5.1.4 Sensibilisation à la sécurité et
éducation
Avant tout embauche ou stage, la banque vérifie la
véracité des références et la moralité des
employés et fait signer des contrats de travail comportant des clauses
de confidentialité. Ensuite les différents corps de métier
de la banque sont sensibilisés sur l'importance de la
sécurité de l'information par des formations obligatoires sur le
site d'E-learning du Groupe Ecobank. Même si ces formations ne sont pas
régulièrement organisées (soit 2 fois par an), à
travers ces dernières, le personnel prend connaissance des dispositifs
de sécurité de l'information et des procédures et
politiques à cet effet. Il peut par ricochet apprécier leur
importance et également savoir comment les mettre en oeuvre.
Il faudrait noter que le personnel de Ecobank CI met en oeuvre
des différentes instructions concernant la sécurité de
l'information malgré quelques petites erreurs que nous avons souvent eu
à constater. Ces erreurs sont dues quelques fois à de mauvaises
manipulations ou traitements des données et ont souvent eu des
répercussions sur les missions d'évaluation.
Le personnel de Ecobank CI participe également au
maintien de la sécurité de l'information en signalant par une
adresse de messagerie définie, tout cas qui pourrait laisser penser
à des tentatives de violation du système de
sécurité ou des tentatives non autorisées d'accès
à l'information. Il participe de plus à la sécurité
en se soumettant aux formations thématiques qui sont obligatoires et
pilotées par la Direction des Ressources Humaines. Les cas de violation
grave de la politique ou des procédures de sécurité de
l'information sont traités comme des fautes professionnelles.
5.1.5 Contrôle et conformité
Au sein de Ecobank CI, les directions en charge de la mise en
oeuvre des contrôles de premier et second niveau sont la Direction des
Operations et Technologie et la Direction du Contrôle interne. Ces
contrôles concernent la sécurité des réseaux, les
outils informatiques, la gestion des privilèges et la protection des
informations. En effet ces contrôles sont effectués de
façon permanente pour s'assurer du maintien de la
sécuritéinformationnelle.
Pour ce qui est de la sécurité des
réseaux et des outils informatiques, des mesures sont prises pour que
les accès soient dument authentifiés et que les medias amovibles
fassent l'objet d'un contrôle particulier. Tous les ordinateurs
connectés au système de la banque sont contrôlables par les
responsables TI habilités d'où il y a un suivi permanent de
chaque action. Cependant il n'existe aucune
procédureédictée pour surveiller l'utilisation du
système de la banque et les systèmes d'information ne
relèvent d'aucune exigence statutaire, règlementaire ou
contractuelle formelle.
Pour ce qui concerne la gestion des accès et la
protection des informations, les zones où sont stockés les moyens
de traitement de l'information sont protégés par des moyens
d'entrée et de sortie selon le périmètre de
sécurité pour s'assurer que seules les personnes
autorisées y ont accès.Les badges d'accès et les
identifiants et mots de passe pour les applications informatiques sont
règlementés par la Direction du contrôle interne. Elle
attribue les accès après approbation et validation de la
Direction Générale. Les accès sont donnés en
fonction de l'importance de la tâche à accomplir et de la
fonction. Notons que lorsque le contrat de travail d'un employé
permanent ou temporaire prend fin, l'accès aux informations lui est
immédiatement retiré après saisine du Département
des Ressources Humaines.
Il existe aussi à Ecobank CI, des tests de restauration
des données et des tests de cryptographie pour protéger et
contrôlerles informations. Ces informations pour être
convenablement classées et conservées, sont dupliquées sur
un site secondaire distant qui peut prendre le relais dès que le site
primaire est non opérationnel.
Pour s'assurer de leur conformité avec la politique et
les normes de sécurité, chaque entité de l'entreprise est
sujette à des revues régulières par l'audit interne. Les
directions elles-mêmes engagent des actions pour garantir que toutes les
procédures de sécurité, dans le périmètre de
leur responsabilité, sont correctement suivies. Mais le plus souvent, ce
sont les inspections du contrôle interne et de l'audit interne qui
décèlent des défaillances et s'attèlent à ce
qu'il y ait un suivi pour correction. Il faut souligner que les recommandations
ne sont pas toujours correctement suivies par les opérationnels mais les
différents organes de contrôle donnent par des moyens
adéquats, l'assurance de la réduction considérable du
risque.
| 
