2.3
La contribution de l'audit interne et création de valeur
ajoutée
En matière de sécurité de l'information,
le cadre de gestion doit faire partie intégrante du contrôle
interne car la protection des ressources et des données utilisées
ou produites par le système d'information nécessite une forte
structure de contrôle. Le comité de Bâle (1998 : 20)
explique que surveiller l'efficacité des contrôles internes est
une tâche qui peut être accomplie par du personnel de plusieurs
secteurs différents, dont celui en charge des opérations
elles-mêmes, le contrôle financier et l'audit interne. Selon lui,
le système de contrôle de la banque se constitue en contrôle
interne en amont et d'audit interne en aval. Par ricochet, l'audit interne doit
s'assurer qu'un dispositif de contrôle interne existe à tous les
niveaux de la chaîne de traitement de l'information, qu'il est conforme
aux orientations du business et adapté à l'environnement de
travail.Autrement dit, il doit veiller à ce que ce dispositif de
contrôle interne réponde convenablement aux besoins de
sécurité de l'entreprise en l'évaluant et en apportant des
recommandations pour son amélioration continue.
Dans le secteur bancaire, étant fortement
concurrenciel, la réussite dépend de la sécurité,
de l'exactitude, de la fiabilité et de la disponibilité des
données ou de l'information que les technologies mettent à la
disposition de la direction et des employés au besoin. L'audit interne
est donc cette entité capable d'assurer que les systèmes
d'information sont bien gouvernés et la sécurité de
l'information bien gérée afin que les décisions prises par
le management créent de la valeur ajoutée. Par ailleurs, une
solide gouvernance d'entreprise constitue le fondement d'une gestion efficace
des risques et de la confiance du public dans les banques et dans le
système bancaire (le comité de Bale, 2012 : 2). L'audit
interne est chargé de vérifier la régularité des
activités de la banque. À cette fin, il fournit, à tous
les niveaux de responsabilité de la banque, des assurances, des
analyses, des plans d'actions approuvés ou des recommandations, des
conseils et des informations concernant les activités qu'il a
vérifiées (Banque Européenne d'investissement, 2007 :
2).
L'audit interne contribue à la détection des
risques de sécurité qui pourraient échapper au dispositif
de contrôle interne en place. Il redore ainsi par ses recommandations,
l'image de l'entreprise devant le monde extérieur. L'auditeur interne
doit être celui qui a une vue et une compréhension approfondie des
risques inhérents à la sécurité de l'information.
C'est la raison pour laquelle il lui est recommandé une formation
continue et une connaissance approfondie des technologies de l'information
modernes.
L'audit est rendu obligatoire par la clause 6 de la norme ISO
27001 qui précise que des audits doivent être conduits à
intervalles planifiés pour s'assurer que les objectifs et mesures de
sécurité, les processus et procédures du SMSI sont :
ü conformes au standard (ISO 27001 et son Annexe A) et
aux législations et règlements en vigueur,
ü conformes au SOA,
ü effectivement implémentées et mises
à jour,
ü fonctionnent comme prévu.
Selon le site SSi-conseil, l'audit participe au processus
d'amélioration continu permettant de contrôler, de corriger ou
d'améliorer les mesures de sécurité mises en place
grâce à 3 types d'actions :
ü les audits internes (planifiés)
ü les contrôles internes (inopinés mais plus
ciblés)
ü les revues de management (généralement
planifiées sauf événement exceptionnel).
L'audit Interne a une approche factuelle basée sur des
tests, des interviews, des observations. Cela lui permet de donner un point de
vue indépendant sur ce qui est appliqué et la conformité
aux bonnes pratiques en matière de gestion de sécurité de
l'information.
Toute entreprise espère assurer
intégrité, confidentialité et disponibilité de ses
informations pour les parties prenantes. Ainsi, les vérifications et
recommandations de l'auditeur interne crée de la valeur ajoutée
pour cette entreprise à différents niveaux :
Ø au niveau de la gestion de la
sécurité de l'information :
L'entreprise aura une approche cohérente de la
définition des processus IT et connaitra l'importance d'un comité
de pilotage de la sécurité de l'information et son
rôle.Elle comprendra mieux son environnement de contrôle
informatique et l'importance des politiques de sécurité
informationnelle. Elle saura sur quels points mettre l'accent afin d'aligner sa
stratégie informatique avec sa stratégie globale.
L'entreprise pourra aisémentmettre à jour ses
procédures et politiques en matière de sécurité de
l'information et les suivre en fonction de son changement d'environnement ou de
stratégie. Elle aura connaissance des risques liés à la
sécurité de l'information susceptibles d'avoir un impact
négatif sur ses activités et pourra mieux les classer par
priorité. Par la compréhension des risques de
sécurité, l'entreprise sera àmême de prendre des
décisionsqui s'alignent aisémentà ses objectifs.
Chaque corps métier saura ce qu'il faut faire pour
maintenir et améliorer la sécurité de l'information dans
son domaine. L'entreprise saura de quelles compétences elle a besoin
pour son fonctionnement et pourra ainsi attribuer convenablement les
rôles et responsabilités. De même, cela favorisera une bonne
protection et une bonne utilisation des actifs liés aux TI.
Ø Au niveau des opérations et de la
technologie de sécurité de l'information
L'évaluation de ce facteur permettra à
l'entreprise de mieux identifier les risques liés aux technologies de
l'information.Elle sera à même de palier rapidement aux incidents
de sécurité qui surviendront par la mise en place d'un
comité de gestion des incidents. En adoptant un système de
management de qualité pour la sécurité de l'information,
l'entreprise rencontrera la satisfaction de ses partenaires de même que
la compréhension et la motivation de son personnel.
L'entreprise saura quels sont les moyens et méthodes
techniques modernes à adopter pour sauvegarder et protéger ses
informations, comment les utiliser et comment les faire respecter. Les
technologies seront utilisées de manière efficiente et efficace
pour permettre la réalisation des objectifs au moment opportun. Il y
aura une amélioration de la satisfaction de la clientèle puisque
la gestion de la qualité du SMSI et des services sera alignée
à leurs attentes. Les rôles seront également clairement
définis et les attributions et privilèges, nettement repartis.
Ce chapitre nous a permis de comprendre le cadre normatif et
référentiel dans lequel se trouve le système bancaire.
Nous avons également fait référence à l'apport de
l'audit interne dans la gestion de la sécurité de l'information.
De façon générale, son rôle est de veiller à
l'atteinte des objectifs assignés par la Direction
Générale dans ses procédures de sécurisation des
actifs informationnels de la structure.
Notre étude a pour exemple de travail, la banque
ECOBANK Cote d'Ivoire. Pour l'obtention des informations et leur analyse et
interprétation, nous avons suivi une démarche qui sera
présentée dans ce dernier chapitre de notre partie
théorique. A travers un modèle d'analyse précis, nous
vérifierons non seulement l'existence du SMSI de ECOBANK CI mais nous
évaluerons aussi ses forces et ses faiblesses. Enfin nous montrerons ce
que l'audit interne peut apporter pour pallier les éventuelles
défaillances à travers nos recommandations.
| 
