Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SOD Segregation Of Duties - Séparation de Droits et Responsabilités

1,887 views

Published on

Prévenir les fraudes, conflits d’intérêt et erreurs humaines par la "Segregation of Duties" (SOD) ou Séparation des Droits et Responsabilités.
Cas d'usage : Un audit externe ou interne signale des non-conformités liées à la séparation des droits et responsabilités (Segregation Of Duties).

Published in: Business
  • Be the first to comment

SOD Segregation Of Duties - Séparation de Droits et Responsabilités

  1. 1. Blue Jigsaw Competensis Christine Dessus chdessus@competensis.com +336 31 09 73 54 www.competensis.com
  2. 2. Licence • Ce document est sous licence « CREATIVE COMMONS » • Pas d’utilisation commerciale • Partage dans les mêmes conditions http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties2
  3. 3. Empêcher les fraudes, conflits d’intérêt et erreurs humaines • Cas d’usage : Un audit externe ou interne montre des non-conformités liées à la séparation des droits et responsabilités (Segregation Of Duties). • Les non-conformités doivent être résorbées par la mise en œuvre de la «Segregation of Duties » à plusieurs niveaux : Organisation, processus, activités Référentiel RH des postes et responsabilités Droits d’accès et d’usage du système d’information des utilisateurs, Droits d’accès aux différents environnements et couches techniques du système d’information par les administrateurs informatiques (externes ou internes) Dans certains cas, au niveau des autorisations d’accès physique aux bâtiments. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties3 Vos Enjeux
  4. 4. Références du consultant sollicité Le consultant sollicité a déjà mis en œuvre la « Séparation des droits et responsabilités » (SOD) au travers des missions suivantes : V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties4 Responsable informatique R&D Grand groupe chimique • Mise en œuvre des référentiels « bonnes pratiques », vérification et validation des logiciels, séparation des droits et responsabilités • Audits internes des études réglementaires et des outils déployés : logiciels et équipements de laboratoires, robotique, SI scientifique, logistique et financier du centre de recherche. • Audits externes par l’UIC du respect des bonnes pratiques, appliquées aux instruments de laboratoires, système d’information. Contrôle de la séparation des droits, dans le cadre des études réglementaires. • Audits de contrôles de la sécurité du territoire dont contrôle de la séparation des droits et d’usage des outils informatiques • Audits financiers dans le cadre de SabanneOxley dont contrôles de la séparation des droits. Réorganisation d’une direction IT de <1000 personnes, groupe industriel, énergie • Modélisation des processus, activités, données, rôles, tâches et système d’information • Appui à la construction de l’organisation en identifiant les rôles de contrôle et vérification • Mise en œuvre de la ségrégation des droits et responsabilités (SOD) au sein des processus et outils informatiques PME Dispositifs médicaux • Mise en œuvre du SOD à partir des fiches de postes de l’entreprise.
  5. 5. Segregation Of Duties Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties5
  6. 6. Définition : Segregation of Duties • En français, séparation des responsabilités et des droits • Objectif : Supprimer les risques de conflits d’intérêt, fraude ou erreurs • Activité centrale pour le respect de réglementations • Séparation entre plusieurs personnes des responsabilités : une personne seule ne peut effectuer ou masquer des actions de fraude ou des erreurs • La séparation des responsabilités doit être démontrée. La charge de la preuve incombe à l’entreprise et son représentant légal. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties6
  7. 7. Secteurs concernés par le SOD • Tout secteur réglementé  Banques, assurances, fabrication des cartes de paiement  Energie, chimie (Ceveso)  Chimie, pharmacie (Bonnes pratiques)  Dispositifs médicaux  Alimentaires, restaurants (HAP pour les aliments)  Agriculture, élevage & abattage  Télécommunications  Transports : train, avion, camion, transports de personnes  Opérations douanières  Toutes opérations financières (Sarbanne Oxley) pour les sociétés cotées en bourse  … • Quelque soit la taille de l’entreprise. C’est l’appartenance au secteur d’activité qui conditionne l’application des règles. • Sans oublier les fonctions RH et comptables de toute entreprise • Très pratiqué dans le cadre de mise en œuvre du cloud (SaaS, IaaS…) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties7
  8. 8. Définir « Critique » et « sensible » ? • Respect de la réglementation • Sécurité des employés • Sécurité des patients • Sécurité environnementale • Continuité d’activité • Image de marque • Impact financier direct… Niveaux de séparation V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties8 • Définir les normes, règles à appliquer (gouvernance) : Qui peut demander l’enregistrement d’une nouvelle donnée ? Qui autorise la mise à jour ? Qui est responsable du maintien des données ? Qui contrôle les mises à jour ? • Sur les données, les processus, activités et systèmes critiques, sensibles Définir critiques & sensibles • Effectuer des contrôles réguliers (audits internes)
  9. 9. Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties9 • Rechercher les conflits d’intérêts et les incohérences • Justifier lorsque l’on maintient un conflit d’intérêt ou une incohérence • Surveiller les usages Processus Activités (et tâches) Rôles Description de postes Fonctions Activités (et tâches) Solutions informatiques Profils Utilisateurs Droits d’usage (activités autorisées) Organisation décrite Organisation mise en œuvre Fonctions & Responsabilités Usages des outils informatiques Activités réalisées (sessions) Solutions informatiques Solutions informatiques
  10. 10. Vos processus ne sont pas modélisés ou ne sont plus à jour ? • Nous modélisons en quelques jours les fonctions critiques de votre entreprise. • « BusinessAnchor Model » (source : OpenGroup,TOGAF) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties10
  11. 11. Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties11 Processus & activités Fonctions Critiques Référentiel RH Description de postes Solutions informatiques Autorisations d’accès Rechercher les incohérences croisées Exemple : affaire Kerviel
  12. 12. Audits internes & externes Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model12
  13. 13. Points communs à toutes les réglementations • Traçabilité des changements dans le système d’information  Audit-trail : horodaté (date, heure, minute, seconde et milliseconde), version des données avant et après, identifiant de l’utilisateur, rôle, raison de la modification  Tracer les sessions des utilisateurs et leurs actions  impact fort sur le développement applicatif • Traçabilité des utilisateurs  1 utilisateur = 1 personne connue dans le référentiel RH (employé) ou ACHAT (prestataire)  Pas de compte groupé, même pour des besoins de service.  Surveillance accrue des comptes administrateurs et mots de passe (informaticiens) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties13 • Rédiger une « politique », norme propre à l’entreprise et faisant référence aux réglementations en vigueur  Pour démontrer la volonté de respect dans la mise en œuvre de la réglementation  Donner son « interprétation » du texte dans les processus et activités de l’entreprise • Mettre en œuvre un système qualité  Organiser des contrôles et audits internes s’appuyant sur les principes mis en œuvre (politique)  Mettre en place une boucle d’amélioration continue : chaque non-conformité donne lieu à un plan d’action visant à améliorer le respect de la règle.  Suivre les plans d’actions de traitement des non- conformités et amélioration continue.
  14. 14. Organiser les audits internes Anticiper les audits externes • 2 types d’audit Vérifier que la politique d’entreprise respecte les attendus de la réglementation Vérifier que la politique d’entreprise est mise en œuvre • L’audit interne vérifie que la politique d’entreprise est mise en œuvre. • L’audit externe couvre les 2 aspects : politique interne et attendus de la réglementation. • Tout audit doit donner lieu à un plan d’actions et au suivi de sa mise en œuvre dans un délais court (<3 mois) : L’action doit démarrer rapidement Son résultat peut excéder 3 mois. Dans ce cas des audits de contrôle sont définis. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties14
  15. 15. Audits et contrôles internes • Définir une politique de contrôles récurrents des conflits d’intérêt Audits internes récurrents : tous les 12 à 24 mois Tracer les changements d’affectation Tracer les droits d’usage des solutions informatique Pour chaque nouveau droit d’usage d’une solution applicative, vérifier avec la fonction RH les incohérences et conflits d’intérêt possibles. Documenter : dire ce que vous mettez en place et réaliser ce que vous avez mis en place V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties15
  16. 16. Recommandations de mise en oeuvre Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties16
  17. 17. Cadrer le projet │Développer la vision d’ensemble du projet Développer la vision d’ensemble • Définir les principes directeurs : enjeux, objectifs et décisions managériales • Définir la cible et la trajectoire vers la cible • Analyse Forces/Faiblesses/Menaces/Opportunités • Organiser les ateliers de travail et attribuer les responsabilités. • Contenu du plan de cadrage : • Périmètre (fonctions, activités, outils, données critiques) • Livrables • Planning • Instances de suivi • Rôles & responsabilités • Organiser la réunion de lancement V1.0 Février 2016 Blue Jigsaw Competensis - Business Model17 Définir les responsabilités • Sponsor du projet  Définir les principes directeurs  S’assurer de la réalisation de la valeur attendue et de l’atteinte des objectifs du projet • PMO :  Rédiger les feuilles de route des ateliers avec le support du consultant externe  Planifier les ateliers et réunions  Suivre l’avancement des réalisations et l’atteinte des objectifs  Participer aux revues, rétrospectives et challenges • Consultant externe  Production des livrables  Préparation, animation et conduite des ateliers
  18. 18. Mesurer les risques de conflits d’intérêt 1. Activités critiques 2. Données critiques 3. Assets/Actifs ayant de la valeur 4. Revue du référentiel RH 5. Solutions informatiques 6. Rapports des incohérences et conflits d’intérêt 7. Plan d’actions et sécurisation Principesdemiseenœuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties18 • Postes, Fonctions, Responsabilités • Activités menées • Outils SI utilisés • Outils et fonctions utilisées • Cohérence avec le référentiel RH Si disponible, intégrer une phase de recherche d’incohérences dans le référentiel des processus de l’entreprise
  19. 19. Plan de mise en œuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties19 Vision Business & RH •Inventorier données, transactions informatiques, postes & fonctions, activités critiques •Mesurer Risques & Impacts Vision Technique •Systèmes •Profils d’utilisateurs •Tâches et activités Vérifier •Cahier de recette •Rechercher les incohérences Transformer •Réviser les responsabilités RH •Réviser les profils d’utilisateurs •Mettre à jour les processus Livrables majeurs • Matrices d’incompatibilité  Processus :Tâches XTâches  Postes RH : ActivitésX Activités  Système d’information : Droits d’accèsX Droits d’Accès  MatricesCroisées :Tâches X ActivitésX Droits d’accès Livrables majeurs • Relevés d’incohérences après vérification • Plans d’actions pour résorber les incohérences • Rituels de suivi
  20. 20. Synoptique V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties20 2 semaines 1 matrice 2 semaines 3 semaines 2 matrices 3 réunions Brainstorming & challenge 3 mois 3 semaines Relevés des incohérences Cadrage Vision Business & RH Vision Technique Vérifier Transformer Matrices d’incompatibilités Relevés des incompatibilités constatées Lancement Transformation & Déploiement
  21. 21. Piloter le projet Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model21
  22. 22. Pilotage du projet • Dès le lancement du projet, mettre en place les comités de suivi, comme pour tout projet : V1.0 Février 2016 Blue Jigsaw Competensis - Business Model22 Comité Objectifs Responsabilités Réunion de lancement Lancer le projet Présenter les attendus et l’organisation mise en place PMO Sponsor Directions de départements impliqués Consultant Comité opérationnel, Comité de projet Suivi opérationnel des réalisations Hebdomadaire à mensuel PMO Consultant Comité de pilotage Comité de direction Comité d’engagement Suivre la mise en œuvre des principes directeurs de la mission Vérifier l’apport de valeur pour l’organisation Prendre les décisions stratégiques Mensuel à Trimestriel PMO Sponsor Directions de départements impliqués Consultant
  23. 23. Impacts du SOD sur le système d’information Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model23
  24. 24. Impact sur le système d’information Source : ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties24 SOD Contraintes & Contrôles Hiérarchie Héritage Utilisateur Roles Sessions Attribution Activation de rôles Ouverture d’une session Opérations Activités Fonctions Objets Classes d’objets (spécialisation) Autorisations Créer Modifier Supprimer Autorisations Créer Modifier Supprimer Décomposition PERMISSIONS Référentiel RH
  25. 25. Impact sur le système d’information • Utilisateur  Un individu, une personne connue du service RH ayant un contrat avec l’entreprise : salarié ou prestataire • Rôle  Une fonction reconnue dans l’entreprise ou un groupe d’actions permettant de réaliser une fonction.  Exemple : « responsable achat d’un groupe de produits » ou « Contrôle des encaissements » • Opération  Action possible sur les données du système d’information : créer, modifier, supprimer, contrôler, valider, abandonner, refuser...  Cela peut correspondre à une fonctionnalité du logiciel • Session  Accès à une application par un utilisateur.Une session active un ou plusieurs rôles et permet l’obtention de permissions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties25 • Permission  Autorisation d’activer une opération sur un objet ou une classe d’objets au travers d’une application • Objets  Données ou « assets » (actifs) ayant de la valeur pour l’entreprise  Exemple : Dossier patient, Equipements, Produits chimiques, Brevet, Encaissements, Abonnements, Commandes clients ou fournisseurs… • Classes d’objet :  Un objet se décompose sur plusieurs niveaux en classes d’objets.  Typologie  Equipement médical  Béquilles, Lits médicalisés, Fauteuils, Perfusions  Produits chimiques  Matières actives (MA), MA Herbicides, MA Fongicides, MA Insecticide, solvants, charges, dispersants…
  26. 26. Focus sur les outils informatiques • Pas de comptes et mots de passe groupés pour les utilisateurs • Surveillance des comptes administrateurs Etablir une liste à jour des personnes ayant connaissance et usage de ces comptes. Changer mensuellement tous les mots de passe. • Homologuer le code et les applicatifs livrés  Rechercher les « codes malins » par du test et de la revue de code • Segmentation des accès selon les environnements Segmenter les environnement et les protéger physiquement : Développement, Tests et Production. Pas d’accès à l‘environnement de production aux personnes réalisant le développement et les tests Seules les personnes devant réaliser des actions opérationelles sur les environnements de production ont accès aux machines, bases de données, firewall, composants réseaux… Traçabilité totale des actions et connexions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties26
  27. 27. Focus sur les outils informatiques • Les spécifications des solutions doivent être revues Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) • Les solutions informatiques doivent être testées Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties27
  28. 28. Préparer le déploiement Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model28
  29. 29. Préparer le déploiement │ Plan de transformation • Adopter une vision pragmatique des actions à mener • Piloter la transformation comme un projet V1.0 Février 2016 Blue Jigsaw Competensis - Business Model29 Mesurer les impacts des changement Créer la vision Lancer le projet de transformation Transformer Piloter Organisation •Postes, compétences attendues •Outils, SI •Procédures, modes opératoires •Besoins de formation Communiquer sur les raisons du changement •S’appuyer sur les relais, participants aux ateliers •Montrer les risques à « ne pas faire » et les risques ou difficultés « à faire » Organiser le projet de transformation •Actions requises •Coûts, charge, délais •Parties-prenantes •Planifier, piloter Déploiement •« technique » des outils •Formation des utilisateurs •Mettre en place la nouvelle organisation (si requis) Mesurer l’avancement •Démontrer l’apport de valeur (gains) •Communiquer les réussites •Prendre les actions et mesures correctives quand nécessaire •Mesurer les freins et opportunités au changement
  30. 30. Préparer le déploiement │ Plan de formation • Si requis, à mesurer au démarrage du projet • Communiquer sur les objectifs de formation : outils, activités opérationnelles • Elaborer le plan de formation • Produire les supports de formation • Mettre en œuvre Interne ou externe Organiser et planifier les formations • Mesurer l’efficacité V1.0 Février 2016 Blue Jigsaw Competensis - Business Model30
  31. 31. Préparer le déploiement │ Plan de communication • Dès le lancement du projet • Nombreux supports de communication Interventions en réunions d’équipe ou réunions de service Journal d’entreprise Echanges et communication plus informelle, lors des temps de pause • Appels à candidature pour participer aux ateliers Laisser les contributions le plus libres et ouvertes possibles • Démontrer l’ouverture, l’écoute et la recherche de consensus • Toujours présenter les risques « à ne pas faire » et les risques « à faire » V1.0 Février 2016 Blue Jigsaw Competensis - Business Model31
  32. 32. Sources • ISACA • Enhancing ITGovernanceWith aSimplified Approach to Segregation of Duties, Kevin Kobelsky • ImplementingSegregation of Duties, ISACAJOURNALVOL 3 • ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties32
  33. 33. Contact : Christine Dessus www.competensis.com chdessus@competensis.com 06 31 09 73 54 33 V1.0 MARS 2016 Blue Jigsaw Competensis - Business Model

×