TABLEAU
1 : Tableau récapitulatif des insuffisances relevées et
leurs risques respectifs
ETAPES D'AUDIT
|
CONSTATS
|
RISQUES
|
MENTION / CRITICITE
|
Gestion de la sécurité de
l'information
|
- absence d'un comité de pilotage
|
- inexistence d'une organisation claire de
sécurité de l'information
|
MOYEN
|
- politiques et procédures très
récentes
|
- adaptation lente
- difficultés à gérer le changement et
à impacter la culture de l'entreprise
|
MOYEN
|
- méconnaissance de la politique de risques par les
opérationnels
|
- réalisation de tâches incompatibles
- fraudes
- mauvaise manipulation de données à
répétition
- incompréhension dans l'accomplissement des
tâches
- tolérance d'incidents qui peuvent s'avérerde
haute importance pour la banque
- disparité des pratiques en matière de
risques
|
ELEVE
|
Evaluation des opérations de
sécurité
|
- inefficience dans la gestion de la sécurité de
l'information
|
- insuffisance dans la transmission des objectifs de la maison
mère en matière de sécurité de l'information
- évaluation erronée ou insuffisante des risques
de sécurité
- mauvaise attribution des responsabilités
- méconnaissance des risques inhérents à
la sécurité de l'information
|
ELEVE
|
- approche réactive du comité de gestion des
incidents
|
- insuffisance dans la planification des réponses aux
incidents
- réponses médiates aux incidents
- pertes financières
|
MOYEN
|
- Périodicité des formations trop longue
|
- méconnaissance des risques actuels liés
à la sécurité de l'information
- méconnaissance des nouvelles technologies de
l'information
- pertes financières
|
MOYEN
|
- inexistence d'une méthodologie formelle de
classification des informations
|
- retard dans les prises de décision
- prises de décision erronée
- pertes d'informations
- transfert d'informations confidentielles ou sensibles aux
personnes non autorisées
- mauvaise utilisation des informations
|
MOYEN
|
Evaluation des technologies de
sécurité
|
- traçabilité des agents et ouverture du
réseau de l'entreprise à l'extérieur
|
- vulnérabilité du réseau
- infiltrations des hackers (piratage)
- pertesd'informations
- pertes financières
|
FAIBLE
|
- gestion de la sauvegarde des données sur les stations
de travail et appareils mobiles
|
- pertes d'informations
- fraudes
- utilisation des informations à mauvais escient
- atteinte à la réputation de la banque
|
ELEVE
|
Source : nous-même
Le tableau récapitulatif nous donne d'apprécier
les risques qui ressortent du SMSI de Ecobank CI. A travers cette
présentation de risques, nous pouvons déduire si le SMSI est
vulnérable ou non et si les objectifs de sécurité de la
banque sont atteints. Selon notre système de cotation CMMI, les
objectifs sont atteints si chacun des 6 éléments clés de
la sécurité de l'information élargie aux processus sont au
niveau 4. Ce tableau nous permet donc d'évaluer le niveau de
maturité du SMSI de Ecobank CI à travers ce graphique
ci-après :
Figure 4 : Graphique du niveau de
maturité du SMSI de Ecobank CI
LEGENDE
PO4: Organisation et Processus de la
sécurité de l'information
PO9 : Evaluation et gestion des risques
de sécurité
AI7 : Classification des informations
DS4 : Gestion de la continuité
d'exploitation
DS5 : Gestion des technologies de
sécurité
DS8 : Gestion des incidents et
problèmes
DS10 : Gestion du personnel
ME2 : Surveillance et évaluation
du contrôle interne
ME3 : Conformité avec les
exigences extérieures
Source : Graphique établit par
nous-même à partir de la méthode d'évaluation et de
calcul CMMI du CobiT
Le calcul et l'évaluation du niveau de maturité
du SMSI permet d'apprécier ou se situe la sécurité de
l'information par rapport aux exigences de la norme ISO 27000. Nous pouvons
constater à travers ce graphique ci-dessus que le niveau de
maturité du SMSI de Ecobank CI (ligne verte)a globalement atteint le
critère 3 ; il est bien établit mais présente encore
quelques carences. Ce qui signifie que les exigences de la norme ISO 27000 sont
plus ou moins respectés avec des insuffisances diverses. Sur neuf (9)
éléments de choix pour l'évaluation du SMSI, cinq (5) se
retrouvent dans l'intervalle [0 ; 2,99]. Ces éléments
critiques sont l'organisation générale de la
sécurité de l'information, la classification des informations, le
processus de gestion des incidents et problèmes, la gestion du personnel
et l'évaluation de la conformité globale aux exigences de la
norme et autres exigences du système bancaire.
L'idéal serait d'atteindre le critère 5 mais
étantdonné qu'aucun système ne peut
êtreassuréabsolument, nous avons défini des niveaux
à court et long terme selon le CobiT. Le niveau à court terme
(critère 4) est le minimal que le SMSI devra accéder pour
réduire au mieux ses insuffisances et être par conséquent
moins vulnérable. Nous proposerons donc des suggestions pour que le SMSI
atteigne le niveau minimum requis. Ces recommandations doivent bien entendu
être sujettes àamélioration en fonction de
l'évolution et de l'expansion de Ecobank CI.
6.2
Recommandations pour l'amélioration de la sécurité de
l'information et l'audit interne au sein de Ecobank Cote d'Ivoire
A travers ce chapitre nous ferons des recommandations pour
l'amélioration du SMSI et ensuite des recommandations pour rendre plus
opérationnel et accroitre la valeur ajoutée de la Direction
d'audit interne en matière de sécurité de l'information.
Dans l'étape suivante, nous suggérerons des lignes directrices
d'audit qui pourraient être des missions d'audit de la
sécurité de l'information.
|