En 2017, peu d’entreprises disposent encore d’une véritable matrice de conflits de tâches qui répertorie les droits d’accès à ne pas cumuler dans les processus et les SI. Inquiétant face à la montée de la fraude interne mais aussi de l’usurpation d’identité. Quelle stratégie mettre en place ? Quelles sont les bonnes pratiques à suivre pour mieux protéger ses actifs et son organisation ? Explications.

La séparation des tâches (« SoD » pour « Segregation of Duties ») permet d’éviter qu’une même personne cumule des actions ou des droits d’accès pouvant donner lieu à une fraude ou à des erreurs critiques pour l’organisation. Derrière ce terme, on retrouve une stratégie de catégorisation des tâches les plus critiques (paiements sortants ou comptabilisation des factures fournisseurs par exemple).

La SoD, toujours au cœur des préoccupations du Directeur Financier et des DSI

La séparation des tâches est un sujet pour les organisations de toutes tailles depuis des années, mais reste pertinent à l’heure actuelle pour deux raisons :Download infographic

  • De nombreuses entreprises doivent toujours se mettre en conformité avec les exigences des régulateurs. Comme toujours, il s’agit de fiabiliser l’information financière en évitant les risques de fraudes comptables ou d’erreurs. Mais il peut aussi s’agir de maîtriser ses risques opérationnels en parallèle d’une démarche de conformité. Dans tous les cas, la séparation des tâches reste en 2017 une des « top » recommandations des rapports d’audit interne ou externe, d’après nos retours d’expérience sur le terrain.
  • La transformation digitale des entreprises a déjà « numérisé » un grand nombre d’étapes des processus métiers, dorénavant gérées automatiquement par des systèmes d’information. La gestion de ces droits d’accès reste un parent pauvre dans de nombreuses organisations. Ces dernières y consacrent en général peu de moyens  et ne disposent ni d’une vision intégrée risque opérationnel / système d’information, ni d’outils dédiés pour assurer la séparation des accès critiques. 

Le scénario de voir les droits trop étendus d’un utilisateur clé subtilisés par un criminel pour détourner des actifs de l’entreprise est avéré et se répètera dans les années à venir.

Dans ce contexte, mettre en place une démarche « SoD » est un excellent moyen de limiter ses risques tout en développant la culture du contrôle dans son organisation, à condition qu’elle soit toujours effectuée dans un souci d’efficience, pour ne pas impacter négativement l’activité de l’organisation. CGI, et notamment son activité conseil CGI Business Consulting, sont à la pointe des services en la matière, fournissant conseil, intégration d’outils adaptés à la « SoD », et outsourcing de la gestion de vos droits d’accès.

Télécharger l'infographie

A propos de l'expert

Picture of Paul Coursault

Paul Coursault

Consultant Security Risk Management - CGI Business Consulting

Paul est consultant au sein de l'équipe Security Risk Management (SRM) de l'activité conseil. Il a rejoint CGI Business Consulting en 2014, et a conduit depuis de nombreuses missions de conseil autour de la séparation des tâches, du contrôle interne et de la gestion des ...

Publier un commentaire

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Politique de modération des commentaires sur le blog CGI