5.2
Description de la fonction de l'audit interne et du dispositif de
contrôle interne
Nous allons d'abord décrire la fonction d'audit et par
la suite, nous prendrons connaissance du dispositif de contrôle interne
mis en place par Ecobank CI pour la gestion de la sécurité
informationnelle.
5.2.1 La fonction d'audit interne
Pour ce qui est de la pratique de l'audit interne concernant
la sécurité de l'information, nous notons que les auditeurs
internes ont une connaissance générale mais non suffisante de la
norme ISO 27002 (selon les réponses au questionnaire de contrôle
destiné à la direction de l'audit interne).
Concernant les missions d'audit interne à cet effet, il
y aune seule mission d'audit interne sur la sécurité de
l'information qui a eu lieu en 2011. Apres cette date,il n'a été
organisé que des missions partielles d'évaluation de la
sécurité physique et logique. Ceci est dû au fait
qu'après 2011, une centralisation des systèmes sensibles a
été effectuée sur la plateforme e-Process à Accra
et donc une partie des risques n'est plus du ressort de la filiale. La
méthodologieadoptée pour la mission de 2011a été de
deux ordres :
ü l'audit organisationnel : pendant lequel il
fallait s'intéresser aux aspects de gestion et d'organisation de la
sécurité
ü l'audit technique et physique : il s'agissait ici
d'évaluer les mesures de sécurité physique des
systèmes et réseaux et celles relative à la
sécurité logique des données et ressources.
Les vérifications effectuées lors de la mission
d'audit de sécurité de l'information étaient :
ü l'organisation de la structure auditée
ü la mise en place et le bon fonctionnement des outils de
sécurité adéquats
ü la formation des agents à l'utilisation et
à l'entretien de ces outils
ü le fonctionnement de la stratégie
déployée sur les outils des agents
ü les sauvegardes de données et test de
restauration
ü le test et la mise à jour du plan de
continuité
L'audit interne est chargé de l'évaluation du
dispositif de contrôle interne mis en place à tous les niveaux du
traitement de l'information.Comme outils utilisés pour réaliser
la mission, nous avons la revue documentaire, l'interview, les inspections
physiques et la revue des logs. Les logs sont - on peut le dire - des fichiers
contenant des enregistrements d'évènements
généralement datés et classés par ordre
chronologique et générés par des déclencheurs
; ces derniers permettent d'analyser pas à pas l'activité interne
du processus et ses interactions avec son environnement.
De façon journalière, seuls les ordinateurs
portables et ordinateurs de bureau connectés au réseau de la
banque sont vérifiés par le service TI. Notons que la Direction
d'audit interne ne dispose pas d'outils ou de logiciels
spécialisés d'audit pour inspecter le contenu des fichiers de
données (y compris les fichiers de journalisation d'exploitation). Elle
ne dispose pas non plus d'outils ou de logiciels spécialisés pour
évaluer le contenu de la base de données du système
d'exploitation et des fichiers de paramètres d'application (pour
détecter les irrégularités dans les réglages des
paramètres du système).
Il faut aussi noter le soutien et l'accompagnement que la
Direction Générale apporte à la direction de l'audit
interne. Cela se démontre par les actions qu'elle engage pour assurer le
suivi des procédures de sécurité et les recommandations
d'audit. Il faut noter que les recommandations d'audit et les procédures
de sécurité ne sont pas toujours suivies par les agents, mais
ceci n'empêche pas l'audit interne de jouer pleinement son rôle au
sein de la banque.
| 
