5.3.1.2 Inexistence d'une politique d'appétence pour le
risque de sécurité de l'information
Concernant les politiques et procédures, le groupe
SECURITY a défini en fonction du besoin de sécurité, une
panoplie de politiques utiles pour la bonne organisation et gestion de la
sécurité de l'information. Toutes les politiques contenues dans
la norme ISO 27001 sont techniquement représentées. A
ceux-là s'ajoutent des politiques propres à la banque toujours en
fonction de son environnement de travail. Nous constatons néanmoins
l'absence d'une politique d'acceptation du risque de gestion. Les risques
liés à la sécurité de l'information sont nombreux
selon l'ampleur de l'activité bancaire tant à l'intérieur
qu'à l'extérieur de la banque. Leur méconnaissance par les
employés et les partenaires externes peut créer des erreurs
parfois irréparables pour l'entreprise.
Les risques en matière de sécurité de
l'information représentent une menace considérable pour les
entreprises du fait des possibles pertes et préjudices financiers, perte
de services essentiels de réseaux, ou encore perte de confiance des
clients et autres atteintes à la réputation qu'ils
entraînent. La gestion des risques est l'un des éléments
clés de la prévention des fraudes en ligne, vols
d'identité, détériorations de sites Web, pertes de
données personnelles et autres incidents divers concernant la
sécurité de l'information. Faute de cadre solide de gestion des
risques, les organisations s'exposent à de nombreux types de
cyber-menaces. L'absence de politique de l'acceptation du risque entraine donc
des écarts dans les différentes actions à
menerétant entendu que les employés n'ont pas réellement
connaissance de ce que la banque attend d'eux en matière de gestion des
risques de sécurité.
L'analyse de la gestion de la sécurité de
l'information nous a permis de faire ressortir des insuffisances au niveau de
l'organisation et de la gestion du risque de sécurité.
Notre prochaine étape concerne les activités et
technologies de la sécurité de l'information car on ne peut
évaluer la gestion organisationnelle de la sécurité de
l'information sans évaluer les activités et technologies
relativesà la sécurité de l'information.
|