CHAPITRE 6 : RECOMMANDATIONS AU SERVICE D'AUDIT INTERNE A
LA CONTRIBUTION DE LA SECURITE DE L'INFORMATION
Le but du processus d'audit interne est d'apporter des
suggestions d'amélioration, créant ainsi de la valeur
ajoutée pour l'entreprise qui en bénéficie. Notre
étude portant sur la contribution de l'audit interne à la
sécurité de l'information, a révélé que le
rôle de l'audit interne dans la sécurité de l'information
n'était pas totalement compris et mis en exergue. Notons que l'avenir de
l'entreprise dans un environnement automatisé dépend de la force
de son système de gestion de la sécurité de l'information.
Nous allons premièrement rappeler le diagnostic critique effectué
et ensuite nous apporterons des recommandations qui pourront être des
lignes directrices pour les prochaines missions d'audit de la
sécurité de l'information.
6.1
Constats du diagnostic de gestion de la sécurité de
l'information
L'évaluation de la gestion de la sécurité
de l'information et du rôle de l'audit interne pour son maintien et son
amélioration arévélédifférentes
insuffisantes.
Premièrement,Ecobank CI, bien qu'ayant en son sein un
responsable de la sécurité de l'information, ne possède
pas de comité de pilotage de la sécurité de l'information.
De par cette absence, il s'est posé le problème de gouvernance et
donc d'organisation de la sécurité de l'information au sein de la
filiale. Les procéduresétanttrèsrécentes, il n'est
donc pas évident que les objectifs de sécurité
définies par la maison mère soient réellement compris et
atteints par les opérationnels de Ecobank CI.
Nous avons aussi pu observer qu'au sein de Ecobank CI, la
Direction du contrôle interne joue le rôle de responsable de la
sécurité de l'information en attribuant sous autorisation de la
Direction Générale les badges d'accès et les
privilèges aux agents. Le risque qui ressortait si cette tâche
n'était pas objectivement effectuée était la
dérogation au principe de séparation des tâches. Nous avons
pu déceler les problèmes dus à la sauvegarde sur les
stations de travail et divers appareils mobiles. En cas de perte d'un appareil
ou de sinistre, les informations contenues dans ces machines seront
définitivement perdues ou utilisées à d'autres fins. Nous
avons également fait ressortir l'approche réactive du comite de
gestion des incidents (encore appelé comité d'urgence) qui fait
abstraction de la prévention et qui peut entrainer un retard dans les
réponses face aux incidents. Deux autres défaillances ont pu
ressortir de notre analyse à savoir la fréquence de formations
des agents et l'absence de méthodologie pour la classification des
informations.
Ensuite nous avons apprécié l'implication de
l'audit interne à la sécurité de l'information. Il en est
ressorti que le nombre des missions pour l'évaluation de la
sécurité de l'information reste insuffisantmalgré le fait
qu'une partie des risques est gérée par le site du Ghana.
A travers le tableau récapitulatif ci-après,
nous allons, avec les différentes étapes d'audit de la
sécurité qui nous ont permis d'effectuer notre diagnostic,
apprécier les risques dus aux insuffisances relevées. Chaque
constat sera noté d'une mention (élevée, moyen, faible)
afin de montrer son criticité au sein de la banque. Le tableau
récapitulatif se présente comme suit :
| 
