nous verrons quels sont les
normes et référentiels applicables à la banque et à
l'audit interne et quel est l'apport de l'audit interne à la
sécurité de l'information bancaire.
|