6.2.1.6Sécurité du réseau
Comme nous l'avons signifié dans le diagnostic
critique, l'ouverture du réseau à l'extérieur en
particulier vers les réseaux sociaux et les messageries web non
sécurisées, peut s'avérer nuisible pour le SMSI et les
systèmes d'informations de la banque. L'ouverture et l'accès au
réseau bancaire doivent être balisés par des portails
électroniques forts. Normalement, pour une meilleure gestion de la
sécurité de l'information, il est conseillé
d'éviter la promenade informatique sur des réseaux autres que le
réseau informatique de l'entreprise ou du moins de veiller à ce
que les pare-feu et les logiciels contre les attaques malveillantes soient
à jour et parfaitement fonctionnels.
Un réseau vulnérable ouvre aux pirates
informatiques l'accès à tout type d'informations ou
données électroniquesde l'entreprise. Ces informations peuvent
aisément être modifiées, supprimées ou
transférées vers d'autres réseaux ou bases de
données. D'où, il est important d'avoir des anti-virus, des
anti-phishing, des anti-spyware, des programmes anti-spam et des pare-feu sur
chaque machine du réseau informatique. Il faudrait aussi s'assurer que
ce sont les mêmes logiciels authentiques (sous licence) qui sont
installées sur les ordinateurs car les logiciels piratés sont
vulnérables aux menaces de sécurité. Ces logiciels et
leurs correctifs devront être constamment mis à jour afin de
s'assurer que la banque dispose des dernières versions des logiciels.
Aujourd'hui les anti-virus et les pare-feu ne
représentent qu'un aspect minime de la sécurité
informatique. Par conséquent, chaque agent de l'entreprise doit
être responsable de la sécurité et doit veiller à
son maintien et son amélioration. Il y va de la survie de la banque et
de l'atteinte effective et efficace des objectifs. Pour s'assurer de la
responsabilité de chaque agent, il serait intéressant de tenir
des registres des activités de l'utilisateur. Il est important de le
faire lorsque le réseau est constamment connecté à
internet.
6.2.1.7Intervention du
comité de gestion des incidents de sécurité
La gestion des incidents est très importante dans le
maintien de la sécurité de l'information et l'atténuation
des impacts dus aux risques de sécurité survenus. Un incident
aussi petit soit-il peut être préjudiciable pour la banque. Il est
donc de mise de recadrer le rôle du comite de gestion des incidents selon
la norme ISO 27002 afin de prendre en compte tous les contours
nécessaires à une gestion efficace des incidents de
sécurité.
Ce que nous recommandons, c'est un comité de gestion
des incidents en interne disponible et en activité qu'il y ait ou non un
incident quelconque. Aucune des tâches de ce comité ne doit pas se
faire sur une base réactive. Il serait intéressant qu'une
planification anticipée des incidents soit faite. ISACA propose
même qu'il soit défini une classification claire des incidents de
sécurité par ordre de priorité et d'importance et aussi
des ébauches de réponses qui seront communiquées aux
agents correspondants pour qu'ils sachent comment s'y prendre lorsque
l'incident surviendra. Chacune des réponses devra être
testée pour s'assurer qu'elle répond bien à l'objectif qui
est de réparer ou de réduire l'impact de l'incident.
En s'appuyant sur des incidents de sécurité
récents, une entreprise peut prévoir et anticiper les
problèmes potentiels. Ainsi, si une entreprise prend le temps de traiter
les incidents de sécurité de manière
pondérée et rationnelle et d'en déterminer les raisons
sous-jacentes, il lui sera plus facile de se protéger d'incidents
similaires à l'avenir et elle pourra traiter ces problèmes plus
rapidement. La planification anticipée exige la participation des
différents groupes opérationnels et doit faire appel à des
conseillers et à des services en technologie de la
sécurité chargés de surveiller les menaces les plus
récentes et de transmettre l'information recueillie. Elle donne
l'occasion de développer un ensemble clair de stratégies et de
procédures à même de gérer les menaces ou les
incidents de sécurité. On pourrait donc parler de gestion
proactive des incidents de sécurité de l'information.
La gestion proactive des risques de sécurité
présente de nombreux avantages par rapport à l'approche
réactive. Plutôt que d'attendre que les problèmes se
présentent avant d'y répondre, le principe de cette approche est
de minimiser la possibilité qu'ils se produisent dès le
départ. Pour protéger ses ressources importantes, Ecobank CI doit
mettre en place des contrôles visant à réduire les risques
d'exploitation des vulnérabilités par des programmes ou des
personnes malveillants ou par un usage accidentel. Bien entendu, les
entreprises ne doivent pas complètement renoncer à l'approche
réactive. En effet, bien qu'une approche proactive efficace permette de
diminuer considérablement les risques d'incidents de
sécurité, il est peu probable que ces derniers disparaissent
complètement. Par conséquent, il est fondamental que les
entreprises continuent d'améliorer leurs processus de réponse aux
incidents tout en développant des approches proactives sur le long
terme.
Toutes ces mesures et bonnes pratiques relevées dans
les normes ISO 27000 permettent à la banque de garantir une meilleure
gestion de la sécurité de ses systèmes d'informations.
Afin de donner l'assurance que les mesures de sécurité de
l'information mises en place fonctionnent correctement, la Direction de l'audit
interne doit avoir les compétences, les connaissances et les outils
nécessaires pour les évaluations diverses. Notre prochaine
étape nous donne l'occasion de faire des recommandations
d'amélioration des prestations de l'audit interne en matière de
sécurité de l'information.
| 
