2.3.3 Les outils et tests de contrôle
Pour qu'une mission d'audit de la sécurité de
l'information soit effective, l'auditeur interne doit premièrement avoir
des compétences dans le domaine à auditer. Selon la norme 1210,
les auditeurs internes doivent posséder les connaissances, le
savoir-faire et les compétences nécessaires pour mener
correctement les missions d'audit. La compétence de l'auditeur interne
doit se remarquer autant dans l'utilisation des normes et techniques que dans
les domaines de l'organisation dans lesquels il intervient.
En matière de sécurité de l'information,
comme le stipule la MPA 1210.A3, il n'est pas demandé à
l'auditeur interne d'être un informaticien ou un auditeur informaticien
mais plutôt d'avoir des compétences et connaissances dans les
technologies de l'information et dans la gestion de la sécurité.
Ceci pour pouvoir effectuer des évaluations professionnelles et apporter
des recommandations créatrices de valeur ajoutée. Selon l'IIA
(2012 : 7), l'entreprise attend de l'auditeur interne des
compétences telles que :
ü la réflexion analytique / oeil
critique ;
ü la communication ;
ü le management des risques ;
ü l'extraction et l'analyse des données ;
ü les contrôles généraux des
SI ;
ü le sens des affaires.
L'auditeur interne compétent pour une mission de
sécurité de l'information, doit garder à l'esprit 5
principaux domaines de risques à savoir : les risques de
non-conformité, les risques opérationnels, les risques
financiers, les risques informatiques et les risques stratégiques (IIA
2012 : 4). Selon l'IFACI (1993 :19), le principal risque associé
à la gestion de la sécurité de l'information est que
l'intégrité, la confidentialité et la disponibilité
des données ou ressources du système d'information puissent
être compromises.
Comme outilset tests de contrôle en matière de
système d'information,selon le manuel de préparation du CISA
(ISACA, 201 :57), l'auditeur interne peut utiliser les techniques
d'entretien (questionnaire de contrôle interne, enquête,
interview), l'examen de la documentation (les procédures, politique de
sécurité, documents relatifs aux ressources humaines etc.),
l'observation, l'utilisation de logiciels d'audits spécialisés,
les tests de corroboration, les tests de conformité, les tests de
cheminement. Il peut également procéder à des tests
d'intrusion afin d'éprouver la vulnérabilité du
système informatique de gestion.
L'auditeur interne effectuera ces tests de contrôles
afin de s'assurer de l'efficience du dispositif de contrôle mis en place
pour assurer et maintenir la sécurité de l'information. A travers
son esprit d'analyse et ses outils, il contribue d'une manière ou d'une
autre à la gestion de la sécurité de l'information et
ainsi crée de la valeur ajoutée. La prochaine étape nous
permettra de voir en quoi le plan de travail de l'audit et son
évaluation crée de la valeur pour l'entreprise dans laquelle il
exerce son métier.
| 
