3.3.2 Les outils d'analyse des données
Pour évaluer la conformité du SMSI de Ecobank CI
d'avec les critères ou exigences de la norme ISO 27002, comme nous
l'avons dit plus haut, nous établirons un système de cotation du
SMSI. C'est un système de cotation établit par le CobiT (cotation
CMMI). Ce système allant de 0 à 5 nous permettra d'évaluer
le niveau de maturité du SMSI de Ecobank CI.Il mettre en exergue la
maturité souhaite par l'entreprise qui est normalement notée
à 5 et le niveau actuel du SMSI. Les significations sont les
suivantes :
- 0 : le critère n'est absolument pas rempli
- 1 : le critère est insuffisamment rempli et
présente plusieurs carences majeures
- 2 : le critère est insuffisamment rempli et
présente une seule carence importante
- 3 : le critère est insuffisamment rempli mais ne
présente que des carences mineures
- 4 : le critère est rempli (situation
acceptable)
- 5 : le critère est parfaitement rempli
(situation optimale)
Les notations 0,1 et 2 démontreront une
non-conformité avec les critères ou exigences de la norme ISO
27002 ; les notations 3 et 4 attesteront d'une conformité plus ou
moins complète. Seule la notation 5 pourra confirmer une
conformitéparfaite au exigences de la norme ISO 27002
Pour l'analyse des données, nous établirons un
tableau des risques qui ressortent des carences constatées afin de mieux
appréhender les points de contrôle de la banque, auxquels pourra
s'intéresser l'auditeur interne en matière de
sécurité de l'information. Dans ce même tableau seront
présente les faiblesses recueillies du SMSI. Ensuite des
recommandations, découlera la contribution que peut apporter l'audit
interne au maintien et à l'amélioration continue de la
sécurité de l'information.
Conclusion de la première partie
Au terme de l'étude théorique, nous pouvons dire
que l'information est un capital essentiel de l'entreprise qu'il faudrait
sécuriser. Elle est importante en ce sens qu'elle permet la prise de
décisions stratégiques et la bonne orientation des taches et
actions pour l'atteinte effective des objectifs fixés. Néanmoins
le manque d'intégrité, de confidentialité et de
disponibilité de cet actif peut provoquer des pertes financières
énormes pour l'entreprise qui la détient. Cependant il existe
l'audit interne qui est un outil d'aide au management, d'évaluation de
processus de gestion et qui contribue à la création de valeur
ajoutée. Son rôle au sein de l'entreprise est
bénéfique pour le maintien et l'amélioration continue de
la sécurité de l'information. Il doit permettre à la
banque de réduire l'impact des risques qui pèsent sur son SI,
d'atteindre avec efficacité ses objectifs et de rehausser son image et
sa crédibilité devant la concurrence sans cesse croissante. Aussi
les normes ISO 27000 et les divers référentiels (CobiT et la
commission bancaire) nous donnentde bonnes pratiques pour
l'implémentation d'un cadre de gestion adéquat de cette
sécurité dans le but unique de parvenir à la
pérennisation de l'entreprise dans le monde des affaires actuel.
Ayant obtenu toute la théorie nécessaire sur
l'audit interne et la sécurité de l'information en milieu
bancaire, nous allons avec l'exemple de ECOBANK CI, confronter la
théorie à la pratique.
|