Frantz Pierre-Louis À partir de février 2025, les institutions financières haïtiennes devront soumettre un rapport d’audit de sécurité informatique à la Banque de la République d’Haïti (BRH), conformément à la circulaire 126 (2022), qui impose un audit tous les trois ans. Ce processus vise à renforcer la sécurité des systèmes d’information, particulièrement dans le secteur financier, face aux menaces numériques croissantes.
Deux concepts essentiels pour la gestion de la sécurité informatique sont l’audit de sécurité informatique (ASI) et l’évaluation de sécurité informatique (ESI). Bien que souvent confondus, ces deux processus ont des objectifs et des méthodes distincts.
L’audit de sécurité informatique (ASI) consiste à évaluer la conformité des systèmes d’information aux normes de sécurité établies (par exemple, ISO 27001, NIST). Il examine de manière exhaustive les systèmes de l’organisation selon des standards définis, en se concentrant sur les employés, les technologies, les données et les processus. L’audit vise à identifier les faiblesses dans la gestion de la sécurité et à vérifier que les contrôles internes respectent les politiques de l’organisation et les exigences réglementaires. À la fin de l’audit, un rapport est remis, détaillant les non-conformités et proposant des actions correctives. L’audit est généralement réalisé tous les trois ans ou après des changements significatifs.
L’évaluation de sécurité informatique (ESI), quant à elle, se concentre sur l’identification des vulnérabilités et des menaces spécifiques d’un système. L’objectif est d’évaluer les risques liés à la sécurité sans forcément se référer à des normes particulières. L’ESI est plus flexible et souvent réalisée après un incident de sécurité ou à la demande pour évaluer la résilience d’un système face à des attaques potentielles. Elle permet de formuler des recommandations spécifiques pour renforcer la sécurité en fonction des vulnérabilités identifiées.
Les différences principales entre les deux processus sont :
Audit : vérification de la conformité aux normes de sécurité, analyse complète, tests techniques et rapport détaillant les non-conformités et les recommandations de mise en conformité.
Évaluation : identification des risques et vulnérabilités, analyse ciblée et flexible, rapport axé sur les menaces spécifiques et les actions correctives.
En fonction des besoins de l’organisation, l’audit est essentiel pour vérifier la conformité et la gestion des risques à long terme, tandis que l’évaluation est particulièrement utile pour tester la résilience face aux menaces immédiates ou après un incident. Idéalement, ces deux approches peuvent être combinées pour garantir une sécurité optimale des systèmes d’information.
Dans le cas des institutions financières haïtiennes, la BRH exige un audit, ce qui est adapté pour détecter les problèmes systémiques dans la gestion de la sécurité. Cependant, la question de leurs ressources financières et humaines pour se conformer à cette exigence pourrait représenter un défi. En résumé, bien que l’audit et l’évaluation visent à protéger les systèmes d’information, leurs méthodes diffèrent : l’audit se concentre sur la conformité et l’évaluation sur la gestion des risques. Une combinaison des deux peut offrir une sécurité informatique robuste.
Avec plus de 31 ans d’expérience dans les technologies, M. Frantz Pierre-Louis est un expert chevronné en informatique et cybersécurité. Diplômé en Informatique de Gestion à l’ESIH (2004) et titulaire d’un Master en sécurité et gestion des projets IS/IT de Villanova University (2008), il détient de nombreuses certifications, notamment en cybersécurité (CC, CCT, ISO 27002 Manager, AWS Cloud Practitioner). Membre actif d’organisations internationales comme PMI South Florida, ISACA et National Cybersecurity Alliance, il collabore dans les domaines de la gestion de projet et de la cybersécurité. En Haïti, il préside VK Innovation, cofonde Cybermatik et dirige Cybermatik Academy, proposant des formations en intelligence artificielle, cybersécurité et migration cloud. Animateur de l’émission “PASSWORD” depuis 2009, il est un acteur clé de la transformation numérique et du développement des TICs en Haïti.
