SOD Segregation Of Duties - Séparation de Droits et Responsabilités

Blue Jigsaw
Competensis
Christine Dessus
chdessus@competensis.com
+336 31 09 73 54
www.competensis.com

Licence
• Ce document est sous licence « CREATIVE COMMONS »
• Pas d’utilisation commerciale
• Partage dans les mêmes conditions
http://creativecommons.org/licenses/by-nc-sa/3.0/fr/
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties2

Empêcher les fraudes, conflits d’intérêt et
erreurs humaines
• Cas d’usage :
Un audit externe ou interne montre des non-conformités liées à la
séparation des droits et responsabilités (Segregation Of Duties).
• Les non-conformités doivent être résorbées par la mise en
œuvre de la «Segregation of Duties » à plusieurs niveaux :
Organisation, processus, activités
Référentiel RH des postes et responsabilités
Droits d’accès et d’usage du système d’information des utilisateurs,
Droits d’accès aux différents environnements et couches techniques du
système d’information par les administrateurs informatiques (externes ou
internes)
Dans certains cas, au niveau des autorisations d’accès physique aux
bâtiments.
Vos
Enjeux

Références du consultant sollicité
Le consultant sollicité a déjà mis en œuvre la « Séparation des droits et
responsabilités » (SOD) au travers des missions suivantes :
Responsable informatique R&D Grand groupe chimique
• Mise en œuvre des référentiels « bonnes pratiques »,
vérification et validation des logiciels, séparation des
droits et responsabilités
• Audits internes des études réglementaires et des outils
déployés : logiciels et équipements de laboratoires,
robotique, SI scientifique, logistique et financier du centre
de recherche.
• Audits externes par l’UIC du respect des bonnes pratiques,
appliquées aux instruments de laboratoires, système
d’information. Contrôle de la séparation des droits, dans
le cadre des études réglementaires.
• Audits de contrôles de la sécurité du territoire dont
contrôle de la séparation des droits et d’usage des outils
informatiques
• Audits financiers dans le cadre de SabanneOxley dont
contrôles de la séparation des droits.
Réorganisation d’une direction IT de <1000
personnes, groupe industriel, énergie
• Modélisation des processus, activités, données,
rôles, tâches et système d’information
• Appui à la construction de l’organisation en
identifiant les rôles de contrôle et vérification
• Mise en œuvre de la ségrégation des droits et
responsabilités (SOD) au sein des processus et
outils informatiques
PME Dispositifs médicaux
• Mise en œuvre du SOD à partir des fiches de
postes de l’entreprise.

Segregation Of
Duties
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Segregation Of Duties5

Définition : Segregation of Duties
• En français, séparation des responsabilités et des droits
• Objectif : Supprimer les risques de conflits d’intérêt, fraude ou erreurs
• Activité centrale pour le respect de réglementations
• Séparation entre plusieurs personnes des responsabilités : une
personne seule ne peut effectuer ou masquer des actions de fraude ou
des erreurs
• La séparation des responsabilités doit être démontrée. La charge de la
preuve incombe à l’entreprise et son représentant légal.

Secteurs concernés par le SOD
• Tout secteur réglementé
 Banques, assurances, fabrication des cartes de paiement
 Energie, chimie (Ceveso)
 Chimie, pharmacie (Bonnes pratiques)
 Dispositifs médicaux
 Alimentaires, restaurants (HAP pour les aliments)
 Agriculture, élevage & abattage
 Télécommunications
 Transports : train, avion, camion, transports de personnes
 Opérations douanières
 Toutes opérations financières (Sarbanne Oxley) pour les sociétés cotées en bourse
 …
• Quelque soit la taille de l’entreprise. C’est l’appartenance au secteur
d’activité qui conditionne l’application des règles.
• Sans oublier les fonctions RH et comptables de toute entreprise
• Très pratiqué dans le cadre de mise en œuvre du cloud (SaaS, IaaS…)

Définir « Critique » et « sensible » ?
• Respect de la réglementation
• Sécurité des employés
• Sécurité des patients
• Sécurité environnementale
• Continuité d’activité
• Image de marque
• Impact financier direct…
Niveaux de séparation
• Définir les normes, règles à appliquer
(gouvernance) :
Qui peut demander l’enregistrement d’une
nouvelle donnée ?
Qui autorise la mise à jour ?
Qui est responsable du maintien des données ?
Qui contrôle les mises à jour ?
• Sur les données, les processus, activités et
systèmes critiques, sensibles
Définir critiques & sensibles
• Effectuer des contrôles réguliers (audits internes)

Où trouver les conflits d’intérêt ?
• Rechercher les conflits d’intérêts et les incohérences
• Justifier lorsque l’on maintient un conflit d’intérêt ou une incohérence
• Surveiller les usages
Processus
Activités
(et tâches)
Rôles
Description de
postes
Fonctions
Activités
(et tâches)
Solutions
informatiques
Profils Utilisateurs
Droits d’usage
(activités autorisées)
Organisation décrite
Organisation mise en œuvre
Fonctions &
Responsabilités
Usages des outils
informatiques
Activités réalisées
(sessions)
Solutions
informatiques
Solutions
informatiques

Vos processus ne sont pas modélisés ou ne sont
plus à jour ?
• Nous modélisons en quelques jours les fonctions critiques de votre entreprise.
• « BusinessAnchor Model » (source : OpenGroup,TOGAF)

Où trouver les conflits d’intérêt ?
Processus
& activités
Fonctions Critiques
Référentiel RH
Description de
postes
Solutions
informatiques
Autorisations
d’accès
Rechercher les
incohérences
croisées
Exemple : affaire Kerviel

Audits internes &
externes
Blue Jigsaw Competensis - Business Model12

Points communs à toutes les réglementations
• Traçabilité des changements dans le
système d’information
 Audit-trail : horodaté (date, heure, minute,
seconde et milliseconde), version des données
avant et après, identifiant de l’utilisateur, rôle,
raison de la modification
 Tracer les sessions des utilisateurs et leurs
actions  impact fort sur le développement
applicatif
• Traçabilité des utilisateurs
 1 utilisateur = 1 personne connue dans le
référentiel RH (employé) ou ACHAT (prestataire)
 Pas de compte groupé, même pour des besoins
de service.
 Surveillance accrue des comptes administrateurs
et mots de passe (informaticiens)
• Rédiger une « politique », norme propre à
l’entreprise et faisant référence aux
réglementations en vigueur
 Pour démontrer la volonté de respect dans la
mise en œuvre de la réglementation
 Donner son « interprétation » du texte dans les
processus et activités de l’entreprise
• Mettre en œuvre un système qualité
 Organiser des contrôles et audits internes
s’appuyant sur les principes mis en œuvre
(politique)
 Mettre en place une boucle d’amélioration
continue : chaque non-conformité donne lieu à
un plan d’action visant à améliorer le respect de
la règle.
 Suivre les plans d’actions de traitement des non-
conformités et amélioration continue.

Organiser les audits internes
Anticiper les audits externes
• 2 types d’audit
Vérifier que la politique d’entreprise respecte les attendus de la
réglementation
Vérifier que la politique d’entreprise est mise en œuvre
• L’audit interne vérifie que la politique d’entreprise est mise en
œuvre.
• L’audit externe couvre les 2 aspects : politique interne et
attendus de la réglementation.
• Tout audit doit donner lieu à un plan d’actions et au suivi de sa
mise en œuvre dans un délais court (<3 mois) :
L’action doit démarrer rapidement
Son résultat peut excéder 3 mois. Dans ce cas des audits de contrôle sont
définis.

Audits et contrôles internes
• Définir une politique de contrôles récurrents des conflits
d’intérêt
Audits internes récurrents : tous les 12 à 24 mois
Tracer les changements d’affectation
Tracer les droits d’usage des solutions informatique
Pour chaque nouveau droit d’usage d’une solution applicative,
vérifier avec la fonction RH les incohérences et conflits d’intérêt
possibles.
Documenter : dire ce que vous mettez en place et réaliser ce que
vous avez mis en place

Recommandations
de mise en oeuvre
Blue Jigsaw Competensis - Segregation Of Duties16

Cadrer le projet │Développer la vision d’ensemble du projet
Développer la vision d’ensemble
• Définir les principes directeurs : enjeux,
objectifs et décisions managériales
• Définir la cible et la trajectoire vers la cible
• Analyse
Forces/Faiblesses/Menaces/Opportunités
• Organiser les ateliers de travail et attribuer les
responsabilités.
• Contenu du plan de cadrage :
• Périmètre (fonctions, activités, outils, données critiques)
• Livrables
• Planning
• Instances de suivi
• Rôles & responsabilités
• Organiser la réunion de lancement
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model17
Définir les responsabilités
• Sponsor du projet
 Définir les principes directeurs
 S’assurer de la réalisation de la valeur attendue
et de l’atteinte des objectifs du projet
• PMO :
 Rédiger les feuilles de route des ateliers avec
le support du consultant externe
 Planifier les ateliers et réunions
 Suivre l’avancement des réalisations et
l’atteinte des objectifs
 Participer aux revues, rétrospectives et
challenges
• Consultant externe
 Production des livrables
 Préparation, animation et conduite des
ateliers

Mesurer
les risques
de conflits
d’intérêt
1. Activités
critiques
2. Données
critiques
3.
Assets/Actifs
ayant de la
valeur
4. Revue du
référentiel RH
5. Solutions
informatiques
6. Rapports
des
incohérences
et conflits
d’intérêt
7. Plan
d’actions et
sécurisation
Principesdemiseenœuvre
• Postes, Fonctions,
Responsabilités
• Activités menées
• Outils SI utilisés
• Outils et fonctions utilisées
• Cohérence avec le
référentiel RH
Si disponible,
intégrer une phase
de recherche
d’incohérences
dans le référentiel
des processus de
l’entreprise

Plan de mise en œuvre
Vision Business
& RH
•Inventorier données,
transactions
informatiques, postes
& fonctions, activités
critiques
•Mesurer Risques &
Impacts
Vision
Technique
•Systèmes
•Profils d’utilisateurs
•Tâches et activités
Vérifier
•Cahier de recette
•Rechercher les
incohérences
Transformer
•Réviser les
responsabilités RH
•Réviser les profils
d’utilisateurs
•Mettre à jour les
processus
Livrables majeurs
• Matrices d’incompatibilité
 Processus :Tâches XTâches
 Postes RH : ActivitésX Activités
 Système d’information : Droits
d’accèsX Droits d’Accès
 MatricesCroisées :Tâches X
ActivitésX Droits d’accès
Livrables majeurs
• Relevés d’incohérences après
vérification
• Plans d’actions pour résorber
les incohérences
• Rituels de suivi

Synoptique
2 semaines
1 matrice
2 semaines 3 semaines
2 matrices
3 réunions
Brainstorming & challenge
3 mois
3 semaines
Relevés des
incohérences
Cadrage
Vision Business & RH
Vision
Technique
Vérifier
Transformer
Matrices
d’incompatibilités
Relevés des
incompatibilités
constatées
Lancement Transformation
& Déploiement

Piloter le projet

Pilotage du projet
• Dès le lancement du projet, mettre en place les comités de
suivi, comme pour tout projet :
Comité Objectifs Responsabilités
Réunion de lancement Lancer le projet
Présenter les attendus et l’organisation mise en place
PMO
Sponsor
Directions de départements impliqués
Consultant
Comité opérationnel,
Comité de projet
Suivi opérationnel des réalisations
Hebdomadaire à mensuel
PMO
Consultant
Comité de pilotage
Comité de direction
Comité d’engagement
Suivre la mise en œuvre des principes directeurs de la mission
Vérifier l’apport de valeur pour l’organisation
Prendre les décisions stratégiques
Mensuel à Trimestriel
PMO
Sponsor
Directions de départements impliqués
Consultant

Impacts du SOD sur le
système d’information

Impact sur le système d’information
Source : ANSI INCITS 359-2004
SOD
Contraintes
& Contrôles
Hiérarchie
Héritage
Utilisateur Roles
Sessions
Attribution
Activation
de rôles
Ouverture
d’une session
Opérations
Activités
Fonctions
Objets
Classes
d’objets
(spécialisation)
Autorisations
Créer
Modifier
Supprimer
Autorisations
Créer
Modifier
Supprimer
Décomposition
PERMISSIONS
Référentiel RH

Impact sur le système d’information
• Utilisateur
 Un individu, une personne connue du service RH
ayant un contrat avec l’entreprise : salarié ou
prestataire
• Rôle
 Une fonction reconnue dans l’entreprise ou un
groupe d’actions permettant de réaliser une
fonction.
 Exemple : « responsable achat d’un groupe de
produits » ou « Contrôle des encaissements »
• Opération
 Action possible sur les données du système
d’information : créer, modifier, supprimer,
contrôler, valider, abandonner, refuser...
 Cela peut correspondre à une fonctionnalité du
logiciel
• Session
 Accès à une application par un utilisateur.Une
session active un ou plusieurs rôles et permet
l’obtention de permissions
• Permission
 Autorisation d’activer une opération sur un objet
ou une classe d’objets au travers d’une
application
• Objets
 Données ou « assets » (actifs) ayant de la valeur
pour l’entreprise
 Exemple : Dossier patient, Equipements,
Produits chimiques, Brevet, Encaissements,
Abonnements, Commandes clients ou
fournisseurs…
• Classes d’objet :
 Un objet se décompose sur plusieurs niveaux en
classes d’objets.
 Typologie
 Equipement médical  Béquilles, Lits
médicalisés, Fauteuils, Perfusions
 Produits chimiques  Matières actives (MA),
MA Herbicides, MA Fongicides, MA Insecticide,
solvants, charges, dispersants…

Focus sur les outils informatiques
• Pas de comptes et mots de passe groupés pour les utilisateurs
• Surveillance des comptes administrateurs
Etablir une liste à jour des personnes ayant connaissance et usage de ces comptes.
Changer mensuellement tous les mots de passe.
• Homologuer le code et les applicatifs livrés
 Rechercher les « codes malins » par du test et de la revue de code
• Segmentation des accès selon les environnements
Segmenter les environnement et les protéger physiquement : Développement,
Tests et Production.
Pas d’accès à l‘environnement de production aux personnes réalisant le
développement et les tests
Seules les personnes devant réaliser des actions opérationelles sur les
environnements de production ont accès aux machines, bases de données, firewall,
composants réseaux…
Traçabilité totale des actions et connexions

Focus sur les outils informatiques
• Les spécifications des solutions doivent être revues
Pour s’assurer qu’elles répondent aux besoins des utilisateurs
(Vérification)
Pour s’assurer qu’elles respectent les attendus de la réglementation
(Validation)
• Les solutions informatiques doivent être testées
Pour s’assurer qu’elles répondent aux besoins des utilisateurs
(Vérification)
Pour s’assurer qu’elles respectent les attendus de la réglementation
(Validation)

Préparer le
déploiement

Préparer le déploiement │ Plan de transformation
• Adopter une vision pragmatique des actions à mener
• Piloter la transformation comme un projet
Mesurer les
impacts des
changement
Créer la vision
Lancer le
projet de
transformation
Transformer Piloter
Organisation
•Postes, compétences
attendues
•Outils, SI
•Procédures, modes
opératoires
•Besoins de formation
Communiquer sur les
raisons du changement
•S’appuyer sur les relais,
participants aux ateliers
•Montrer les risques à « ne
pas faire » et les risques ou
difficultés « à faire »
Organiser le projet de
transformation
•Actions requises
•Coûts, charge, délais
•Parties-prenantes
•Planifier, piloter
Déploiement
•« technique » des outils
•Formation des utilisateurs
•Mettre en place la nouvelle
organisation (si requis)
Mesurer l’avancement
•Démontrer l’apport de
valeur (gains)
•Communiquer les
réussites
•Prendre les actions et
mesures correctives quand
nécessaire
•Mesurer les freins et
opportunités au
changement

Préparer le déploiement │ Plan de formation
• Si requis, à mesurer au démarrage du projet
• Communiquer sur les objectifs de formation : outils, activités
opérationnelles
• Elaborer le plan de formation
• Produire les supports de formation
• Mettre en œuvre
Interne ou externe
Organiser et planifier les formations
• Mesurer l’efficacité

Préparer le déploiement │ Plan de communication
• Dès le lancement du projet
• Nombreux supports de communication
Interventions en réunions d’équipe ou réunions de service
Journal d’entreprise
Echanges et communication plus informelle, lors des temps de pause
• Appels à candidature pour participer aux ateliers
Laisser les contributions le plus libres et ouvertes possibles
• Démontrer l’ouverture, l’écoute et la recherche de consensus
• Toujours présenter les risques « à ne pas faire » et les risques « à
faire »

Sources
• ISACA
• Enhancing ITGovernanceWith aSimplified Approach to Segregation of Duties, Kevin
Kobelsky
• ImplementingSegregation of Duties, ISACAJOURNALVOL 3
• ANSI INCITS 359-2004

Contact :
Christine Dessus
www.competensis.com
chdessus@competensis.com
06 31 09 73 54
33 V1.0 MARS 2016 Blue Jigsaw Competensis - Business Model

SOD Segregation Of Duties - Séparation de Droits et Responsabilités

Contenu connexe

Tendances (20)

En vedette (20)

Similaire à SOD Segregation Of Duties - Séparation de Droits et Responsabilités (20)

Plus de COMPETENSIS (20)

Dernier (10)

SOD Segregation Of Duties - Séparation de Droits et Responsabilités