SlideShare ist ein Scribd-Unternehmen logo

SOD Segregation Of Duties - Séparation de Droits et Responsabilités

COMPETENSIS
COMPETENSIS

Prévenir les fraudes, conflits d’intérêt et erreurs humaines par la "Segregation of Duties" (SOD) ou Séparation des Droits et Responsabilités. Cas d'usage : Un audit externe ou interne signale des non-conformités liées à la séparation des droits et responsabilités (Segregation Of Duties).

Business
1 von 33
Blue Jigsaw Competensis Christine Dessus chdessus@competensis.com +336 31 09 73 54 www.competensis.com
Licence • Ce document est sous licence « CREATIVE COMMONS » • Pas d’utilisation commerciale • Partage dans les mêmes conditions http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties2
Empêcher les fraudes, conflits d’intérêt et erreurs humaines • Cas d’usage : Un audit externe ou interne montre des non-conformités liées à la séparation des droits et responsabilités (Segregation Of Duties). • Les non-conformités doivent être résorbées par la mise en œuvre de la «Segregation of Duties » à plusieurs niveaux : Organisation, processus, activités Référentiel RH des postes et responsabilités Droits d’accès et d’usage du système d’information des utilisateurs, Droits d’accès aux différents environnements et couches techniques du système d’information par les administrateurs informatiques (externes ou internes) Dans certains cas, au niveau des autorisations d’accès physique aux bâtiments. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties3 Vos Enjeux
Références du consultant sollicité Le consultant sollicité a déjà mis en œuvre la « Séparation des droits et responsabilités » (SOD) au travers des missions suivantes : V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties4 Responsable informatique R&D Grand groupe chimique • Mise en œuvre des référentiels « bonnes pratiques », vérification et validation des logiciels, séparation des droits et responsabilités • Audits internes des études réglementaires et des outils déployés : logiciels et équipements de laboratoires, robotique, SI scientifique, logistique et financier du centre de recherche. • Audits externes par l’UIC du respect des bonnes pratiques, appliquées aux instruments de laboratoires, système d’information. Contrôle de la séparation des droits, dans le cadre des études réglementaires. • Audits de contrôles de la sécurité du territoire dont contrôle de la séparation des droits et d’usage des outils informatiques • Audits financiers dans le cadre de SabanneOxley dont contrôles de la séparation des droits. Réorganisation d’une direction IT de <1000 personnes, groupe industriel, énergie • Modélisation des processus, activités, données, rôles, tâches et système d’information • Appui à la construction de l’organisation en identifiant les rôles de contrôle et vérification • Mise en œuvre de la ségrégation des droits et responsabilités (SOD) au sein des processus et outils informatiques PME Dispositifs médicaux • Mise en œuvre du SOD à partir des fiches de postes de l’entreprise.
Segregation Of Duties Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties5
Définition : Segregation of Duties • En français, séparation des responsabilités et des droits • Objectif : Supprimer les risques de conflits d’intérêt, fraude ou erreurs • Activité centrale pour le respect de réglementations • Séparation entre plusieurs personnes des responsabilités : une personne seule ne peut effectuer ou masquer des actions de fraude ou des erreurs • La séparation des responsabilités doit être démontrée. La charge de la preuve incombe à l’entreprise et son représentant légal. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties6
Secteurs concernés par le SOD • Tout secteur réglementé  Banques, assurances, fabrication des cartes de paiement  Energie, chimie (Ceveso)  Chimie, pharmacie (Bonnes pratiques)  Dispositifs médicaux  Alimentaires, restaurants (HAP pour les aliments)  Agriculture, élevage & abattage  Télécommunications  Transports : train, avion, camion, transports de personnes  Opérations douanières  Toutes opérations financières (Sarbanne Oxley) pour les sociétés cotées en bourse  … • Quelque soit la taille de l’entreprise. C’est l’appartenance au secteur d’activité qui conditionne l’application des règles. • Sans oublier les fonctions RH et comptables de toute entreprise • Très pratiqué dans le cadre de mise en œuvre du cloud (SaaS, IaaS…) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties7
Définir « Critique » et « sensible » ? • Respect de la réglementation • Sécurité des employés • Sécurité des patients • Sécurité environnementale • Continuité d’activité • Image de marque • Impact financier direct… Niveaux de séparation V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties8 • Définir les normes, règles à appliquer (gouvernance) : Qui peut demander l’enregistrement d’une nouvelle donnée ? Qui autorise la mise à jour ? Qui est responsable du maintien des données ? Qui contrôle les mises à jour ? • Sur les données, les processus, activités et systèmes critiques, sensibles Définir critiques & sensibles • Effectuer des contrôles réguliers (audits internes)
Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties9 • Rechercher les conflits d’intérêts et les incohérences • Justifier lorsque l’on maintient un conflit d’intérêt ou une incohérence • Surveiller les usages Processus Activités (et tâches) Rôles Description de postes Fonctions Activités (et tâches) Solutions informatiques Profils Utilisateurs Droits d’usage (activités autorisées) Organisation décrite Organisation mise en œuvre Fonctions & Responsabilités Usages des outils informatiques Activités réalisées (sessions) Solutions informatiques Solutions informatiques
Vos processus ne sont pas modélisés ou ne sont plus à jour ? • Nous modélisons en quelques jours les fonctions critiques de votre entreprise. • « BusinessAnchor Model » (source : OpenGroup,TOGAF) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties10
Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties11 Processus & activités Fonctions Critiques Référentiel RH Description de postes Solutions informatiques Autorisations d’accès Rechercher les incohérences croisées Exemple : affaire Kerviel
Audits internes & externes Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model12
Points communs à toutes les réglementations • Traçabilité des changements dans le système d’information  Audit-trail : horodaté (date, heure, minute, seconde et milliseconde), version des données avant et après, identifiant de l’utilisateur, rôle, raison de la modification  Tracer les sessions des utilisateurs et leurs actions  impact fort sur le développement applicatif • Traçabilité des utilisateurs  1 utilisateur = 1 personne connue dans le référentiel RH (employé) ou ACHAT (prestataire)  Pas de compte groupé, même pour des besoins de service.  Surveillance accrue des comptes administrateurs et mots de passe (informaticiens) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties13 • Rédiger une « politique », norme propre à l’entreprise et faisant référence aux réglementations en vigueur  Pour démontrer la volonté de respect dans la mise en œuvre de la réglementation  Donner son « interprétation » du texte dans les processus et activités de l’entreprise • Mettre en œuvre un système qualité  Organiser des contrôles et audits internes s’appuyant sur les principes mis en œuvre (politique)  Mettre en place une boucle d’amélioration continue : chaque non-conformité donne lieu à un plan d’action visant à améliorer le respect de la règle.  Suivre les plans d’actions de traitement des non- conformités et amélioration continue.
Organiser les audits internes Anticiper les audits externes • 2 types d’audit Vérifier que la politique d’entreprise respecte les attendus de la réglementation Vérifier que la politique d’entreprise est mise en œuvre • L’audit interne vérifie que la politique d’entreprise est mise en œuvre. • L’audit externe couvre les 2 aspects : politique interne et attendus de la réglementation. • Tout audit doit donner lieu à un plan d’actions et au suivi de sa mise en œuvre dans un délais court (<3 mois) : L’action doit démarrer rapidement Son résultat peut excéder 3 mois. Dans ce cas des audits de contrôle sont définis. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties14
Audits et contrôles internes • Définir une politique de contrôles récurrents des conflits d’intérêt Audits internes récurrents : tous les 12 à 24 mois Tracer les changements d’affectation Tracer les droits d’usage des solutions informatique Pour chaque nouveau droit d’usage d’une solution applicative, vérifier avec la fonction RH les incohérences et conflits d’intérêt possibles. Documenter : dire ce que vous mettez en place et réaliser ce que vous avez mis en place V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties15
Recommandations de mise en oeuvre Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties16
Cadrer le projet │Développer la vision d’ensemble du projet Développer la vision d’ensemble • Définir les principes directeurs : enjeux, objectifs et décisions managériales • Définir la cible et la trajectoire vers la cible • Analyse Forces/Faiblesses/Menaces/Opportunités • Organiser les ateliers de travail et attribuer les responsabilités. • Contenu du plan de cadrage : • Périmètre (fonctions, activités, outils, données critiques) • Livrables • Planning • Instances de suivi • Rôles & responsabilités • Organiser la réunion de lancement V1.0 Février 2016 Blue Jigsaw Competensis - Business Model17 Définir les responsabilités • Sponsor du projet  Définir les principes directeurs  S’assurer de la réalisation de la valeur attendue et de l’atteinte des objectifs du projet • PMO :  Rédiger les feuilles de route des ateliers avec le support du consultant externe  Planifier les ateliers et réunions  Suivre l’avancement des réalisations et l’atteinte des objectifs  Participer aux revues, rétrospectives et challenges • Consultant externe  Production des livrables  Préparation, animation et conduite des ateliers
Mesurer les risques de conflits d’intérêt 1. Activités critiques 2. Données critiques 3. Assets/Actifs ayant de la valeur 4. Revue du référentiel RH 5. Solutions informatiques 6. Rapports des incohérences et conflits d’intérêt 7. Plan d’actions et sécurisation Principesdemiseenœuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties18 • Postes, Fonctions, Responsabilités • Activités menées • Outils SI utilisés • Outils et fonctions utilisées • Cohérence avec le référentiel RH Si disponible, intégrer une phase de recherche d’incohérences dans le référentiel des processus de l’entreprise
Plan de mise en œuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties19 Vision Business & RH •Inventorier données, transactions informatiques, postes & fonctions, activités critiques •Mesurer Risques & Impacts Vision Technique •Systèmes •Profils d’utilisateurs •Tâches et activités Vérifier •Cahier de recette •Rechercher les incohérences Transformer •Réviser les responsabilités RH •Réviser les profils d’utilisateurs •Mettre à jour les processus Livrables majeurs • Matrices d’incompatibilité  Processus :Tâches XTâches  Postes RH : ActivitésX Activités  Système d’information : Droits d’accèsX Droits d’Accès  MatricesCroisées :Tâches X ActivitésX Droits d’accès Livrables majeurs • Relevés d’incohérences après vérification • Plans d’actions pour résorber les incohérences • Rituels de suivi
Synoptique V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties20 2 semaines 1 matrice 2 semaines 3 semaines 2 matrices 3 réunions Brainstorming & challenge 3 mois 3 semaines Relevés des incohérences Cadrage Vision Business & RH Vision Technique Vérifier Transformer Matrices d’incompatibilités Relevés des incompatibilités constatées Lancement Transformation & Déploiement
Piloter le projet Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model21
Pilotage du projet • Dès le lancement du projet, mettre en place les comités de suivi, comme pour tout projet : V1.0 Février 2016 Blue Jigsaw Competensis - Business Model22 Comité Objectifs Responsabilités Réunion de lancement Lancer le projet Présenter les attendus et l’organisation mise en place PMO Sponsor Directions de départements impliqués Consultant Comité opérationnel, Comité de projet Suivi opérationnel des réalisations Hebdomadaire à mensuel PMO Consultant Comité de pilotage Comité de direction Comité d’engagement Suivre la mise en œuvre des principes directeurs de la mission Vérifier l’apport de valeur pour l’organisation Prendre les décisions stratégiques Mensuel à Trimestriel PMO Sponsor Directions de départements impliqués Consultant
Impacts du SOD sur le système d’information Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model23
Impact sur le système d’information Source : ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties24 SOD Contraintes & Contrôles Hiérarchie Héritage Utilisateur Roles Sessions Attribution Activation de rôles Ouverture d’une session Opérations Activités Fonctions Objets Classes d’objets (spécialisation) Autorisations Créer Modifier Supprimer Autorisations Créer Modifier Supprimer Décomposition PERMISSIONS Référentiel RH
Impact sur le système d’information • Utilisateur  Un individu, une personne connue du service RH ayant un contrat avec l’entreprise : salarié ou prestataire • Rôle  Une fonction reconnue dans l’entreprise ou un groupe d’actions permettant de réaliser une fonction.  Exemple : « responsable achat d’un groupe de produits » ou « Contrôle des encaissements » • Opération  Action possible sur les données du système d’information : créer, modifier, supprimer, contrôler, valider, abandonner, refuser...  Cela peut correspondre à une fonctionnalité du logiciel • Session  Accès à une application par un utilisateur.Une session active un ou plusieurs rôles et permet l’obtention de permissions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties25 • Permission  Autorisation d’activer une opération sur un objet ou une classe d’objets au travers d’une application • Objets  Données ou « assets » (actifs) ayant de la valeur pour l’entreprise  Exemple : Dossier patient, Equipements, Produits chimiques, Brevet, Encaissements, Abonnements, Commandes clients ou fournisseurs… • Classes d’objet :  Un objet se décompose sur plusieurs niveaux en classes d’objets.  Typologie  Equipement médical  Béquilles, Lits médicalisés, Fauteuils, Perfusions  Produits chimiques  Matières actives (MA), MA Herbicides, MA Fongicides, MA Insecticide, solvants, charges, dispersants…
Focus sur les outils informatiques • Pas de comptes et mots de passe groupés pour les utilisateurs • Surveillance des comptes administrateurs Etablir une liste à jour des personnes ayant connaissance et usage de ces comptes. Changer mensuellement tous les mots de passe. • Homologuer le code et les applicatifs livrés  Rechercher les « codes malins » par du test et de la revue de code • Segmentation des accès selon les environnements Segmenter les environnement et les protéger physiquement : Développement, Tests et Production. Pas d’accès à l‘environnement de production aux personnes réalisant le développement et les tests Seules les personnes devant réaliser des actions opérationelles sur les environnements de production ont accès aux machines, bases de données, firewall, composants réseaux… Traçabilité totale des actions et connexions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties26
Focus sur les outils informatiques • Les spécifications des solutions doivent être revues Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) • Les solutions informatiques doivent être testées Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties27
Préparer le déploiement Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model28
Préparer le déploiement │ Plan de transformation • Adopter une vision pragmatique des actions à mener • Piloter la transformation comme un projet V1.0 Février 2016 Blue Jigsaw Competensis - Business Model29 Mesurer les impacts des changement Créer la vision Lancer le projet de transformation Transformer Piloter Organisation •Postes, compétences attendues •Outils, SI •Procédures, modes opératoires •Besoins de formation Communiquer sur les raisons du changement •S’appuyer sur les relais, participants aux ateliers •Montrer les risques à « ne pas faire » et les risques ou difficultés « à faire » Organiser le projet de transformation •Actions requises •Coûts, charge, délais •Parties-prenantes •Planifier, piloter Déploiement •« technique » des outils •Formation des utilisateurs •Mettre en place la nouvelle organisation (si requis) Mesurer l’avancement •Démontrer l’apport de valeur (gains) •Communiquer les réussites •Prendre les actions et mesures correctives quand nécessaire •Mesurer les freins et opportunités au changement
Préparer le déploiement │ Plan de formation • Si requis, à mesurer au démarrage du projet • Communiquer sur les objectifs de formation : outils, activités opérationnelles • Elaborer le plan de formation • Produire les supports de formation • Mettre en œuvre Interne ou externe Organiser et planifier les formations • Mesurer l’efficacité V1.0 Février 2016 Blue Jigsaw Competensis - Business Model30
Préparer le déploiement │ Plan de communication • Dès le lancement du projet • Nombreux supports de communication Interventions en réunions d’équipe ou réunions de service Journal d’entreprise Echanges et communication plus informelle, lors des temps de pause • Appels à candidature pour participer aux ateliers Laisser les contributions le plus libres et ouvertes possibles • Démontrer l’ouverture, l’écoute et la recherche de consensus • Toujours présenter les risques « à ne pas faire » et les risques « à faire » V1.0 Février 2016 Blue Jigsaw Competensis - Business Model31
Sources • ISACA • Enhancing ITGovernanceWith aSimplified Approach to Segregation of Duties, Kevin Kobelsky • ImplementingSegregation of Duties, ISACAJOURNALVOL 3 • ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties32
Contact : Christine Dessus www.competensis.com chdessus@competensis.com 06 31 09 73 54 33 V1.0 MARS 2016 Blue Jigsaw Competensis - Business Model

Empfohlen

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaire
Didier Labonte
 
La gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode AgileLa gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode Agile
Agile Montréal
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Fiche contenu note de cadrage
Fiche contenu note de cadrageFiche contenu note de cadrage
Fiche contenu note de cadrage
Chef De Projet Détendu
 
Présentation kaizen
Présentation kaizenPrésentation kaizen
Présentation kaizen
LafargeHolcim
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Gestion de connaissances dans l'industrie du logiciel ...
Gestion de connaissances dans l'industrie du logiciel ...Gestion de connaissances dans l'industrie du logiciel ...
Gestion de connaissances dans l'industrie du logiciel ...
guypacome
 

Empfohlen

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaire
Didier Labonte
 
La gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode AgileLa gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode Agile
Agile Montréal
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Fiche contenu note de cadrage
Fiche contenu note de cadrageFiche contenu note de cadrage
Fiche contenu note de cadrage
Chef De Projet Détendu
 
Présentation kaizen
Présentation kaizenPrésentation kaizen
Présentation kaizen
LafargeHolcim
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Gestion de connaissances dans l'industrie du logiciel ...
Gestion de connaissances dans l'industrie du logiciel ...Gestion de connaissances dans l'industrie du logiciel ...
Gestion de connaissances dans l'industrie du logiciel ...
guypacome
 
Diaporama archivage electronique
Diaporama archivage electroniqueDiaporama archivage electronique
Diaporama archivage electronique
Vanessa GENDRIN
 
Lean management
Lean managementLean management
Lean management
Pascal Méance
 
43 projets Lean Six Sigma - Etude 2008
43 projets Lean Six Sigma - Etude 200843 projets Lean Six Sigma - Etude 2008
43 projets Lean Six Sigma - Etude 2008
Laurent
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
Aymen Foudhaili
 
Diaporama GED-SAE
Diaporama GED-SAEDiaporama GED-SAE
Diaporama GED-SAE
inforoutes
 
Gestion de la qualite
Gestion de la qualiteGestion de la qualite
Gestion de la qualite
Aymen Foudhaili
 
management stratégique
management stratégique management stratégique
management stratégique
AmeniBoubaker2
 
Management des risques
Management des risques Management des risques
Management des risques
Pasteur_Tunis
 
Contrôle de gestion
Contrôle de gestionContrôle de gestion
Contrôle de gestion
Khalid Bechtaoui
 
LE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUELE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUE
Khaled Fayala
 
cours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptxcours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptx
NawalOuzellal1
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
Rémi Bachelet
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Systheme de controle interne
Systheme de controle interneSystheme de controle interne
Systheme de controle interne
ALPHACOUL
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
Carine Pascal
 
L’apport des techniques statistiques dans les projets Lean 6 Sigma
L’apport des techniques statistiques dans les projets Lean 6 SigmaL’apport des techniques statistiques dans les projets Lean 6 Sigma
L’apport des techniques statistiques dans les projets Lean 6 Sigma
XL Formation
 
8D : Méthode de résolution de problèmes
8D : Méthode de résolution de problèmes8D : Méthode de résolution de problèmes
8D : Méthode de résolution de problèmes
Gestion Projet Automobile
 
100527 Gestion électronique des documents
100527 Gestion électronique des documents100527 Gestion électronique des documents
100527 Gestion électronique des documents
COMPETITIC
 
Présentation fiabilité
Présentation fiabilitéPrésentation fiabilité
Présentation fiabilité
Serrerom
 
PRINCE2 - Reading notes
PRINCE2 - Reading notesPRINCE2 - Reading notes
PRINCE2 - Reading notes
COMPETENSIS
 
Government and SOX Compliance for ERP Systems
Government and SOX Compliance for ERP SystemsGovernment and SOX Compliance for ERP Systems
Government and SOX Compliance for ERP Systems
Dan Aldridge, ERP Software Evangelist, LION
 

Weitere ähnliche Inhalte

Was ist angesagt?

100527 Gestion électronique des documents
100527 Gestion électronique des documents100527 Gestion électronique des documents
100527 Gestion électronique des documents
COMPETITIC
 

Was ist angesagt? (20)

Diaporama archivage electronique
Diaporama archivage electroniqueDiaporama archivage electronique
Diaporama archivage electronique
 
Lean management
Lean managementLean management
Lean management
 
43 projets Lean Six Sigma - Etude 2008
43 projets Lean Six Sigma - Etude 200843 projets Lean Six Sigma - Etude 2008
43 projets Lean Six Sigma - Etude 2008
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Diaporama GED-SAE
Diaporama GED-SAEDiaporama GED-SAE
Diaporama GED-SAE
 
Gestion de la qualite
Gestion de la qualiteGestion de la qualite
Gestion de la qualite
 
management stratégique
management stratégique management stratégique
management stratégique
 
Management des risques
Management des risques Management des risques
Management des risques
 
Contrôle de gestion
Contrôle de gestionContrôle de gestion
Contrôle de gestion
 
LE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUELE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUE
 
cours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptxcours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptx
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Systheme de controle interne
Systheme de controle interneSystheme de controle interne
Systheme de controle interne
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
L’apport des techniques statistiques dans les projets Lean 6 Sigma
L’apport des techniques statistiques dans les projets Lean 6 SigmaL’apport des techniques statistiques dans les projets Lean 6 Sigma
L’apport des techniques statistiques dans les projets Lean 6 Sigma
 
8D : Méthode de résolution de problèmes
8D : Méthode de résolution de problèmes8D : Méthode de résolution de problèmes
8D : Méthode de résolution de problèmes
 
100527 Gestion électronique des documents
100527 Gestion électronique des documents100527 Gestion électronique des documents
100527 Gestion électronique des documents
 
Présentation fiabilité
Présentation fiabilitéPrésentation fiabilité
Présentation fiabilité
 

Andere mochten auch

Étapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateurÉtapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateur
lmproulx
 
Po report 5 - Role Conflict
Po report 5 - Role ConflictPo report 5 - Role Conflict
Po report 5 - Role Conflict
Syaff Hk
 
Peoplesoft Basic App designer
Peoplesoft Basic App designerPeoplesoft Basic App designer
Peoplesoft Basic App designer
mbtechnosolutions
 
Segregation of Duties Solutions
Segregation of Duties SolutionsSegregation of Duties Solutions
Segregation of Duties Solutions
Ahmed Abdul Hamed
 

Andere mochten auch (20)

PRINCE2 - Reading notes
PRINCE2 - Reading notesPRINCE2 - Reading notes
PRINCE2 - Reading notes
 
Government and SOX Compliance for ERP Systems
Government and SOX Compliance for ERP SystemsGovernment and SOX Compliance for ERP Systems
Government and SOX Compliance for ERP Systems
 
REX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outilsREX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outils
 
Étapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateurÉtapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateur
 
Po report 5 - Role Conflict
Po report 5 - Role ConflictPo report 5 - Role Conflict
Po report 5 - Role Conflict
 
Scrum Book Of Knowledge - Reading Notes, Part#1
Scrum Book Of Knowledge - Reading Notes, Part#1Scrum Book Of Knowledge - Reading Notes, Part#1
Scrum Book Of Knowledge - Reading Notes, Part#1
 
Peoplesoft Basic App designer
Peoplesoft Basic App designerPeoplesoft Basic App designer
Peoplesoft Basic App designer
 
People soft basics
People soft basicsPeople soft basics
People soft basics
 
Security & Segregation of Duties for PeopleSoft
Security & Segregation of Duties for PeopleSoftSecurity & Segregation of Duties for PeopleSoft
Security & Segregation of Duties for PeopleSoft
 
Profiling for SAP - Compliance Management, Access Control and Segregation of ...
Profiling for SAP - Compliance Management, Access Control and Segregation of ...Profiling for SAP - Compliance Management, Access Control and Segregation of ...
Profiling for SAP - Compliance Management, Access Control and Segregation of ...
 
Effective Segregation of Duties for PeopleSoft 2011-02-23
Effective Segregation of Duties for PeopleSoft 2011-02-23Effective Segregation of Duties for PeopleSoft 2011-02-23
Effective Segregation of Duties for PeopleSoft 2011-02-23
 
Automating PeopleSoft Segregation of Duties: HCM and Financials
Automating PeopleSoft Segregation of Duties: HCM and FinancialsAutomating PeopleSoft Segregation of Duties: HCM and Financials
Automating PeopleSoft Segregation of Duties: HCM and Financials
 
Segregation of Duties Solutions
Segregation of Duties SolutionsSegregation of Duties Solutions
Segregation of Duties Solutions
 
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015 Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
 
Segregation of Duties and Continuous Delivery
Segregation of Duties and Continuous DeliverySegregation of Duties and Continuous Delivery
Segregation of Duties and Continuous Delivery
 
Ppt Of Peoplesoft
Ppt Of PeoplesoftPpt Of Peoplesoft
Ppt Of Peoplesoft
 
IIBA Initiation au Business Analysis Book of Knowledge V2
IIBA Initiation au Business Analysis Book of Knowledge V2IIBA Initiation au Business Analysis Book of Knowledge V2
IIBA Initiation au Business Analysis Book of Knowledge V2
 
De l'expression de besoins vers spécifications de la solution
De l'expression de besoins vers spécifications de la solutionDe l'expression de besoins vers spécifications de la solution
De l'expression de besoins vers spécifications de la solution
 
Synthèse : démarche de mise en oeuvre d'un portefeuille projets
Synthèse : démarche de mise en oeuvre d'un portefeuille projetsSynthèse : démarche de mise en oeuvre d'un portefeuille projets
Synthèse : démarche de mise en oeuvre d'un portefeuille projets
 
Tests & recette - Les fondamentaux
Tests & recette - Les fondamentauxTests & recette - Les fondamentaux
Tests & recette - Les fondamentaux
 

Ähnlich wie SOD Segregation Of Duties - Séparation de Droits et Responsabilités

Tableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entrepriseTableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Software
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informations
Reda Hassani
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
hajarbouladass
 

Ähnlich wie SOD Segregation Of Duties - Séparation de Droits et Responsabilités (20)

Présentation BlueKanGo - Performance stratégique et Management QHSE
Présentation BlueKanGo - Performance stratégique et Management QHSE Présentation BlueKanGo - Performance stratégique et Management QHSE
Présentation BlueKanGo - Performance stratégique et Management QHSE
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
 
Tableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entrepriseTableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entreprise
 
Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1
 
[2]bis
[2]bis[2]bis
[2]bis
 
6bestpracticeseffectivedashboards loc fr-fr
6bestpracticeseffectivedashboards loc fr-fr6bestpracticeseffectivedashboards loc fr-fr
6bestpracticeseffectivedashboards loc fr-fr
 
Gestion et Finance - Sage - Consolidez vos systems informatiques
Gestion et Finance - Sage - Consolidez vos systems informatiquesGestion et Finance - Sage - Consolidez vos systems informatiques
Gestion et Finance - Sage - Consolidez vos systems informatiques
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informations
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
L’informatique efficience
L’informatique efficienceL’informatique efficience
L’informatique efficience
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
12 conseils et meilleures pratiques pour la gestion des services informatiques
12 conseils et meilleures pratiques pour la gestion des services informatiques12 conseils et meilleures pratiques pour la gestion des services informatiques
12 conseils et meilleures pratiques pour la gestion des services informatiques
 
Décisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succèsDécisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succès
 
Offres starter lotuslive
Offres starter lotusliveOffres starter lotuslive
Offres starter lotuslive
 
Agil organisationnelle dg_sept_2018
Agil organisationnelle dg_sept_2018Agil organisationnelle dg_sept_2018
Agil organisationnelle dg_sept_2018
 
Logiciel Efficient 360
Logiciel Efficient 360Logiciel Efficient 360
Logiciel Efficient 360
 
Mise en place d&rsquo;un Systéme d’Information (SI) en PME
Mise en place d&rsquo;un Systéme d’Information (SI) en PMEMise en place d&rsquo;un Systéme d’Information (SI) en PME
Mise en place d&rsquo;un Systéme d’Information (SI) en PME
 

Mehr von COMPETENSIS

Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
COMPETENSIS
 
Value analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modelingValue analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modeling
COMPETENSIS
 

Mehr von COMPETENSIS (20)

Déployer ArchiMate Prez ADIRA 23 nov. 2023
Déployer ArchiMate Prez ADIRA 23 nov. 2023 Déployer ArchiMate Prez ADIRA 23 nov. 2023
Déployer ArchiMate Prez ADIRA 23 nov. 2023
 
ArchiMate 3.2 Nouvelle version
ArchiMate 3.2 Nouvelle version ArchiMate 3.2 Nouvelle version
ArchiMate 3.2 Nouvelle version
 
ArchiMate technology layer - Simplify the models
ArchiMate technology layer - Simplify the modelsArchiMate technology layer - Simplify the models
ArchiMate technology layer - Simplify the models
 
ArchiMate application and data architecture layer - Simplify the models
ArchiMate application and data architecture layer - Simplify the modelsArchiMate application and data architecture layer - Simplify the models
ArchiMate application and data architecture layer - Simplify the models
 
Business Composability
Business ComposabilityBusiness Composability
Business Composability
 
From Business model to Capability Map
From Business model to Capability Map From Business model to Capability Map
From Business model to Capability Map
 
STRATEGIE - Guide de survie en Business Architecture n°3
STRATEGIE - Guide de survie en Business Architecture n°3STRATEGIE - Guide de survie en Business Architecture n°3
STRATEGIE - Guide de survie en Business Architecture n°3
 
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
 
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
 
ARCHIMATE Physical layer "My Little PanCake Factory"
ARCHIMATE Physical layer "My Little PanCake Factory"ARCHIMATE Physical layer "My Little PanCake Factory"
ARCHIMATE Physical layer "My Little PanCake Factory"
 
ArchiMate 3.1 Physical layer
ArchiMate 3.1 Physical layerArchiMate 3.1 Physical layer
ArchiMate 3.1 Physical layer
 
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
 
Value analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modelingValue analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modeling
 
Modéliser avec ARCHIMATE 3.1®
Modéliser avec ARCHIMATE 3.1®Modéliser avec ARCHIMATE 3.1®
Modéliser avec ARCHIMATE 3.1®
 
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATEMachine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
 
2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
2019 07 Bizbok with Archimate 3 v3 [UPDATED !] 2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
 
Chiffrer - Evaluer la charge d'une activité ou d'un projet
Chiffrer - Evaluer la charge d'une activité ou d'un projetChiffrer - Evaluer la charge d'une activité ou d'un projet
Chiffrer - Evaluer la charge d'une activité ou d'un projet
 
Le Pensum du DSI
Le Pensum du DSILe Pensum du DSI
Le Pensum du DSI
 
DEVOPS - La synthèse
DEVOPS - La synthèseDEVOPS - La synthèse
DEVOPS - La synthèse
 
Sensibilisation à ITIL V3
Sensibilisation à ITIL V3Sensibilisation à ITIL V3
Sensibilisation à ITIL V3
 

SOD Segregation Of Duties - Séparation de Droits et Responsabilités

  • 2. Licence • Ce document est sous licence « CREATIVE COMMONS » • Pas d’utilisation commerciale • Partage dans les mêmes conditions http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties2
  • 3. Empêcher les fraudes, conflits d’intérêt et erreurs humaines • Cas d’usage : Un audit externe ou interne montre des non-conformités liées à la séparation des droits et responsabilités (Segregation Of Duties). • Les non-conformités doivent être résorbées par la mise en œuvre de la «Segregation of Duties » à plusieurs niveaux : Organisation, processus, activités Référentiel RH des postes et responsabilités Droits d’accès et d’usage du système d’information des utilisateurs, Droits d’accès aux différents environnements et couches techniques du système d’information par les administrateurs informatiques (externes ou internes) Dans certains cas, au niveau des autorisations d’accès physique aux bâtiments. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties3 Vos Enjeux
  • 4. Références du consultant sollicité Le consultant sollicité a déjà mis en œuvre la « Séparation des droits et responsabilités » (SOD) au travers des missions suivantes : V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties4 Responsable informatique R&D Grand groupe chimique • Mise en œuvre des référentiels « bonnes pratiques », vérification et validation des logiciels, séparation des droits et responsabilités • Audits internes des études réglementaires et des outils déployés : logiciels et équipements de laboratoires, robotique, SI scientifique, logistique et financier du centre de recherche. • Audits externes par l’UIC du respect des bonnes pratiques, appliquées aux instruments de laboratoires, système d’information. Contrôle de la séparation des droits, dans le cadre des études réglementaires. • Audits de contrôles de la sécurité du territoire dont contrôle de la séparation des droits et d’usage des outils informatiques • Audits financiers dans le cadre de SabanneOxley dont contrôles de la séparation des droits. Réorganisation d’une direction IT de <1000 personnes, groupe industriel, énergie • Modélisation des processus, activités, données, rôles, tâches et système d’information • Appui à la construction de l’organisation en identifiant les rôles de contrôle et vérification • Mise en œuvre de la ségrégation des droits et responsabilités (SOD) au sein des processus et outils informatiques PME Dispositifs médicaux • Mise en œuvre du SOD à partir des fiches de postes de l’entreprise.
  • 5. Segregation Of Duties Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties5
  • 6. Définition : Segregation of Duties • En français, séparation des responsabilités et des droits • Objectif : Supprimer les risques de conflits d’intérêt, fraude ou erreurs • Activité centrale pour le respect de réglementations • Séparation entre plusieurs personnes des responsabilités : une personne seule ne peut effectuer ou masquer des actions de fraude ou des erreurs • La séparation des responsabilités doit être démontrée. La charge de la preuve incombe à l’entreprise et son représentant légal. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties6
  • 7. Secteurs concernés par le SOD • Tout secteur réglementé  Banques, assurances, fabrication des cartes de paiement  Energie, chimie (Ceveso)  Chimie, pharmacie (Bonnes pratiques)  Dispositifs médicaux  Alimentaires, restaurants (HAP pour les aliments)  Agriculture, élevage & abattage  Télécommunications  Transports : train, avion, camion, transports de personnes  Opérations douanières  Toutes opérations financières (Sarbanne Oxley) pour les sociétés cotées en bourse  … • Quelque soit la taille de l’entreprise. C’est l’appartenance au secteur d’activité qui conditionne l’application des règles. • Sans oublier les fonctions RH et comptables de toute entreprise • Très pratiqué dans le cadre de mise en œuvre du cloud (SaaS, IaaS…) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties7
  • 8. Définir « Critique » et « sensible » ? • Respect de la réglementation • Sécurité des employés • Sécurité des patients • Sécurité environnementale • Continuité d’activité • Image de marque • Impact financier direct… Niveaux de séparation V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties8 • Définir les normes, règles à appliquer (gouvernance) : Qui peut demander l’enregistrement d’une nouvelle donnée ? Qui autorise la mise à jour ? Qui est responsable du maintien des données ? Qui contrôle les mises à jour ? • Sur les données, les processus, activités et systèmes critiques, sensibles Définir critiques & sensibles • Effectuer des contrôles réguliers (audits internes)
  • 9. Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties9 • Rechercher les conflits d’intérêts et les incohérences • Justifier lorsque l’on maintient un conflit d’intérêt ou une incohérence • Surveiller les usages Processus Activités (et tâches) Rôles Description de postes Fonctions Activités (et tâches) Solutions informatiques Profils Utilisateurs Droits d’usage (activités autorisées) Organisation décrite Organisation mise en œuvre Fonctions & Responsabilités Usages des outils informatiques Activités réalisées (sessions) Solutions informatiques Solutions informatiques
  • 10. Vos processus ne sont pas modélisés ou ne sont plus à jour ? • Nous modélisons en quelques jours les fonctions critiques de votre entreprise. • « BusinessAnchor Model » (source : OpenGroup,TOGAF) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties10
  • 11. Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties11 Processus & activités Fonctions Critiques Référentiel RH Description de postes Solutions informatiques Autorisations d’accès Rechercher les incohérences croisées Exemple : affaire Kerviel
  • 12. Audits internes & externes Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model12
  • 13. Points communs à toutes les réglementations • Traçabilité des changements dans le système d’information  Audit-trail : horodaté (date, heure, minute, seconde et milliseconde), version des données avant et après, identifiant de l’utilisateur, rôle, raison de la modification  Tracer les sessions des utilisateurs et leurs actions  impact fort sur le développement applicatif • Traçabilité des utilisateurs  1 utilisateur = 1 personne connue dans le référentiel RH (employé) ou ACHAT (prestataire)  Pas de compte groupé, même pour des besoins de service.  Surveillance accrue des comptes administrateurs et mots de passe (informaticiens) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties13 • Rédiger une « politique », norme propre à l’entreprise et faisant référence aux réglementations en vigueur  Pour démontrer la volonté de respect dans la mise en œuvre de la réglementation  Donner son « interprétation » du texte dans les processus et activités de l’entreprise • Mettre en œuvre un système qualité  Organiser des contrôles et audits internes s’appuyant sur les principes mis en œuvre (politique)  Mettre en place une boucle d’amélioration continue : chaque non-conformité donne lieu à un plan d’action visant à améliorer le respect de la règle.  Suivre les plans d’actions de traitement des non- conformités et amélioration continue.
  • 14. Organiser les audits internes Anticiper les audits externes • 2 types d’audit Vérifier que la politique d’entreprise respecte les attendus de la réglementation Vérifier que la politique d’entreprise est mise en œuvre • L’audit interne vérifie que la politique d’entreprise est mise en œuvre. • L’audit externe couvre les 2 aspects : politique interne et attendus de la réglementation. • Tout audit doit donner lieu à un plan d’actions et au suivi de sa mise en œuvre dans un délais court (<3 mois) : L’action doit démarrer rapidement Son résultat peut excéder 3 mois. Dans ce cas des audits de contrôle sont définis. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties14
  • 15. Audits et contrôles internes • Définir une politique de contrôles récurrents des conflits d’intérêt Audits internes récurrents : tous les 12 à 24 mois Tracer les changements d’affectation Tracer les droits d’usage des solutions informatique Pour chaque nouveau droit d’usage d’une solution applicative, vérifier avec la fonction RH les incohérences et conflits d’intérêt possibles. Documenter : dire ce que vous mettez en place et réaliser ce que vous avez mis en place V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties15
  • 16. Recommandations de mise en oeuvre Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties16
  • 17. Cadrer le projet │Développer la vision d’ensemble du projet Développer la vision d’ensemble • Définir les principes directeurs : enjeux, objectifs et décisions managériales • Définir la cible et la trajectoire vers la cible • Analyse Forces/Faiblesses/Menaces/Opportunités • Organiser les ateliers de travail et attribuer les responsabilités. • Contenu du plan de cadrage : • Périmètre (fonctions, activités, outils, données critiques) • Livrables • Planning • Instances de suivi • Rôles & responsabilités • Organiser la réunion de lancement V1.0 Février 2016 Blue Jigsaw Competensis - Business Model17 Définir les responsabilités • Sponsor du projet  Définir les principes directeurs  S’assurer de la réalisation de la valeur attendue et de l’atteinte des objectifs du projet • PMO :  Rédiger les feuilles de route des ateliers avec le support du consultant externe  Planifier les ateliers et réunions  Suivre l’avancement des réalisations et l’atteinte des objectifs  Participer aux revues, rétrospectives et challenges • Consultant externe  Production des livrables  Préparation, animation et conduite des ateliers
  • 18. Mesurer les risques de conflits d’intérêt 1. Activités critiques 2. Données critiques 3. Assets/Actifs ayant de la valeur 4. Revue du référentiel RH 5. Solutions informatiques 6. Rapports des incohérences et conflits d’intérêt 7. Plan d’actions et sécurisation Principesdemiseenœuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties18 • Postes, Fonctions, Responsabilités • Activités menées • Outils SI utilisés • Outils et fonctions utilisées • Cohérence avec le référentiel RH Si disponible, intégrer une phase de recherche d’incohérences dans le référentiel des processus de l’entreprise
  • 19. Plan de mise en œuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties19 Vision Business & RH •Inventorier données, transactions informatiques, postes & fonctions, activités critiques •Mesurer Risques & Impacts Vision Technique •Systèmes •Profils d’utilisateurs •Tâches et activités Vérifier •Cahier de recette •Rechercher les incohérences Transformer •Réviser les responsabilités RH •Réviser les profils d’utilisateurs •Mettre à jour les processus Livrables majeurs • Matrices d’incompatibilité  Processus :Tâches XTâches  Postes RH : ActivitésX Activités  Système d’information : Droits d’accèsX Droits d’Accès  MatricesCroisées :Tâches X ActivitésX Droits d’accès Livrables majeurs • Relevés d’incohérences après vérification • Plans d’actions pour résorber les incohérences • Rituels de suivi
  • 20. Synoptique V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties20 2 semaines 1 matrice 2 semaines 3 semaines 2 matrices 3 réunions Brainstorming & challenge 3 mois 3 semaines Relevés des incohérences Cadrage Vision Business & RH Vision Technique Vérifier Transformer Matrices d’incompatibilités Relevés des incompatibilités constatées Lancement Transformation & Déploiement
  • 21. Piloter le projet Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model21
  • 22. Pilotage du projet • Dès le lancement du projet, mettre en place les comités de suivi, comme pour tout projet : V1.0 Février 2016 Blue Jigsaw Competensis - Business Model22 Comité Objectifs Responsabilités Réunion de lancement Lancer le projet Présenter les attendus et l’organisation mise en place PMO Sponsor Directions de départements impliqués Consultant Comité opérationnel, Comité de projet Suivi opérationnel des réalisations Hebdomadaire à mensuel PMO Consultant Comité de pilotage Comité de direction Comité d’engagement Suivre la mise en œuvre des principes directeurs de la mission Vérifier l’apport de valeur pour l’organisation Prendre les décisions stratégiques Mensuel à Trimestriel PMO Sponsor Directions de départements impliqués Consultant
  • 23. Impacts du SOD sur le système d’information Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model23
  • 24. Impact sur le système d’information Source : ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties24 SOD Contraintes & Contrôles Hiérarchie Héritage Utilisateur Roles Sessions Attribution Activation de rôles Ouverture d’une session Opérations Activités Fonctions Objets Classes d’objets (spécialisation) Autorisations Créer Modifier Supprimer Autorisations Créer Modifier Supprimer Décomposition PERMISSIONS Référentiel RH
  • 25. Impact sur le système d’information • Utilisateur  Un individu, une personne connue du service RH ayant un contrat avec l’entreprise : salarié ou prestataire • Rôle  Une fonction reconnue dans l’entreprise ou un groupe d’actions permettant de réaliser une fonction.  Exemple : « responsable achat d’un groupe de produits » ou « Contrôle des encaissements » • Opération  Action possible sur les données du système d’information : créer, modifier, supprimer, contrôler, valider, abandonner, refuser...  Cela peut correspondre à une fonctionnalité du logiciel • Session  Accès à une application par un utilisateur.Une session active un ou plusieurs rôles et permet l’obtention de permissions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties25 • Permission  Autorisation d’activer une opération sur un objet ou une classe d’objets au travers d’une application • Objets  Données ou « assets » (actifs) ayant de la valeur pour l’entreprise  Exemple : Dossier patient, Equipements, Produits chimiques, Brevet, Encaissements, Abonnements, Commandes clients ou fournisseurs… • Classes d’objet :  Un objet se décompose sur plusieurs niveaux en classes d’objets.  Typologie  Equipement médical  Béquilles, Lits médicalisés, Fauteuils, Perfusions  Produits chimiques  Matières actives (MA), MA Herbicides, MA Fongicides, MA Insecticide, solvants, charges, dispersants…
  • 26. Focus sur les outils informatiques • Pas de comptes et mots de passe groupés pour les utilisateurs • Surveillance des comptes administrateurs Etablir une liste à jour des personnes ayant connaissance et usage de ces comptes. Changer mensuellement tous les mots de passe. • Homologuer le code et les applicatifs livrés  Rechercher les « codes malins » par du test et de la revue de code • Segmentation des accès selon les environnements Segmenter les environnement et les protéger physiquement : Développement, Tests et Production. Pas d’accès à l‘environnement de production aux personnes réalisant le développement et les tests Seules les personnes devant réaliser des actions opérationelles sur les environnements de production ont accès aux machines, bases de données, firewall, composants réseaux… Traçabilité totale des actions et connexions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties26
  • 27. Focus sur les outils informatiques • Les spécifications des solutions doivent être revues Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) • Les solutions informatiques doivent être testées Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties27
  • 28. Préparer le déploiement Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model28
  • 29. Préparer le déploiement │ Plan de transformation • Adopter une vision pragmatique des actions à mener • Piloter la transformation comme un projet V1.0 Février 2016 Blue Jigsaw Competensis - Business Model29 Mesurer les impacts des changement Créer la vision Lancer le projet de transformation Transformer Piloter Organisation •Postes, compétences attendues •Outils, SI •Procédures, modes opératoires •Besoins de formation Communiquer sur les raisons du changement •S’appuyer sur les relais, participants aux ateliers •Montrer les risques à « ne pas faire » et les risques ou difficultés « à faire » Organiser le projet de transformation •Actions requises •Coûts, charge, délais •Parties-prenantes •Planifier, piloter Déploiement •« technique » des outils •Formation des utilisateurs •Mettre en place la nouvelle organisation (si requis) Mesurer l’avancement •Démontrer l’apport de valeur (gains) •Communiquer les réussites •Prendre les actions et mesures correctives quand nécessaire •Mesurer les freins et opportunités au changement
  • 30. Préparer le déploiement │ Plan de formation • Si requis, à mesurer au démarrage du projet • Communiquer sur les objectifs de formation : outils, activités opérationnelles • Elaborer le plan de formation • Produire les supports de formation • Mettre en œuvre Interne ou externe Organiser et planifier les formations • Mesurer l’efficacité V1.0 Février 2016 Blue Jigsaw Competensis - Business Model30
  • 31. Préparer le déploiement │ Plan de communication • Dès le lancement du projet • Nombreux supports de communication Interventions en réunions d’équipe ou réunions de service Journal d’entreprise Echanges et communication plus informelle, lors des temps de pause • Appels à candidature pour participer aux ateliers Laisser les contributions le plus libres et ouvertes possibles • Démontrer l’ouverture, l’écoute et la recherche de consensus • Toujours présenter les risques « à ne pas faire » et les risques « à faire » V1.0 Février 2016 Blue Jigsaw Competensis - Business Model31
  • 32. Sources • ISACA • Enhancing ITGovernanceWith aSimplified Approach to Segregation of Duties, Kevin Kobelsky • ImplementingSegregation of Duties, ISACAJOURNALVOL 3 • ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties32
  • 33. Contact : Christine Dessus www.competensis.com chdessus@competensis.com 06 31 09 73 54 33 V1.0 MARS 2016 Blue Jigsaw Competensis - Business Model