ANNEXES
ANNEXE
No 1 : ORGANIGRAMME DE ECOBANK COTE D'IVOIRE
GROUPE ETI
Conseil d'administration
Groupe Audit
Comité d'audit
Direction Générale
Direction de l'Audit Interne
Direction de Contrôle Interne
Direction des Operations et Technologie
Direction Informatique
Autres Directions
Responsable Sécurité de l'Information
Rattachement administratif
Rattachement fonctionnel
Rend compte
ANNEXE No2 : QUESTIONNAIRE DE PRISE DE
CONNAISSANCE DU SMSI
Cochez oui ou non aux questions suivantes et
apportez des explications à celles qui en
requièrent.
Thème n°1: Engagement et soutien de la
haute direction
1) Comment la haute direction s'implique-t-elle dans la
gestion de la sécurité de l'information ?
..............................................................................................................................................................................................................................
2) Quelles sont les actions déjà
menées ?
..............................................................................................................................................................................................................................
3) Etablit-elle un mandat pour des auditeurs SI
spécialisés ou transmet-elle le pouvoir de surveillance à
l'audit interne ?
..........................................................................
Thème n°2: Politique et
procédures
4) Existe-t-il une politique de sécurité de
l'information au sein de la banque ? Oui Non
5) La politique de sécurité est-elle
approuvée par la haute direction ? Oui Non
6) Est-elle régulièrement mise à
jour ? Oui Non
7) Existe-t-il des manuels de procédures
régissant la sécurité de l'information ? Oui
Non
8) Ces procédures sont-elles constamment mises à
jour ? Oui Non
9) Ces manuels concernent quel(s) aspect(s) de la
sécurité de l'information ?
.....................................................................................................................
10) La politique et les procédures sont-elles mise en
oeuvre ? Oui Non
11) Qui est le garant de l'exécution de la politique et
des procédures de sécurité de l'information ?
............................................................................................................................................................................................................................
Thème n°3: Organisation
12) Existe-t-il un comité de gestion de la
sécurité de l'information ? Oui Non
13) De qui se compose-t-il ?
..............................................................................................................................................................................................................................
14) Est-ce que le comité a une implication forte et
assure la promotion de la sécurité de l'information par des
moyens adéquats ? Oui Non
15) Si oui, quels sont ces moyens ?
..............................................................................................................................................................................................................................
16) Au sein du comité, qui est le garant principal du
maintien de la sécurité de l'information ?
.........................................................................................................................
17) Le garant de la sécurité de l'information
a-t-il des objectifs clairs et mesurables ? Oui Non
18) Quels sont ces objectifs?
..................................................................................................................
19) Le dispositif de contrôle interne est-il
aligné aux objectifs de sécurité de l'information
définis par la banque ? Oui Non
20) L'audit interne est-il impliqué dans le bon
fonctionnement du système de sécurité de l'information ?
Oui Non
21) Est-ce que la mise en application de la politique de
sécurité de l'information est auditée de façon
indépendante ? Oui Non
22) Comment est gérée la sécurité
de l'information d'avec l'extérieur ?
..........................................................................................................................................................................................................................................
Thème n°4: Sensibilisation à la
sécurité et éducation
23) Les différents corps de métier de la banque
sont-ils sensibilisés sur l'importance de la sécurité de
l'information ? Oui Non
24) Par quels moyens le sont-ils ?
..........................................................................................................................................................................................................................................
25) Connaissent-ils les dispositifs de sécurité
et leur importance ? Oui Non
26) Le personnel a-t-il connaissance des procédures et
politique de sécurité de l'information ?
Oui Non
27) A-t-il connaissance des risques liés à la
sécurité de l'information? Oui Non
28) Le personnel met-il en oeuvre les procédures ?
Oui Non
29) Définir un taux approximatif d'erreurs sur
3ans : ...................................
30) Quels sont les apports du personnel en matière de
sécurité de l'information ?
..........................................................................................................................................................................................................................................
31) Les contrats de travail ou de stage contiennent ils des
clauses de confidentialité ? Oui Non
32) Est-ce que la banque vérifie et contrôle la
véracité des références et la moralité des
employés permanents et temporaires ? Oui Non
33) En cas de violation de la politique de
sécurité de la banque et de non-respect des procédures de
sécurité de l'information, est-il prévu des sanctions
disciplinaires ? Oui Non
Thème n°5: Contrôle et
conformité
34) Existe-t-il des périmètres de
sécurité pour protéger les zones où se situent les
moyens de traitement de l'information ? Oui Non
35) Est-ce que ces zones de sécurité sont
protégées par des moyens de contrôle d'entrée et de
sortie permettant d'assurer que seuls le personnel et les visiteurs
autorisés peuvent y accéder ? Oui Non
36) Les contrôles permanents sont-ils effectués
pour s'assurer du maintien de la sécurité des informations ?
Oui Non
37) Qui garantit ces contrôles?
....................................................................................
38) Existe-t-il des contrôles permettant
d'établir ou de maintenir la sécurité des
réseaux ?
Oui Non
39) Les medias informatiques amovibles tels que les
clés USB, les disquettes, les CD, les bandes etc. font-ils l'objet d'un
contrôle particulier ? Oui Non
40) Est-ce que la gestion des privilèges fait l'objet
de contrôles particuliers ? Oui Non
41) Est-ce que seuls les utilisateurs dument autorisés
peuvent accéder aux services en réseaux ? Oui
Non
42) Est-ce que les accès sont dument
authentifiés ? Oui Non
43) Combien de temps faut-il pour retirer ou supprimer
l'accès d'un employé temporaire ou non après son mandat de
travail ?
..........................................................................................................
44) Tous les ordinateurs de la banque sont-ils
connectés à un système commun de réseau facilement
contrôlable par le responsable TI ? Oui Non
45) Existe-t-il des tests pour protéger et
contrôler les données ? Oui Non
46) Si oui, lesquels?
..........................................................................................................................................................................................................................................
47) Existe-t-il des techniques de cryptographie pour
protéger l'information ? Oui Non
48) Les informations sont-elles convenablement
conservées et classées ? comment et par quels moyens ?
...........................................................................................................................................................................................................................
49) Existe-t-il des procédures pour surveiller
l'utilisation du système ? Oui Non
50) Est-ce que toutes les exigences statutaires,
règlementaires et contractuelles dont relèvent les
systèmes d'information, sont explicitement définies et
documentées ? Oui Non
51) Est-ce que le système de sécurité de
l'information et les systèmes d'information sont contrôlés
régulièrement pour vérifier leur conformité avec la
politique et les normes de sécurité ? Oui Non
52) Est-ce que les directions engagent des actions pour
s'assurer que toutes les procédures de sécurité, dans leur
périmètre de responsabilité, sont correctement
suivies ? Oui Non
53) Est-ce que toutes les entités de la banque sont
sujettes à des revues régulières par l'audit
interne ? Oui Non
Thème n°6: Gestion et intervention face
à l'incident
54) Existe-t-il des procédures de gestion des
incidents ? Oui Non
55) Est-ce que les incidents de sécurité sont
signalés en temps réel et à travers de bons canaux
dès leur survenance ? Oui Non
56) Existe-t-il des procédures pour signaler les
dysfonctionnements des programmes et sont-elles suivies ? Oui
Non
57) Existe-t-il des plans de relance des activités
après la survenance d'un incident majeur ? Oui
Non
58) Ces plans sont-ils régulièrement mis
à jour ? Oui Non
59) Le personnel est-il sensibilisé sur la gestion des
incidents ? Oui Non
ANNEXE No3: QUESTIONNAIRE D'EVALUATION /
DIRECTION D'AUDIT INTERNE
Cochez oui ou non aux questions suivantes et
apportez des explications à celles qui en
requièrent.
Nom et Prénoms :
Poste :
1) Etes-vous à ECOBANK CI depuis plus de 3 ans ?
Oui Non
2) Connaissez-vous la norme ISO 17799 ? Oui
Non
3) Si oui, de quoi parle-t-elle ?
..........................................................................
4) Pour vous, qu'est-ce qu'une information ?
............................................................................................................
5) Qu'entendez-vous par « sécurité de
l'information » ?
........................................................................................................................................................................................................................
6) Quels sont les objectifs de la banque en matière de
sécurité de l'information ?
........................................................................................................................................................................................................................
7) Existe-il une politique de sécurité de
l'information ou de sécurité des systèmes d'informations
au sein de la banque ? Oui Non
8) Existe-il un document formel à ce sujet ?
Oui Non
9) Est-ce que la politique de sécurité est
régulièrement révisée ? Oui Non
10) Cette politique a-t-elle subit des changements depuis sa
parution ? Oui Non
11) Qui est charge du maintien et du respect des
procédures et politiques de sécurité de l'information au
sein de la banque ?
................................................................
12) Avez-vous déjà effectue des missions d'audit
de la sécurité de l'information ? Oui
Non
13) L'audit de la sécurité de l'information
fait-il partir de votre planning annuel de missions ? Oui
Non
14) Combien de temps mettez-vous entre 2 missions d'audit de
la sécurité de l'information ?
..............................
15) Avez-vous une méthodologie d'audit de la
sécurité de l'information ?
Oui Non
16) Les étapes de votre méthodologie d'audit de
la sécurité de l'information comprennent elles ?
L'audit organisationnel l'audit physique
l'audit organisationnel et physique l'audit technique
l'audit organisationnel et technique l'audit technique et physique
17) Est-ce que les audits sont planifies et
réalisés en s'entourant de la sécurité
nécessaire pour protéger le fonctionnement des systèmes
opérationnelles ? Oui Non
18) Avez-vous décelez des faiblesses qui ont
suscité une quelconque révision ou mise à jour de la
politique de sécurité? Oui Non
19) Les systèmes d'information de la banque sont-ils
contrôlés régulièrement afin de vérifier leur
conformité avec la politique et les normes de sécurité?
Oui Non
20) Est-il évident de trouver des pistes d'audit
adéquates pour mener à bien les missions d'audit de la
sécurité de l'information ? Oui Non
21) Avez-vous des connaissances et compétences en
matière de technologies de l'information ? Oui
Non
22) Donnez-moi un outil d'audit de base de
données ? ...............................................
23) Quels outils utilisez-vous lors d'un audit de
sécurité de l'information ?
............................................................................................................
24) Existe-t-il des logiciels d'audit relatif à la
sécurité de l'information au sein de la banque ?
Oui Non
25) Si oui, ces logiciels génèrent ils des
rapports réguliers sur les évènements afférents
à la sécurité de l'information ? Oui Non
26) Ces rapports sont-ils protégés? Oui
Non
27) Vos recommandations sont-ils toujours suivis ? Oui
Non
28) Vos recommandations sont-ils promptement et clairement
suivis ? Oui Non
29) La direction engage-t-elle des actions pour assurer le
suivi des procédures de sécurité et les recommandations
d'audit ? Oui Non
30) Existe-il un comité d'audit au sein de la banque?
Oui Non
31) A qui rendez-vous directement des comptes lors de vos
missions d'audit ?
Directeur General
Conseil d'administration / comité d'audit
Commission bancaire
32) Sur une échelle de 1 à 10, combien
noterez-vous le système de gestion de la sécurité de
l'information de Ecobank CI ? ....................
33) En quelques mots, que vérifiez-vous lors d'une
mission d'audit de la sécurité de l'information ?
....................................................................................................................................................................................................................................................................................................................................
34) Selon vous, quel est l'apport de l'audit interne au
maintien et à l'amélioration continue de la
sécurité de l'information ?
................................................................................................................................................................................................................................................................................................................................................................................................................................................
|