5.3.2.6 Gestion des badges d'accès et privilèges
par la Direction du Contrôle Interne
Un point qui s'avère être une force pour Ecobank
CI, c'est que chaque individu en fonction de son poste, a un privilège
qui l'autorise à entrer dans les applications du système
nécessaire seulement pour son travail.Ceci est une exigence du CobiT. Il
insiste sur le fait que les droits et privilèges de chaque utilisateur
par rapport aux données et aux systèmes doivent être en
phase avec les besoins d'affaires de l'entreprise et que le rôle
joué par l'utilisateur doit être parfaitement lié aux
besoins du poste qu'il occupe.
En revanche CobiT explique que les droits d'utilisateurs
doivent être requis par le service de la gestion des utilisateurs,
approuvés par les propriétaires du système et
exécutés par le personnel responsable de la
sécurité de l'information. Mais le constat que nous faisons,
c'est qu'au sein de Ecobank CI, à défaut d'être
approuvés par la Direction Générale (et donc les
propriétaires du système), chaque droit d'utilisateur est
demandé par la Direction à laquelle il appartient et c'est la
Direction du contrôle interne qui se charge de l'attribution des droits.
Dans ce cas de figure, l'on peut dire que la Direction du contrôle
interne de Ecobank CI joue aussi le rôle d'un service responsable de la
sécurité de l'information. Si cette tâche n'est pas
contrôlée et règlementée, elle pourrait porter
atteinte au principe de séparation des tâches incompatibles
étant donné qu'il existe déjà un responsable de la
sécurité de l'information. Ce fait peut aussi porter atteinte
à l'objectivité de la Direction du Contrôle Interne qui est
supposée garantir la fiabilité et l'efficacité du
dispositif de contrôle interne.
5.3.2.7Approche réactive du comité de gestion
des incidents
Un autre point fort est la présence d'un comité
de gestion des incidents. Ce comité a pour charge de
réfléchir sur les problèmes ou incidents qui surviennent
dans le courant des activités de la banque et d'apporter des solutions
pertinentes pour les résoudre.
Nous notons cependant que ce comité ne se réunit
qu'en cas d'incidents majeurs de sécurité et après leur
gestion, il est mis en pause jusqu'à la survenance d'autres incidents.
On dira que la gestion des incidents est abordée sur une base
réactive. Il ressort donc de ce fait un manque de planification
anticipéedes différents problèmes (sachant que d'un
problème peut découler plusieurs incidents). Ceci peut entrainer
une compréhension erronée des problèmes à traiter
et l'apport de réponses inadéquates ou tardives aux incidents
survenus.
Normalement chaque incident résolu dans le
passée devrait permettre avec l'expérience de résoudre le
même incident en cas de survenance. Toutefois nous sommes dans une
ère nouvelle de mondialisation et de nouvelles technologies. Les risques
sont multipliés et les incidents et problèmes sont de plus en
plus nombreux.Il est vrai que le management de la technologie est
trimestriellement suivi. Néanmoins, gérer les incidents sur base
réactive n'est pas toujours efficace surtout que les incidents peuvent
être d'ordre divers. Les conséquences qui en découlent
peuvent avoir un impact préjudiciable pour la banque et pour ses
activités qui dépendent aujourd'hui encore plus des nouvelles
technologies de l'information.
A toutes ces insuffisances, l'audit interne doit pouvoir
apporter des recommandations pour y palier et ainsi créer de la valeur
ajoutée. La prochaine étape nous permettra donc d'analyser
l'impact que l'audit interne de Ecobank CI a eu sur son SMSI. Notre analyse
s'axera autour de la méthodologie utilisée pour
l'évaluation de la sécurité de l'information et de la
compétence dont font preuve les auditeurs internes.
|