Avant Propos
La fréquence et l’ampleur des fuites de données augmentent au rythme du progrès technologique. Les conseils d’administration et les directions, en plus des services informatiques, se concentrent plus que jamais sur une meilleure protection de leurs données. De ce fait, le contrôle des accès applicatifs reste le vecteur principal pour les sécuriser.
Le contrôle des accès permet aux organisations d’identifier, de gérer et de prévenir le risque d’accès non autorisé.
En effet, le maintien d’une gestion des droits d’accès transverse à l’ensemble des systèmes & applications d’une entreprise reste une base essentielle pour :
”Effective Segregation of Duties (SoD) controls can reduce the risk of internal fraud by up to 60% through early detection of internal process failures in key business systems.”
Le GARTNER, Market Guide for SOD Controls Monitoring Tools-ID: G00293793
Les projets de gestion des identités et des accès (IAM), pilotés par l’informatique, semblent souvent complexes et prennent rarement en compte l’ensemble des besoins métiers en matière de contrôle d’accès. Ainsi, le volet de conception des rôles et des autorisations est fréquemment mis de côté lors des projets d’implémentation ERP au profit d’un accès étendu donné aux utilisateurs finaux.
Aussi, faute d’outils ou de procédures permettant de garantir la pérennité de la solution autorisations, on constate également une régression de la maitrise des accès au fil des années, notamment dû au fait que :
- Les paysages Systèmes & Applicatifs (SAP ERP ou autre) deviennent complexes avec de plus en plus d’utilisateurs,
- Les rôles évoluent sans cesse, ils se cumulent et génèrent des risques communément appelés « risques de séparation des tâches » (SoD),
- la gestion technique des autorisations du système d’informations demeure chronophage pour les administrateurs:
- ils croulent sous les demandes de droit d’accès, parfois sans workflow d’approbation et sans aucun contrôle SoD à priori,
- ils multiplient les tâches manuelles à faible valeur ajoutée, telles que l’affectation de droits aux utilisateurs, la réinitialisation de mots de passe, entre autres…
Partant de ce constat, les régulateurs (CAC, AFA, FDA, CNIL, …) et les investisseurs imposent aux entreprises de couvrir les risques de droits d’accès et de SoD. Par conséquent, la gestion desdits risques est de plus en plus revue par les commissaires aux comptes (CAC) ainsi que par les fonctions de surveillance interne (audit interne et/ou contrôle interne).
Cette problématique est bien connue de l’ensemble de nos experts IAM & Autorisations/GRC. Nous accompagnons de nombreux clients à se conformer et à sécuriser leurs dispositifs de gestion des droits d’accès par une bonne gestion des identités, des autorisations, de la SoD et du cycle de vie des utilisateurs dans son ensemble.
Gouvernance SoD
Les contrôles de séparation des tâches (SoD) augmentent la fiabilité des transactions, améliorent la confiance des auditeurs et augmentent l’efficacité des contrôles anti-fraude. En détectant et en prévenant ces risques, les contrôles SoD améliorent considérablement l’intégrité des processus clés et l’atténuation d’impacts financiers
Lorsqu’elles sont confrontées à des exigences réglementaires pour l’application de la séparation des tâches (SoD), la plupart des entreprises commencent par implémenter un dispositif « détectif » basé sur Excel ou piloté par des consultants pour l’analyse des risques et la remédiation des droits d’accès SAP, Oracle ou autres.
Néanmoins, lorsque de tels processus deviennent trop complexes à maintenir et/ou trop coûteux, les outils de surveillance de contrôles SoD deviennent indispensables. En effet, ils permettent :
Les entreprises doivent non seulement rendre compte à leurs parties prenantes, mais elles doivent également être prêtes à fournir des pièces justificatives aux régulateurs.
Les entreprises qui entreprennent des démarches de mise en conformité (gestion des risques SoD, automatisation des contrôles,…) connaissent une réduction du temps passé sur les actions de reporting, de contrôles et une amélioration de la prise de décision.
En effet, les contrôles SoD offrent un potentiel convaincant pour réduire les risques en les remédiant de manière réactive, en atténuant les conflits et en minimisant les violations des règles en vigueur.
Les hypothèses SoD générales selon le Gartner
Les contrôles SOD peuvent réduire jusqu’à 60% le risque de fraude interne grâce à la détection préventive des défaillances des processus internes dans les principaux systèmes d’informations.
Il est difficile de couvrir les risques SoD transverses à l’organisation sans l’appui d’un logiciel spécialisé.
Les pratiques standards de gestion de la SoD échouent lorsqu’il faut couvrir des risques SoD sur des processus supportés par plusieurs applications métiers (ERP SAP, ERP Oracle, E-Procurement, HCM, …)
Le coût élevé des plateformes ERP traditionnelles ainsi que l’absence de ROI direct (retour sur investissement) rendent difficile, pour les responsables de la sécurité et de la gestion des risques, la justification de l’acquisition d’un produit de surveillance des contrôles SoD.
Le GARTNER, Market Guide for SOD Controls Monitoring Tools-ID: G00293793
Les experts SoD d’ArtimIS accompagnent leurs clients dans la gestion des risques SoD notamment dans la conception ou l’optimisation d’un model visant à identifier, appréhender et remédier les risques SoD :
Identity & Access Management
À mesure que les entreprises se développent, il devient de plus en plus difficile de gérer le cycle de vie des utilisateurs. Un manque de contrôle soumet l’entreprise à des risques avérés.
« En 2019, le coût global de l’exploitation d’une faille ou d’une erreur de paramétrage liée aux droits d’accès et provoquée par une activité interne s’élevait à 8,7 milliards de dollars.»
SOURCE
Il existe de nombreux facteurs associés à un mauvais contrôle du cycle de vie des utilisateurs :
Il est clairement important d’éviter d’accorder aux utilisateurs des privilèges excessifs. En règle générale, cela implique de réduire les accès au strict nécessaire, de gérer la ségrégation des tâches, ou encore d’effectuer un double contrôle des demandes de changements.
Pour garantir un provisioning sécurisé des utilisateurs, il est recommandé de renforcer le processus de gestion du cycle de vie de l’utilisateur (UAM – User Acces Management) en déployant un outil automatisant les tâches d’administration tout en effectuant des contrôles préventifs.
Les experts sécurité SI d’ArtimIS accompagnent leurs clients dans l’implémentation d’un processus de gestion des identités et des droits d’accès comme pour l’aide au choix d’un outil approprié :
Conception et implémentation :
Sécurité des Autorisations
La maîtrise des droits d’accès permet de se protéger contre les risques d’erreur mais également de fraude. En effet le contrôle des accès garantit aussi bien l’intégrité de vos données que leur confidentialité. Ainsi, il est important de limiter les accès aux seules opérations et données dont un utilisateur a besoin et de s’assurer que ses habilitations sont légitimes tout au long de son cycle de vie.
Les experts techniques autorisations & sécurité SI d’ArtimIS apportent le savoir-faire nécessaire à leurs clients afin de les accompagner de la phase d’audit des autorisations à la phase d’implémentation d’une solution autorisations SAP sécurisée, conforme aux règles de SoD Cross-Systèmes (SAP, Oracle, E-Procurment, HCM, …), prenant en compte le RGPD et leurs spécificités.
Ainsi, ArtimIS propose une:
Pourquoi ArtimIS?
Les Gestion des autorisations SAP est notre domaine de prédilection. Nous disposons de nombreux consultants experts dans ce domaine et serons heureux de vous accompagner dans cette démarche. Notre savoir faire et notre connaissance des processus métiers pourront vous apporter l’ensemble des éléments nécéssaires à la réussite de vos projet et à l’adoption de ce sujet par vos parties prenantes.