Avant Propos

La fréquence et l’ampleur des fuites de données augmentent au rythme du progrès technologique. Les conseils d’administration et les directions, en plus des services informatiques, se concentrent plus que jamais sur une meilleure protection de leurs données. De ce fait, le contrôle des accès applicatifs reste le vecteur principal pour les sécuriser.

En effet, le maintien d’une gestion des droits d’accès transverse à l’ensemble des systèmes & applications d’une entreprise reste une base essentielle pour :

Protéger les données sensibles

Se protéger contre la fraude

Se prémunir des erreurs humaines

Se conformer aux exigences des auditeurs

”Effective Segregation of Duties (SoD) controls can reduce the risk of internal fraud by up to 60% through early detection of internal process failures in key business systems.”

Le GARTNER, Market Guide for SOD Controls Monitoring Tools-ID: G00293793

Les projets de gestion des identités et des accès (IAM), pilotés par l’informatique, semblent souvent complexes et prennent rarement en compte l’ensemble des besoins métiers en matière de contrôle d’accès. Ainsi, le volet de conception des rôles et des autorisations est souvent mis de côté lors des projets d’implémentation ERP au profit d’un accès étendu donné aux utilisateurs finaux.

Aussi, faute d’outils ou de procédures permettant de garantir la pérennité de la solution autorisations, on constate également une régression de la maitrise des accès au fil des années notamment du au fait que :

  • Les paysages Systèmes & Applicatifs (SAP ERP ou autre) deviennent complexes avec de plus en plus d’utilisateurs,
  • Les rôles évoluent sans cesse, ils se cumulent et génèrent des risques communément appelés « risque de séparation des tâches » (SoD),
  • la gestion technique des autorisations du système d’informations demeure chronophage pour les administrateur:
    • ils croulent sous les demandes de droit d’accès, parfois sans workflow d’approbation et sans aucun contrôle SoD à priori,
    • ils multiplient les tâches manuelles à faible valeur ajoutée, telles que l’affectation de droits aux utilisateurs, la réinitialisation de mots de passe, entre autres…

Partant de ce constat, les régulateurs (CAC, AFA, FDA, CNIL, …) et les investisseurs imposent aux entreprises de couvrir les risques de droits d’accès et de SoD. Par conséquent, la gestion desdits risques est de plus en plus revue par les commissaires aux comptes (CAC) ainsi que par les fonctions de surveillance interne (audit interne et/ou contrôle interne).

Cette problématique est bien connue de l’ensemble de nos experts IAM & Autorisations/GRC. Nous accompagnons de nombreux clients à se conformer et à sécuriser leurs dispositifs de gestion des droits d’accès par une bonne gestion des identités, des autorisations, de la SoD et du cycle de vie des utilisateurs dans son ensemble.

Gouvernance SoD

Les contrôles SoD augmentent la fiabilité des transactions, améliorent la confiance des auditeurs et augmentent l’efficacité des contrôles anti-fraude. En détectant et en prévenant ces risques, les contrôles SoD améliorent considérablement l’intégrité des processus clés et l’atténuation d’impacts financiers

Lorsqu’elles sont confrontées à des exigences réglementaires pour l’application de la SoD, la plupart des entreprises commencent par implémenter un dispositif détectif basé sur Excel ou piloté par des consultants pour l’analyse des risques et la remédiation des droits d’accès SAP, Oracle ou autres.

Néanmoins, lorsque de tels processus deviennent trop complexes à maintenir et/ou trop coûteux, les outils de surveillance de contrôles SoD deviennent indispensables. En effet, ils permettent :

  • d’automatiser les processus de gestion de la SoD afin de fournir une couverture plus complète des risques,

  • de produire plus rapidement des rapports,

  • de mettre en œuvre des contrôles préventifs.

Les entreprises doivent non seulement rendre compte à leurs parties prenantes, mais elles doivent également être prêtes à fournir des pièces justificatives aux régulateurs.

Les entreprises qui entreprennent des démarches de mise en conformité (gestion des risques SoD, automatisation des contrôles,…) connaissent une réduction du temps passé sur les actions de reporting, de contrôles et une amélioration de la prise de décision.

En effet, les contrôles SoD offrent un potentiel convaincant pour réduire les risques en les remédiant de manière réactive, en atténuant les conflits et en minimisant les violations des règles en vigueur.

Les hypothèses SoD générales selon le Gartner

Les contrôles SOD peuvent réduire jusqu’à 60% le risque de fraude interne grâce à la détection préventive des défaillances des processus internes dans les principaux systèmes d’informations.

Il est difficile de couvrir les risques SoD transverses à l’organisation sans l’appui d’un logiciel spécialisé.

Les pratiques standards de gestion de la SoD échouent lorsqu’il faut couvrir des risques SoD sur des processus supportés par plusieurs applications métiers (ERP SAP, ERP Oracle, E-Procurement, HCM, …)

Le coût élevé des plateformes ERP traditionnelles ainsi que l’absence de ROI direct (retour sur investissement) rendent difficile, pour les responsables de la sécurité et de la gestion des risques, la justification de l’acquisition d’un produit de surveillance des contrôles SoD.

Le GARTNER, Market Guide for SOD Controls Monitoring Tools-ID: G00293793

Les experts SoD d’ArtimIS accompagnent leurs clients dans la conception ou l’optimisation d’un model visant à identifier, appréhender et remédier les risques SoD :

  • Revue & conception de la matrice SoD et de la gouvernance associée

  • Définition des contrôles compensatoires

  • Audit & Elaboration d’un plan de remédiation des risques de séparation des tâches (ArtimIS Risk Observator – ARO)

  • Remédiation accélérée des risques de SoD et d’accès critiques sur les rôles et les utilisateurs grâce à nos outils de pilotage et d’aide à la décision (ArtimIs Self Remediation Tool – ASR)

  • Audit, Aide au choix, Pilotage, intégration-migration de solutions GRC, SoD Control Monitoring et conduite du changement.

Identity & Access Management

À mesure que les entreprises se développent, il devient de plus en plus difficile de gérer le cycle de vie des utilisateurs. Un manque de contrôle soumet l’entreprise à des risques avérés.

« En 2019, le coût global de l’exploitation d’une faille ou d’une erreur de paramétrage liée aux droits d’accès et provoquée par une activité interne s’élevait à 8,7 milliards de dollars.»

SOURCE

Il existe de nombreux facteurs associés à un mauvais contrôle du cycle de vie des utilisateurs :

  • Les utilisateurs disposant de privilèges supplémentaires peuvent accidentellement supprimer ou partager des données confidentielles

  • Un employé malintentionné peut détourner des fonds en exploitant les failles de SoD, choisir de corrompre des données, voler des données comme des listes de clients afin de les vendre aux concurrents ou bien d’exposer des données financières pour nuire à l’entreprise.

  • les pirates informatiques, quant à eux, tentent souvent de pirater des comptes privilégiés pour bénéficier d’un accès élargis aux données sensibles sur les serveurs et les applications. En effet, c’est au niveau de la couche applicative que se trouvent les actifs les plus importants de l’entreprise (données de clients/fournisseurs, brevets & secrets de fabrication, processus métiers, …).

Il est clairement important d’éviter d’accorder aux utilisateurs des privilèges excessifs. En règle générale, cela implique de réduire les accès au strict nécessaire, de gérer la ségrégation des tâches, ou encore d’effectuer un double contrôle des demandes de changements.

Pour garantir un provisioning sécurisé des utilisateurs, il est recommandé de renforcer le processus de gestion du cycle de vie de l’utilisateur (UAM – User Acces Management) en déployant un outil automatisant les tâches d’administration tout en effectuant des contrôles préventifs.

Les experts sécurité SI d’ArtimIS accompagnent leurs clients dans l’implémentation d’un processus de gestion des identités et des droits d’accès comme pour l’aide au choix d’un outil approprié :

Conception et implémentation :

  • d’une fédération d’identités,

  • d’une stratégie d’authentification et de signature unique type SSO afin d’améliorer l’expérience des utilisateurs,

  • d’une mutualisation des demandes d’accès multi-applicatifs,

  • d’un processus de gestion des utilisateurs aux droits élargis (IT, métiers, auditeur interne IT, …),

  • -d’un processus de revue des droits d’accès pour répondre aux auditeurs externes – UAR (User Access Review)

Sécurité des Autorisations

La maîtrise des droits d’accès permet de se protéger contre les risques d’erreur mais également de fraude. En effet le contrôle des accès garantit aussi bien l’intégrité de vos données que leur confidentialité. Ainsi, il est important de limiter les accès aux seules opérations et données dont un utilisateur a besoin et de s’assurer que ses habilitations sont légitimes tout au long de son cycle de vie.

Les experts techniques autorisations & sécurité SI d’ArtimIS apportent le savoir-faire nécessaire à leurs clients afin de les accompagner de l’audit à l’implémentation d’une solution autorisations sécurisée, conforme aux règles de SoD Cross-Systèmes (SAP, Oracle, E-Procurment, HCM, …), prenant en compte le RGPD et leurs spécificités.

Ainsi, ArtimIS propose une:

  • Revue et implémentation du processus de gestion et de maintenance des rôles, de la conception à l’affectation des rôles aux utilisateurs en passant par les contrôles de sécurité nécessaires à la pérennité de la solution autorisations

  • Revue des rôles et droits d’accès des ERP SAP, ORACLE & WorkDay

  • Implémentation d’une solution autorisations à l’aide de l’accélérateur ASAP (ArtimIS SAP Authorization Pack) optimisant les phases d’audit/cadrage, de conception et de réalisation des rôles

  • Maintenance de la solution autorisations en mode « nearshore »

Pourquoi ArtimIS?

Expertise GRC

  • Séniorité des Consultants & Certifications à la clés,
  • 15 ans d’expérience en GRC et sur différents environnements applicatifs : SAP, Oracle & Workday
  • Forte proximité et bonne compréhension des enjeux des différents membres exécutifs (Finance, Audit Interne, Contrôle Interne, Compliance & DSI)

Pragmatisme

  • Approche pragmatique, agile et alignée à la stratégie d’implémentation des référentiels du marché (COSO 2  & ISO 31000/2009 RM)
  • Expérience éprouvée en Gestion des programmes GRC et en conduite du changement (Communication, video, game challenge, training, …),

Complémentarité

  • Proposition d’une équipe complète alliant l’expertise Métier (Contrôle Interne & SOx) et Technique sur les ERPs : SAP (ECC / S4 Hana / Ariba / Fiori) et Oracle (eOBS/Fusion/JDE/NetSuite/PeopleSoft)
  • Proposition d’experts Technique GRC sur SAP GRC (Access Control, Process Control, Risk Management), Oracle RMC  (with Selected Partner for GRC Go To Market strategy), Galvanize (ControlBond, AuditBond, ComplianceBond, RiskBond, …)

Pérennité

  • Coûts de prestations compétitifs par rapport à des grands cabinets d’Audit et de Conseil,
  • Coûts de prestations de mise en œuvre technique d’application GRC et de support fortement avantageux grâce à notre approche de nearshoring/offshoring.
  • 60 % de notre revenue provient de nos clients fidèles et 40 % sur les nouveaux clients qui nous font confiance et que nous fidéliserons.

Les Gestion des autorisations SAP est notre domaine de prédilection. Nous disposons de nombreux consultants experts dans ce domaine et serons heureux de vous accompagner dans cette démarche. Notre savoir faire et notre connaissance des processus métiers pourront vous apporter l’ensemble des éléments nécéssaires à la réussite de vos projet et à l’adoption de ce sujet par vos parties prenantes.

Wassim Ben Mansour, Associé chez ArtimIS