5.3.2 Evaluation des activités et de la gestion des
technologies relatives à la sécurité de l'information
Pareillement à l'évaluation de la gestion
organisationnelle de la sécurité de l'information, nous
énoncerons point par point les différentes défaillances
décelées dans la description du SMSI existant.
5.3.2.1 Inefficience de la gestion de la
sécurité de l'information
De l'évaluation des opérations ou
activités de sécurité de l'information, nous pouvons noter
l'existence d'un service responsable de la sécurité de
l'information avec à sa tête un responsable Security, encore
appelé Responsable de la sécurité de l'information.Il
travaille de concert avec la Division IT, le Contrôle et l'Audit Interne.
.
Selon l'organigramme de la structure bancaire, le responsable
Security est en staff sous la direction informatique ; ce qui n'est pas de
nature à faciliter ses tâches. Il se pose donc le problème
d'indépendance de la fonction par rapport au système à
évaluer, de temps de réponse aux préoccupations
particulières de la filiale et de gestion efficace de la
sécurité de l'information. Le responsable Security ne sera pas en
mesure de couvrir correctement toutes les zones de sécurité sans
l'aide permanente d'un comité de pilotage de la sécurité
du système d'information. De plus, chacune des filiales évolue
dans un pays différent et donc dans un environnement de travail
différent. Par ricochet, les besoins de sécurité et les
risques sont également différents.
Le système d'information automatisé se compose
d'humains, de matériel informatique et de données diverses. Il
est important d'avoir une bonne organisation, impliquer le personnel,
appréhender son SI de manière globale. Mais il est aussi
nécessaire d'avoir un système informatique
sécurisé, car il y a toujours des portes d'entrée qui
doivent être protégées.
5.3.2.2. Traçabilité des agents et ouverture du
réseau de l'entreprise vers l'extérieur
Nous constatons que chaque utilisateur ayant une
activité dans le système s'identifie par un mécanisme
clair d'identification (soit un login et un mot de passe). Un journal est
automatiquement généré et fait apparaitre le nom de
l'agent qui a passé une opération donnée avec son code
d'identification électronique, la date et l'heure de l'enregistrement.
Cependant tous ne sont pas parfaitement traçables exceptéceux qui
manipulent les informations comptables et données financières
(physiques ou numériques).Ce fait pourrait donner l'occasion à un
stagiaire ou un employé d'une autre direction de mener des infractions
contre la sécurité sans se faire repérer. Même si
elles demeurent mineures, on assistera à une atteinte au principe de
traçabilité et de non-répudiation.
Aussi le service informatique permet aux ordinateurs portables
(délivrés bien entendu par la banque elle-même)
d'accéder non seulement aux systèmes d'information mais aussi au
réseau internet.Il faut cependant noter que l'accès WEB est
restreint par défaut et que les systèmes sensibles sont couverts.
Les ordinateurs personnels de même que les informations sensibles
contenues dans ses machines ne sont pas totalement exemptent de risques. Ainsi
ce fait peut donnerlieu à tout type d'infraction. La
sécurité du réseau et donc des systèmes
d'information est menacée.
|