Soucieux de toujours faire bénéficier nos clients de notre savoir-faire et de nos expériences, voici un article que nous avons publié sur le site Les Echos afin de permettre au plus grand nombre d’être sensibilisé à la SoD:
Pour comprendre la SoD, il faut tout d’abord commencer par expliquer ce qui se cache derrière cette anagramme barbare.
QU’EST-CE QUE LA SoD ?
La SoD (Segregation of Duties – Séparation des tâches) est un concept qui requière différents acteurs possédant des rôles et responsabilités différents pour la réalisation d’un ensemble de tâches dont l’exécution par un unique acteur pourrait potentiellement conduire à des fraudes ou des erreurs au sein du système d’information d’une société.
Avec la SoD, un unique individu ne peut pas dérouler un processus complet de bout en bout sans l’intervention d’acteurs tiers. Ce principe s’est donc développé après la tristement célèbre affaire “K.”. Pour cela, le principe de base est donc qu’une seule et même personne ne peut pas initier, valider et contrôler une même tache, ce afin de limiter au maximum les risques liés au cumul de droits.
Les responsabilités doivent être réparties entre différents acteurs afin de réduire le risque d’actions inappropriées. Nous pouvons par exemple prendre le fait que les responsabilités liées aux actions de réalisation d’une transaction, de son autorisation et de son enregistrement doivent être réparties sur plusieurs acteurs.
POURQUOI LA SoD ?
De nombreux avantages découlent de la mise en place d’une SoD au sein de son Système d’Information :
- La SoD permet de réduire les risques,
- La SoD permet d’être conforme (SOX, Bale II, ISO 27000, COBIT, ITIL, etc.),
- La SoD permet de protéger le business,
- Domaines particuliers :
– En France, les CAC (Commissaires Aux Comptes) sont très sensibles à la notion de SoD pour tout ce qui concerne la finance,
– Dans le domaine bancaire, l’implémentation de la SoD est une obligation => séparation Front / Back / Middle.
QUELQUES QUESTIONS PRATIQUES
Afin de mettre en place votre SoD, il est nécessaire de vous poser les bonnes questions. Si cette liste n’est pas exhaustive, elle a le mérite d’émaner de nos nombreux projets réaliser chez nos clients, et qui aujourd’hui nous garantit d’éviter bon nombre d’écueils :
- Qui est le sponsor ? Qui devrait être le sponsor ?
- Quelles sont les responsabilités dans la mise en œuvre et le maintien de la SoD ?
- Quel est le coût ?
- Quelles sont les ressources à affecter ?
- Comment faire si les ressources sont insuffisantes ?
- Comment définit-on le périmètre ?
- Comment gérer les populations spécifiques telles que l’IT, les clients, les fournisseurs ?
- Comment industrialiser le processus global ?
- Comment faire le lien entre les droits stockés dans les bases techniques et les contrôles à effectuer ?
LES CONCEPTS
Avant toute chose il faut savoir qu’il existe deux types de SoD :
-
SoD préventive : empêcher les problèmes de SoD dès l’affectation des droits
– Scénario 1 : système totalement intégré
Un système IAM incluant les règles de SoD empêche toute affectation de droit en violation qui nécessite de connaitre l’ensemble des droits d’un utilisateur et une intégration forte avec les systèmes.
– Scénario 2 : système manuel
Une feuille Excel contenant la matrice et permettant de réaliser des simulations qui nécessite de centraliser l’ensemble des droits existants, très couteux à mettre en place et à maintenir, qui nécessite un certain niveau de maturité, mais qui apporte une très bonne couverture des risques
-
SoD détective : contrôle a posteriori
Cela nécessite une consolidation des droits et une corrélation avec la matrice de SoD :
– Aucun impact sur les applications,
– Aucun impact dans les processus existants.
“LA MATRICE” OU “LES MATRICES” DE SoD
Là encore il n’existe pas qu’une seule matrice :
- Tâches vs tâches,
- Rôles vs tâches,
- Rôles IT.
BONNES PRATIQUES
Voici quelques bonnes pratiques à respecter si vous souhaitez que votre projet soit un succès :
- Approche par les risques
– Quels sont les risques et leurs impacts ?
– Comment la SoD peut-elle réduire ces risques ?
- Implication du management
– La SoD étant un sujet transverse le management doit soutenir l’initiative,
– L’implication du management induit l’implication des acteurs,
- Mettre en œuvre une démarche projet éprouvée
Se baser sur des experts maîtrisant à la fois cette méthodologie, mais avant toute chose, connaissant votre métier !
LES FACTEURS DE COMPLEXITÉ
Ce type de projet étant assez complexe et nécessitant l’intervention d’expert ayant une compétence à fois technique et métier, les premiers facteurs de complexité que nous pourrions identifiés sont les suivants :
- Type d’organisation et sponsorship,
- Nombre de processus à prendre en compte,
- Nombre de personnes,
- Nombre de systèmes IT impliqués,
- Nombre et types de matrices à maintenir.