3.3
La collecte de données
Les données seront recueillies à travers
différentes techniques. Celles assorties à notre recherche sont
la revue documentaire, l'interview, l'observation et les tests de
conformité. Ces données seront analysées à travers
les normes et référentiels applicables à la
sécurité de l'information.
3.3.1 Les outils de collecte des données
Les outils sont :
ü la revue ou analyse documentaire:
elle sera utilisée dans l'étape de l'évaluation de la
gestion de la sécurité de l'information et des opérations
et technologies de sécurité informationnelle. Il s'agit
d'étudier de façon attentive et intellectuelle tout type de
document relatif à la sécurité de l'information,
édité bien évidemment par la banque. Cela nous permettra
d'avoir une meilleure compréhension des processus de la banque. Ces
documents sont entre autre la politique de sécurité, les
procédures de sécurité de l'information, les
mémorandums, les états de gestion des réseaux, les
révélés d'évènements inhabituels (s'il en
existe), les « jobs descriptions » pour les employés
chargés de la gestion de la sécurité de l'information, les
anciens rapports d'audit et tout autre type de document susceptible de nous
aider dans notre étude.
ü l'interview : il s'agit ici de
rencontrer des personnes ressources dans les domaines du management des
systèmes d'information, de la sécurité du système
d'information et de l'audit interne. Ces entretiens nous permettront d'avoir
des informations pertinentes sur le processus de gouvernance du SI et la
sécurité du SI d'une part et d'autre part sur l'audit interne
face à la sécurité de l'information. L'interview se fera
sous forme de questionnaire de prise de connaissance et également
à certaines étapes sous le style narratif.
ü l'observation : il s'agit
d'observer les évènements à travers les tests d'intrusion
dans le système, aussi apprécier l'environnement physique
où sont stockés les matériels informatiques (serveurs,
câblages, lieux physiques, ordinateurs...). On pourra aussi observer et
apprécier l'attitude des agents face au maintien et au respect des
règles et procédures de sécurité de l'information
(étant entendu qu'eux aussi traitent et véhiculent
l'information).
ü les tests de conformité :
à travers ces tests, nous pourrons apprécier la conformité
des actions menées par rapport aux procédures et politiques de
l'entreprise en matière de sécurité de l'information.
|