Prévenir les fraudes, conflits d’intérêt et erreurs humaines par la "Segregation of Duties" (SOD) ou Séparation des Droits et Responsabilités.
Cas d'usage : Un audit externe ou interne signale des non-conformités liées à la séparation des droits et responsabilités (Segregation Of Duties).
2. Licence
• Ce document est sous licence « CREATIVE COMMONS »
• Pas d’utilisation commerciale
• Partage dans les mêmes conditions
http://creativecommons.org/licenses/by-nc-sa/3.0/fr/
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties2
3. Empêcher les fraudes, conflits d’intérêt et
erreurs humaines
• Cas d’usage :
Un audit externe ou interne montre des non-conformités liées à la
séparation des droits et responsabilités (Segregation Of Duties).
• Les non-conformités doivent être résorbées par la mise en
œuvre de la «Segregation of Duties » à plusieurs niveaux :
Organisation, processus, activités
Référentiel RH des postes et responsabilités
Droits d’accès et d’usage du système d’information des utilisateurs,
Droits d’accès aux différents environnements et couches techniques du
système d’information par les administrateurs informatiques (externes ou
internes)
Dans certains cas, au niveau des autorisations d’accès physique aux
bâtiments.
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties3
Vos
Enjeux
4. Références du consultant sollicité
Le consultant sollicité a déjà mis en œuvre la « Séparation des droits et
responsabilités » (SOD) au travers des missions suivantes :
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties4
Responsable informatique R&D Grand groupe chimique
• Mise en œuvre des référentiels « bonnes pratiques »,
vérification et validation des logiciels, séparation des
droits et responsabilités
• Audits internes des études réglementaires et des outils
déployés : logiciels et équipements de laboratoires,
robotique, SI scientifique, logistique et financier du centre
de recherche.
• Audits externes par l’UIC du respect des bonnes pratiques,
appliquées aux instruments de laboratoires, système
d’information. Contrôle de la séparation des droits, dans
le cadre des études réglementaires.
• Audits de contrôles de la sécurité du territoire dont
contrôle de la séparation des droits et d’usage des outils
informatiques
• Audits financiers dans le cadre de SabanneOxley dont
contrôles de la séparation des droits.
Réorganisation d’une direction IT de <1000
personnes, groupe industriel, énergie
• Modélisation des processus, activités, données,
rôles, tâches et système d’information
• Appui à la construction de l’organisation en
identifiant les rôles de contrôle et vérification
• Mise en œuvre de la ségrégation des droits et
responsabilités (SOD) au sein des processus et
outils informatiques
PME Dispositifs médicaux
• Mise en œuvre du SOD à partir des fiches de
postes de l’entreprise.
6. Définition : Segregation of Duties
• En français, séparation des responsabilités et des droits
• Objectif : Supprimer les risques de conflits d’intérêt, fraude ou erreurs
• Activité centrale pour le respect de réglementations
• Séparation entre plusieurs personnes des responsabilités : une
personne seule ne peut effectuer ou masquer des actions de fraude ou
des erreurs
• La séparation des responsabilités doit être démontrée. La charge de la
preuve incombe à l’entreprise et son représentant légal.
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties6
7. Secteurs concernés par le SOD
• Tout secteur réglementé
Banques, assurances, fabrication des cartes de paiement
Energie, chimie (Ceveso)
Chimie, pharmacie (Bonnes pratiques)
Dispositifs médicaux
Alimentaires, restaurants (HAP pour les aliments)
Agriculture, élevage & abattage
Télécommunications
Transports : train, avion, camion, transports de personnes
Opérations douanières
Toutes opérations financières (Sarbanne Oxley) pour les sociétés cotées en bourse
…
• Quelque soit la taille de l’entreprise. C’est l’appartenance au secteur
d’activité qui conditionne l’application des règles.
• Sans oublier les fonctions RH et comptables de toute entreprise
• Très pratiqué dans le cadre de mise en œuvre du cloud (SaaS, IaaS…)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties7
8. Définir « Critique » et « sensible » ?
• Respect de la réglementation
• Sécurité des employés
• Sécurité des patients
• Sécurité environnementale
• Continuité d’activité
• Image de marque
• Impact financier direct…
Niveaux de séparation
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties8
• Définir les normes, règles à appliquer
(gouvernance) :
Qui peut demander l’enregistrement d’une
nouvelle donnée ?
Qui autorise la mise à jour ?
Qui est responsable du maintien des données ?
Qui contrôle les mises à jour ?
• Sur les données, les processus, activités et
systèmes critiques, sensibles
Définir critiques & sensibles
• Effectuer des contrôles réguliers (audits internes)
9. Où trouver les conflits d’intérêt ?
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties9
• Rechercher les conflits d’intérêts et les incohérences
• Justifier lorsque l’on maintient un conflit d’intérêt ou une incohérence
• Surveiller les usages
Processus
Activités
(et tâches)
Rôles
Description de
postes
Fonctions
Activités
(et tâches)
Solutions
informatiques
Profils Utilisateurs
Droits d’usage
(activités autorisées)
Organisation décrite
Organisation mise en œuvre
Fonctions &
Responsabilités
Usages des outils
informatiques
Activités réalisées
(sessions)
Solutions
informatiques
Solutions
informatiques
10. Vos processus ne sont pas modélisés ou ne sont
plus à jour ?
• Nous modélisons en quelques jours les fonctions critiques de votre entreprise.
• « BusinessAnchor Model » (source : OpenGroup,TOGAF)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties10
11. Où trouver les conflits d’intérêt ?
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties11
Processus
& activités
Fonctions Critiques
Référentiel RH
Description de
postes
Solutions
informatiques
Autorisations
d’accès
Rechercher les
incohérences
croisées
Exemple : affaire Kerviel
13. Points communs à toutes les réglementations
• Traçabilité des changements dans le
système d’information
Audit-trail : horodaté (date, heure, minute,
seconde et milliseconde), version des données
avant et après, identifiant de l’utilisateur, rôle,
raison de la modification
Tracer les sessions des utilisateurs et leurs
actions impact fort sur le développement
applicatif
• Traçabilité des utilisateurs
1 utilisateur = 1 personne connue dans le
référentiel RH (employé) ou ACHAT (prestataire)
Pas de compte groupé, même pour des besoins
de service.
Surveillance accrue des comptes administrateurs
et mots de passe (informaticiens)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties13
• Rédiger une « politique », norme propre à
l’entreprise et faisant référence aux
réglementations en vigueur
Pour démontrer la volonté de respect dans la
mise en œuvre de la réglementation
Donner son « interprétation » du texte dans les
processus et activités de l’entreprise
• Mettre en œuvre un système qualité
Organiser des contrôles et audits internes
s’appuyant sur les principes mis en œuvre
(politique)
Mettre en place une boucle d’amélioration
continue : chaque non-conformité donne lieu à
un plan d’action visant à améliorer le respect de
la règle.
Suivre les plans d’actions de traitement des non-
conformités et amélioration continue.
14. Organiser les audits internes
Anticiper les audits externes
• 2 types d’audit
Vérifier que la politique d’entreprise respecte les attendus de la
réglementation
Vérifier que la politique d’entreprise est mise en œuvre
• L’audit interne vérifie que la politique d’entreprise est mise en
œuvre.
• L’audit externe couvre les 2 aspects : politique interne et
attendus de la réglementation.
• Tout audit doit donner lieu à un plan d’actions et au suivi de sa
mise en œuvre dans un délais court (<3 mois) :
L’action doit démarrer rapidement
Son résultat peut excéder 3 mois. Dans ce cas des audits de contrôle sont
définis.
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties14
15. Audits et contrôles internes
• Définir une politique de contrôles récurrents des conflits
d’intérêt
Audits internes récurrents : tous les 12 à 24 mois
Tracer les changements d’affectation
Tracer les droits d’usage des solutions informatique
Pour chaque nouveau droit d’usage d’une solution applicative,
vérifier avec la fonction RH les incohérences et conflits d’intérêt
possibles.
Documenter : dire ce que vous mettez en place et réaliser ce que
vous avez mis en place
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties15
16. Recommandations
de mise en oeuvre
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Segregation Of Duties16
17. Cadrer le projet │Développer la vision d’ensemble du projet
Développer la vision d’ensemble
• Définir les principes directeurs : enjeux,
objectifs et décisions managériales
• Définir la cible et la trajectoire vers la cible
• Analyse
Forces/Faiblesses/Menaces/Opportunités
• Organiser les ateliers de travail et attribuer les
responsabilités.
• Contenu du plan de cadrage :
• Périmètre (fonctions, activités, outils, données critiques)
• Livrables
• Planning
• Instances de suivi
• Rôles & responsabilités
• Organiser la réunion de lancement
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model17
Définir les responsabilités
• Sponsor du projet
Définir les principes directeurs
S’assurer de la réalisation de la valeur attendue
et de l’atteinte des objectifs du projet
• PMO :
Rédiger les feuilles de route des ateliers avec
le support du consultant externe
Planifier les ateliers et réunions
Suivre l’avancement des réalisations et
l’atteinte des objectifs
Participer aux revues, rétrospectives et
challenges
• Consultant externe
Production des livrables
Préparation, animation et conduite des
ateliers
18. Mesurer
les risques
de conflits
d’intérêt
1. Activités
critiques
2. Données
critiques
3.
Assets/Actifs
ayant de la
valeur
4. Revue du
référentiel RH
5. Solutions
informatiques
6. Rapports
des
incohérences
et conflits
d’intérêt
7. Plan
d’actions et
sécurisation
Principesdemiseenœuvre
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties18
• Postes, Fonctions,
Responsabilités
• Activités menées
• Outils SI utilisés
• Outils et fonctions utilisées
• Cohérence avec le
référentiel RH
Si disponible,
intégrer une phase
de recherche
d’incohérences
dans le référentiel
des processus de
l’entreprise
19. Plan de mise en œuvre
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties19
Vision Business
& RH
•Inventorier données,
transactions
informatiques, postes
& fonctions, activités
critiques
•Mesurer Risques &
Impacts
Vision
Technique
•Systèmes
•Profils d’utilisateurs
•Tâches et activités
Vérifier
•Cahier de recette
•Rechercher les
incohérences
Transformer
•Réviser les
responsabilités RH
•Réviser les profils
d’utilisateurs
•Mettre à jour les
processus
Livrables majeurs
• Matrices d’incompatibilité
Processus :Tâches XTâches
Postes RH : ActivitésX Activités
Système d’information : Droits
d’accèsX Droits d’Accès
MatricesCroisées :Tâches X
ActivitésX Droits d’accès
Livrables majeurs
• Relevés d’incohérences après
vérification
• Plans d’actions pour résorber
les incohérences
• Rituels de suivi
20. Synoptique
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties20
2 semaines
1 matrice
2 semaines 3 semaines
2 matrices
3 réunions
Brainstorming & challenge
3 mois
3 semaines
Relevés des
incohérences
Cadrage
Vision Business & RH
Vision
Technique
Vérifier
Transformer
Matrices
d’incompatibilités
Relevés des
incompatibilités
constatées
Lancement Transformation
& Déploiement
22. Pilotage du projet
• Dès le lancement du projet, mettre en place les comités de
suivi, comme pour tout projet :
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model22
Comité Objectifs Responsabilités
Réunion de lancement Lancer le projet
Présenter les attendus et l’organisation mise en place
PMO
Sponsor
Directions de départements impliqués
Consultant
Comité opérationnel,
Comité de projet
Suivi opérationnel des réalisations
Hebdomadaire à mensuel
PMO
Consultant
Comité de pilotage
Comité de direction
Comité d’engagement
Suivre la mise en œuvre des principes directeurs de la mission
Vérifier l’apport de valeur pour l’organisation
Prendre les décisions stratégiques
Mensuel à Trimestriel
PMO
Sponsor
Directions de départements impliqués
Consultant
23. Impacts du SOD sur le
système d’information
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Business Model23
24. Impact sur le système d’information
Source : ANSI INCITS 359-2004
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties24
SOD
Contraintes
& Contrôles
Hiérarchie
Héritage
Utilisateur Roles
Sessions
Attribution
Activation
de rôles
Ouverture
d’une session
Opérations
Activités
Fonctions
Objets
Classes
d’objets
(spécialisation)
Autorisations
Créer
Modifier
Supprimer
Autorisations
Créer
Modifier
Supprimer
Décomposition
PERMISSIONS
Référentiel RH
25. Impact sur le système d’information
• Utilisateur
Un individu, une personne connue du service RH
ayant un contrat avec l’entreprise : salarié ou
prestataire
• Rôle
Une fonction reconnue dans l’entreprise ou un
groupe d’actions permettant de réaliser une
fonction.
Exemple : « responsable achat d’un groupe de
produits » ou « Contrôle des encaissements »
• Opération
Action possible sur les données du système
d’information : créer, modifier, supprimer,
contrôler, valider, abandonner, refuser...
Cela peut correspondre à une fonctionnalité du
logiciel
• Session
Accès à une application par un utilisateur.Une
session active un ou plusieurs rôles et permet
l’obtention de permissions
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties25
• Permission
Autorisation d’activer une opération sur un objet
ou une classe d’objets au travers d’une
application
• Objets
Données ou « assets » (actifs) ayant de la valeur
pour l’entreprise
Exemple : Dossier patient, Equipements,
Produits chimiques, Brevet, Encaissements,
Abonnements, Commandes clients ou
fournisseurs…
• Classes d’objet :
Un objet se décompose sur plusieurs niveaux en
classes d’objets.
Typologie
Equipement médical Béquilles, Lits
médicalisés, Fauteuils, Perfusions
Produits chimiques Matières actives (MA),
MA Herbicides, MA Fongicides, MA Insecticide,
solvants, charges, dispersants…
26. Focus sur les outils informatiques
• Pas de comptes et mots de passe groupés pour les utilisateurs
• Surveillance des comptes administrateurs
Etablir une liste à jour des personnes ayant connaissance et usage de ces comptes.
Changer mensuellement tous les mots de passe.
• Homologuer le code et les applicatifs livrés
Rechercher les « codes malins » par du test et de la revue de code
• Segmentation des accès selon les environnements
Segmenter les environnement et les protéger physiquement : Développement,
Tests et Production.
Pas d’accès à l‘environnement de production aux personnes réalisant le
développement et les tests
Seules les personnes devant réaliser des actions opérationelles sur les
environnements de production ont accès aux machines, bases de données, firewall,
composants réseaux…
Traçabilité totale des actions et connexions
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties26
27. Focus sur les outils informatiques
• Les spécifications des solutions doivent être revues
Pour s’assurer qu’elles répondent aux besoins des utilisateurs
(Vérification)
Pour s’assurer qu’elles respectent les attendus de la réglementation
(Validation)
• Les solutions informatiques doivent être testées
Pour s’assurer qu’elles répondent aux besoins des utilisateurs
(Vérification)
Pour s’assurer qu’elles respectent les attendus de la réglementation
(Validation)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties27
29. Préparer le déploiement │ Plan de transformation
• Adopter une vision pragmatique des actions à mener
• Piloter la transformation comme un projet
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model29
Mesurer les
impacts des
changement
Créer la vision
Lancer le
projet de
transformation
Transformer Piloter
Organisation
•Postes, compétences
attendues
•Outils, SI
•Procédures, modes
opératoires
•Besoins de formation
Communiquer sur les
raisons du changement
•S’appuyer sur les relais,
participants aux ateliers
•Montrer les risques à « ne
pas faire » et les risques ou
difficultés « à faire »
Organiser le projet de
transformation
•Actions requises
•Coûts, charge, délais
•Parties-prenantes
•Planifier, piloter
Déploiement
•« technique » des outils
•Formation des utilisateurs
•Mettre en place la nouvelle
organisation (si requis)
Mesurer l’avancement
•Démontrer l’apport de
valeur (gains)
•Communiquer les
réussites
•Prendre les actions et
mesures correctives quand
nécessaire
•Mesurer les freins et
opportunités au
changement
30. Préparer le déploiement │ Plan de formation
• Si requis, à mesurer au démarrage du projet
• Communiquer sur les objectifs de formation : outils, activités
opérationnelles
• Elaborer le plan de formation
• Produire les supports de formation
• Mettre en œuvre
Interne ou externe
Organiser et planifier les formations
• Mesurer l’efficacité
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model30
31. Préparer le déploiement │ Plan de communication
• Dès le lancement du projet
• Nombreux supports de communication
Interventions en réunions d’équipe ou réunions de service
Journal d’entreprise
Echanges et communication plus informelle, lors des temps de pause
• Appels à candidature pour participer aux ateliers
Laisser les contributions le plus libres et ouvertes possibles
• Démontrer l’ouverture, l’écoute et la recherche de consensus
• Toujours présenter les risques « à ne pas faire » et les risques « à
faire »
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model31
32. Sources
• ISACA
• Enhancing ITGovernanceWith aSimplified Approach to Segregation of Duties, Kevin
Kobelsky
• ImplementingSegregation of Duties, ISACAJOURNALVOL 3
• ANSI INCITS 359-2004
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties32