Qu'est ce que la ségrégation des droits ?
La séparation des droits (SoD), également connue sous le nom de séparation des tâches, est un système de contrôles internes au sein d’une organisation. Les politiques SoD agissent comme une première ligne de défense lors de la protection des organisations contre la non-conformité réglementaire et les activités frauduleuses.
De nombreux processus métier, s’ils sont exécutés par une seule personne, créeraient un conflit d’intérêts. Par exemple, un employé ne doit pas pouvoir soumettre et approuver ses propres bons de commande. Les principes SoD dictent que ces processus doivent être répartis entre plusieurs personnes au sein d’une organisation. Un processus peut même nécessiter plusieurs approbateurs dans le cas de processus à haut risque.
Il n’est pas possible d’acheter simplement des concepts SoD. Les organisations mettent en œuvre la séparation des tâches grâce à des pratiques de gestion des risques. Cependant, il existe des solutions logicielles qui aident à renforcer les politiques SoD. Ils le font en renforçant les contrôles d’accès, ainsi qu’en assurant une surveillance et la possibilité de suivre les trqces d’audit.
Exemples de SoD
Voici d’autres exemples de processus utilisant le SoD :
- Les employés ne peuvent pas rédiger leurs propres chèques de remboursement ou exécuter leurs propres bons de commande.
- Les chefs de projet doivent examiner et valider le travail ou la documentation de leur équipe.
- Le personnel de la RH ne peut pas fixer le niveaux de rémunération
Les contrôles internes séparent les tâches incompatibles pour prévenir la fraude et minimiser la tentation ou les erreurs. Le chantage et la coercition sont des préoccupations majeures pour les employés ayant des rôles importants ou qui manipulent des données précieuses. Sans politiques SoD, voici quelques exemples :
- Les employés pourraient frauduleusement faire des virements en leur faveur:
- Les employés qui contrôlent leur propre travail peuvent ne pas détecter une erreur ou peuvent abuser d’un accès non conforme.
- La personne qui embauche du personnel peut offrir à un ami un poste ou une rémunération exagérée par rapport aux autres candidats.
- Un employé pourrait créer et couvrir un écart de commande pour prendre les marchandises pour lui-même.
Le SoD et réglementation (Sarbanes-Oxley)
En 2002, les États-Unis ont introduit la loi Sarbanes-Oxley (SOX). Cela a été fait à la suite de nombreux actes frauduleux de grande envergure dans le secteur financier. Cette nouvelle législation a directement influencé le SoD et les exigences d’audit pour les institutions financières et publiques. La conformité SOX exigeait l’application stricte des contrôles d’audit interne. Plus particulièrement, il obligeait les organisations à embaucher des vérificateurs indépendants pour revoir leurs pratiques comptables, plutôt que de recourir à des vérificateurs internes.
Ces audits indépendants ont rendu beaucoup plus difficile la dissimulation de la fraude. SOX a encore renforcé la conformité en empêchant les auditeurs indépendants de fournir certains services non liés à l’audit pour éliminer les conflits d’intérêts [1].
Le SoD et la Gestion des Identités et des Accès
SOX a contribué de manière significative au développement précoce des systèmes modernes de gestion des identités et des accès (IAM). Les sociétés financières ont d’abord eu du mal à s’adapter à la nouvelle réglementation. Les processus ont dû être révisés. Des ressources juridiques et d’audit ont été soudainement nécessaires à des niveaux sans précédent. Les systèmes IAM ont relevé ces nouveaux défis commerciaux sur deux fronts : le contrôle d’accès et les traces d’audit.
L’application par IAM des contrôles d’accès basés sur les rôles (RBAC) est le fondement de nombreuses pratiques SoD. Avec RBAC, des restrictions peuvent être imposées aux systèmes d’information en fonction du rôle d’un employé. Les rôles peuvent être déterminés en fonction du département, de la hiérarchie ou de la fonction. RBAC garantit que les utilisateurs n’ont accès qu’aux ressources spécifiques dont leurs rôles ont besoin; Ni plus ni moins.
Les systèmes IAM compilent également des traces d’audit en enregistrant l’activité des utilisateurs. Les administrateurs informatiques peuvent générer des rapports sur ces traces d’audit pour démontrer la conformité. De plus, les traces d’audit permettent d’identifier et de résoudre tout problème au sein de la structure RBAC. Ces traces d’audit réduisent le fardeau de la préparation des audits du gouvernement ou des tiers. La préparation manuelle, en revanche, peut nécessiter des mois d’efforts d’analyses menés par de grandes équipes.
Cependant, les rôles plus larges ne s’appliquent pas toujours à tous les utilisateurs. Dans presque toutes les organisations, des changements et des affectations ad hoc sont requis. Ces exigences doivent être respectées tout en restant conformes à la fois au SoD et aux réglementations applicables. À cette fin, de nombreux systèmes IAM intègrent une méthode de plates-formes de flux de travail de demande et d’approbation en libre-service.
Avec une plateforme en libre-service, les utilisateurs peuvent demander un accès supplémentaire à leur propre discrétion. Leurs demandes sont ensuite acheminées pour approbation par une ou plusieurs parties responsables. Certaines plates-formes prennent en compte les politiques SoD pendant l’étape de demande, empêchant ainsi les utilisateurs de demander un accès qui violerait les politiques internes.
Nouveaux règlements et confidentialité des données
La dernière vague de réglementations touchant les organisations publiques et privées se concentrera principalement sur la protection des données. Le règlement général de l’UE sur la protection des données (RGPD) a déjà apporté des changements radicaux concernant la collecte, le stockage et l’accès aux données. Maintenant, savoir quels utilisateurs ont accès aux données du système de fichiers de votre organisation est nécessaire pour la conformité.
[1] https://searchcio.techtarget.com/definition/Sarbanes-Oxley-Act
Retour au Glossaire