6.2.1Recommandations pour l'amélioration du SMSI de
Ecobank CI
Concernant l'amélioration du SMSI, nos recommandations
se feront sur toutes les anomalies prises ensemble, que nous avons pu faire
ressortir au cours de notre analyse à savoir : celles sur la
gestion de la sécurité de l'information et celles relatives aux
activités et technologies de la sécurité de
l'information.
6.2.1.1 Création d'un comité de pilotage de la
sécurité de l'information
La première recommandation que nous ferons, c'est la
mise en place d'un cadre de gouvernance de la sécurité de
l'information au sein de la filiale. Cela signifie établir un
comité de pilotage de la sécurité de l'information dans
lequel chaque métierclé de la banque sera
représenté par son directeur ou un représentant ayant une
haute fonction hiérarchique au sein du corps métier. Ce
comité aura pour mission première de représenter la maison
mère quant aux objectifs de sécurité qu'elle s'est
fixée. Ledit comité devra examiner la stratégie de
sécurité et sa mise en place ou son adaptation au sein de la
filiale et par rapport à son environnement de travail. Il devra aussi
veiller à ce que chaque membre de l'entreprise soutienne
l'intégration de ce cadre de sécurité de l'information. Le
comité de pilotage aide à réaliser un consensus sur les
priorités et les compromis. Il sert également de canal de
communication efficace et fournit une base continue pour garantir l'alignement
du programme de sécurité sur les objectifs
opérationnels.
La mise en place d'un cadre de gouvernance de la
sécurité de l'information permet la gestion de la
conformité par rapport aux objectifs globaux de sécurité,
la gestion des ressources de sécurité et de technologies de
l'information et la mesure de la performance. Ce qui offre à la banque
une rétroaction sur la valeur et une excellente gestion des risques de
sécurité.
La figure ci-après nous présente les grandes
lignes du pilotage d'un SMSI :
Figure 5 : Pilotage d'un système de
management de la sécurité de l'information
Source : Julien Levrard (2012)
Au plan stratégique et décisionnel comme au
niveau fonctionnel et opérationnel, la sécurité de
l'information doit fédérer toutes les responsabilités et
toutes les compétences de l'entreprise. Le comité de pilotage
de la sécurité de l'information aura pour mission de coordonner
les différentes actions menées dans le strict respect des normes
et règlements établis par la maison mère. A
l'intérieur de ce comité selon la norme ISO 27002, chacun des
corps métiers clés devra être représenté. Il
en est ainsi pour que chaque problème de sécurité soit
sujet de réflexion et d'apport de solutions pertinentes pour sa
résolution. Ceci définit les responsabilités et oblige
chaque responsable de département ou direction à s'atteler et
à veiller au respect scrupuleux de chacune des mesures de
sécurité prises dans la limite de ses fonctions.
Une bonne gouvernance de la sécurité permet
d'obtenir les résultats suivants :
ü un alignement de la sécurité de
l'information sur la stratégie commerciale pour appuyer les objectifs de
la banque
ü une gestion des risques et une exécution de
mesures appropriées pour diminuer les risques et réduire à
un niveau acceptable les impacts possibles sur les ressources d'informations
ü l'apport de valeur en optimisant les investissements
dans la sécurité pour appuyer les objectifs
opérationnels
ü la mesure de la performance pour garantir le respect
des objectifs
ü la gestion des ressources utilisées avec
efficacité et efficience
ü l'intégration des processus pour garantir leur
bon fonctionnement
La mise en place d'un tel comité donne à la
banque de s'assurer de la participation et de l'implication de tous les
intervenants touchés par les considérations de
sécurité. Chaque directeur sera donc responsable et garant du
processus de sécurité dans sa direction.
| 
