L’évaluation des risques SoD est devenue une analyse essentielle et fondamentale pour identifier les failles de sécurité dans SAP, et réduire le risque de fraude pour le contrôle interne

14/04/2022

SEPARATION DES TACHES (SoD) : GUIDE COMPLET

7 minutes de lecture

Table des matières

Un projet ? Une question ?

Contactez nos experts sans plus attendre 

Avec la transformation digitale et les innovations toujours plus nombreuses, les entreprises doivent veiller à maintenir un niveau de sécurité toujours plus important pour éviter les fraudes ou encore le hacking

Cela est d’autant plus difficile que l’entreprise va utiliser de plus en plus de systèmes qui sont sujets à une maintenance spécifique.

Selon une étude réalisée par Euler Hermes, leader européen de l’assurance fraude, en 2021, deux entreprises sur trois auraient subi au moins une tentative de fraude l’année dernière. 

Cela a forcément une incidence importante sur la trésorerie de l’entreprise qui doit lutter contre ce phénomène. 

Pour diminuer les risques, il est dans l’intérêt de l’entreprise de mettre en place une politique SoD (Segregation of duties) ou en français, de séparation des tâches

Mise en place d'un processus de séparation des tâches (SOD) dans SAP

Il s’agira donc d’impliquer au minimum deux personnes dans la réalisation d’un processus critique, l’une vérifiant ce que fait l’autre (et inversement).

Que vous soyez familier ou non avec cette notion, nous allons aborder la SoD sous tous ses angles afin que ce terme n’ait plus de secret pour vous.

Qu'est ce que la SoD ?

Comprendre la SoD avec la Gestion de Paie

Afin de mieux comprendre ce qu’est exactement de la SoD, nous allons prendre un exemple concret. Pour cela, nous choisissons volontairement une tâche qui pourrait présenter un risque : la gestion de paie.

Quels sont les Risques Principaux de cette Tâche

Le risque lié aux données : une fiche de paie implique un salarié à payer. Il y a donc un accès à toutes les données sensibles de ce dernier 

Le risque lié aux paiements : un défaut de paiement peut rapidement mettre une entreprise dans l’embarras et entraîner des pénalités financières importantes

Le risque lié aux emplois fictifs : il s’agit de créer un employé fantôme qui possède un contrat avec l’entreprise et qui va donc toucher un salaire et va même pouvoir prétendre à une allocation au chômage après un vrai/faux licenciement.

Comment Appliquer la Séparation des Tâches dans cet Exemple précis ?

Assez fréquemment, on retrouvera deux personnes : un employé responsable de la partie comptable et un autre qui s’occupera de signer les chèques

La plupart du temps, une entreprise mettra en place un SoD pour les tâches les plus vulnérables et critiques

Pour ce faire, la méthode la plus adaptée actuellement est la méthode RBAC (Role Based Access Control). Ce contrôle des accès basé sur les rôles permet de gérer les accès de toute une entreprise.

Schématiquement, on pourrait la représenter avec une pyramide inversée où on retrouverait :

  • L’entreprise 
  • La filiale 
  • Le département 
  • Le poste 
  • L’employé

Pour chaque étape, des droits d’accès sont attribués. Ainsi, certains droits d’accès vont concerner l’ensemble des entreprises quand d’autres ne concernent qu’un seul département par exemple. Cela permet d’avoir une vision d’ensemble des droits d’accès et de s’assurer qu’il n’y a pas d’erreur.

Quelles sont les Tâches Incompatibles ?

Une tâche, quelle qu’elle soit, peut se décomposer en plusieurs étapes :

  • Les autorisations qui vont donc donner des accès et impliquer l’entreprise 
  • La conservation des données 
  • L’enregistrement des exercices comptables, des rapports financiers 
  • Le contrôle, soit les différents audits qui se font au sein de l’entreprise 

La règle est très simple et veut que personne dans l’entreprise n’ait à réaliser l’ensemble des étapes vu ci-dessus de réalisation d’une tâche.

Overview des tâches

La Norme RBAC

Le principe de SoD repose sur le modèle de Contrôle d’accès à base de rôles (Role-Based Access Control) qui permet la gestion des autorisations. Il se construit autour de deux fonctionnalités :

  • Mettre en place un modèle basé sur l’autorisation pour toutes les ressources individuelles, les applications etc
  • Gérer ses modèle en utilisant différents rôles et donc, différents droits d’accès

Les rôles RBAC se placent en intermédiaires entre les utilisateurs et les autorisations. Pour mieux comprendre ce principe, nous allons revenir sur chaque terme :

  • L’autorisation : il s’agit du droit d’effectuer une ou plusieurs actions au sein d’un item (application…)
  • Le rôle : il s’agit d’un ensemble d’autorisations  

Le rôle va donc être attribué à un utilisateur qui va recevoir certaines autorisations correspondantes à celui-ci. La plupart du temps, le rôle prendra le même nom que l’utilisateur métier (“gestionnaire”, “comptable”…)

En quoi Consiste la Mise en Place d’une SoD ?

Nous allons analyser les différentes étapes à mettre en place pour avoir un système SoD performant et efficace.

Définir sa Matrice de Séparation des Tâches

La première chose indispensable à faire est d’identifier l’ensemble des parties prenantes qui vont intervenir ou non dans le système SoD. On aura donc la liste de l’ensemble des employés de l’entreprise avec leurs caractéristiques (département, poste…) mais aussi ceux qui vont être directement impliqués dans la séparation des tâches (DSI, contrôleur interne etc…).

Puis, il faut réaliser la liste de l’ensemble des tâches qui vont être amenées à être réalisées par les différents employés. Mais le plus important reste les mettre en lien afin de faire ressortir les risques existants et les incompatibilités. Par exemple, une tâche A pourra être considérée sans risque. Mais associée à une tâche B, le risque pourrait être élevé.

Tâche 1 : générer un ordre d’achat + Tâche 2 : approuver un ordre d’achat = risque élevé

Tâche 1 : générer un ordre d’achat + Tâche 3 : réceptionner les factures de fournisseurs = risque faible

Auditer les Risques de l’Organisation

Cette tâche interne à l’entreprise est incontournable et doit déboucher sur la création d’une liste des risques de l’entreprise. La cartographie des risques (aussi appelée carte de chaleur ou heatmap) est un des outils les plus utilisés et les plus efficaces.

En ordonnée, on retrouvera la gravité des risques que l’on échelonne de mineure à catastrophique tandis qu’on aura la probabilité en abscisse.

Si dans de nombreuses entreprises, on retrouve des auditeurs internes spécialisés, il s’agira d’impliquer des personnes à tous les niveaux de l’entreprise qui auront surement des visions bien différentes

Enfin, il ne s’agit pas ici de simplement nommer les risques : il faut les comprendre. En effet, la mise en avant d’un risque sans aucune action derrière ne sera d’aucune utilité. Il faudra réfléchir aux causes de ce risque ainsi qu’aux conséquences si cela arrive réellement.

Déterminer les différents rôles

Ce n’est qu’en connaissant les risques que l’on peut déterminer les différents rôles

Il s’agira donc d’identifier les parties prenantes de l’entreprise, faire la liste de leurs fonctions et de leurs besoins pour pouvoir leurs proposer des rôles qui respectent le principe de SoD mais qui sont surtout en adéquation avec les tâches qu’ils doivent quotidiennement effectuer.

Il faut préciser qu’un équilibre entre efficacité et coût doit toujours être maintenu. 

En effet, une société peut avoir tendance à se surprotéger et à ne donner que peu d’autorisations à ses rôles et donc utilisateurs. 

Cependant, ces derniers doivent pouvoir effectuer toutes leurs tâches sans être restreints par un manque d’organisation. Il existe aujourd’hui des solutions qui permettent de donner des droits d’accès exceptionnels à certains rôles / utilisateurs pour une durée limitée. 

Mais comme son nom l’indique, cela doit être exceptionnel et un utilisateur qui demanderait sans cesse des autorisations qu’il n’a pas pour faire son travail perdrait en productivité.

Automatiser et Analyser ces Opérations pour Assurer la Maintenance

La SoD est durable dans le temps et peut être amenée à évoluer dans le temps. Il faut donc mettre en place un contrôle continue du modèle. Cela passera par l’automatisation des contrôles et la mise en place des workflows

Cela peut paraître logique mais pourtant, une étude effectuée en 2017 par KPMG montre que sur l’ensemble des personnes interrogées, 77% affirment que moins de 10% de leurs contrôles sont automatisés. 

Le tableau de bord sera l’outil le plus utilisé pour mettre en avant des contrôles inefficaces voire des entités défaillantes au sein de votre organisation. A noter que l’automatisation peut également ouvrir la voie à une robotisation des contrôles.

Conflits SoD, Violations SoD et Accès Critique

Un conflit SoD peut se matérialiser de plusieurs façons. La plus commune est une situation où un employé va posséder plus d’accès que sa fonction ou position ne demande. 

Pour rappel, l’entreprise doit suivre le principe du moindre privilège (de l’anglais PLP, Principle of Least Privilege) qui consiste à ne donner accès à l’utilisateur final qu’à la quantité d’informations nécessaires pour réaliser ses différentes tâches, ni plus ni moins.

Il est nécessaire de préciser qu’un conflit est théorique. Il s’agit d’un travail d’anticipation plus que de réaction. La plupart du temps, les conflits sont détectés mais ne sont pas exploités. 

Il faudra donc mettre en place une analyse poussée des transactions effectuées afin d’écarter le risque de fraude.

La violation SoD représente un risque qui peut constituer une fraude criminelle. C’est la suite “logique” du conflit SoD. De ce fait, régler un conflit SoD permet très souvent d’anticiper une violation.

En effet, nous pouvons également évoquer l’accès critique. Ici, c’est l’action réalisée qui est sensible et qui constitue un risque, quelle que soit la personne concernée ou les accès qu’elle a déjà. 

Ainsi, par exemple, l’accès aux notes de frais ou encore aux bulletins de salaires peut être considéré comme critique car cela implique un accès direct aux données sensibles des autres employés de l’entreprise.

Un exemple célèbre pour illustrer cela est celui de Jérôme Kerviel, l’ex trader de la Société Générale. 

Selon cette dernière, il a frauduleusement introduit des données dans un système automatisé afin de prendre des positions massives (à hauteur d’environ 50 milliards d’euros). De son côté, la Société Générale a également été condamnée pour “carence grave du système interne”. 

Sans prendre partie, nous pouvons envisager la situation de la façon suivante :

  • Le rôle qu’avait Jérome Kerviel possédait deux autorisations qui ont provoqué un conflit : le fait de pouvoir introduire des données dans un système automatisé et celui de pouvoir prendre position. Ce conflit aurait dû être mis en avant. Selon le principe de SoD, ces deux actions auraient dû être dissociées dans deux rôles bien distincts. 
  • L’action frauduleuse réalisée a transformé ce conflit en violation : on est passé de la théorie à la pratique.

Quelles sont les Différents types de SoD ?

Outre la séparation des taches dont nous parlons depuis le début de cet article, nous pouvons distinguer trois autres types de séparation des taches qui pourront être appliquées selon le type d’entreprise, sa compléxité et sa taille : 

  1. La séparation des privilèges : cette technique consiste à limiter les privilèges accordés à un utilisateur afin qu’il ne puisse accéder qu’à ce qui est strictement nécessaire pour son travail. Par exemple, un administrateur système ne devrait pas avoir accès aux données sensibles de l’entreprise sauf en cas de besoin strictement nécessaire. La séparation des privilèges permet de limiter les risques d’abus de pouvoir et de compromission de données

  2. La séparation des environnements : cette méthode consiste à séparer les environnements de développement, de test et de production afin de limiter les risques de propagation de bugs ou de vulnérabilités d’un environnement à l’autre. Les environnements de test ne devraient pas être utilisés pour les activités de production et les environnements de production ne devraient pas être utilisés pour le développement ou les tests.

  3. La rotation des tâches : cette technique consiste à faire tourner les tâches entre différentes personnes pour éviter qu’une personne ne soit trop longtemps en charge d’une tâche donnée et ne devienne ainsi trop familière avec le processus. Cela peut réduire les risques d’erreur ou de fraude et peut également aider à améliorer la collaboration et la communication entre les membres de l’équipe.

Pourquoi la SoD est si Importante ?

Comme nous l’avons vu depuis le début de cet article, la SoD est aujourd’hui incontournable pour toutes les entreprises. Cela permet l’amélioration de la conformité, la limitation des risques mais surtout un accroissement de la confiance en la société.

Les différentes lois telles que la RGPD (Règlement général pour la protection des données) ou la loi Sarbane Oxley imposent de plus de plus de transparence financière et une attention particulière vis-à-vis du traitement des données. 

Mais il ne s’agit pas seulement de se soustraire à une loi pour éviter les sanctions mais véritablement d’améliorer la productivité de la société.

Il serait utopique de penser que l’entreprise du futur sera débarrassée de tout conflit et violation SoD. Néanmoins, elle met tout en œuvre pour identifier les conflits et les régler afin d’anticiper toute violation. 

Ce travail proactif n’est pas le fruit d’actions ponctuelles mais bien d’un suivi régulier automatisé qui induira une meilleure productivité de tous.

SAP GRC Access Control, leader des Solutions SoD

GRC Access Control est une application qui permet de gérer les différents accès aux ressources et application de vos environnements SAP ou non SAP. Grâce à un aperçu en temps réel des risques et conflits SoD, vous pourrez détecter les possibles fraudes et réduire le coût et le temps de la conformité

Notre solution GRC Access Enforced certifiée solution est composée de huit add-ons parmis lesquels :

  • Access Risk Analysis (ARA) : offre la possibilité d’analyser les risques, et de simuler les accès pour traiter les occurrences de risque en fonction des résultats d’analyse. Nous avons également développé d’autres applications pour apporter plus de fonctionnalités à l’outil standard
  • Access Request Management (ARM) : permet de créer et valider des demandes d’accès pour les systèmes SAP et aux autorisations pour exécuter des tâches.

    Vous pouvez créer des demandes d’accès pour vous-même, pour un autre utilisateur ou pour des utilisateurs multiples plus simplement et rapidement via nos applications VASPP

  • Emergency Access Management (EAM) : permet de mettre en place la gestion efficace de la gestion des accès d’urgence.  Les personnes responsables de la conformité peuvent effectuer des audits périodiques d’utilisation pour surveiller la bonne utilisation des accès privilégiés.

    VASPP dispose également un add-on permettant d’améliorer ce processus avec des accès en mode Self-service et sous format application web

  • Business Role Management (BRM) : permet de personnaliser le processus de gestion de rôle pour correspondre à vos exigences. Cette fonctionnalité introduit également la notion de Business Role offrant une plus grande flexibilité en termes de gestion des accès
  • User Access Review (UAR) : offre la possibilité de lancer un processus de révision d’accès périodique est défini, et le déployer au sein de l’organisation en fonction de vos directives. Nous avons également une offre complémentaire avec nos applications FIORI pour adresser ce besoin pour les utilisateurs finaux
SAP GRC Access le leader des solutions SoD

VASPP Dashboard pour SAP GRC Access Control

Afin de répondre aux besoins de nombreux utilisateurs de SAP GRC Access Control, nous fournissons une suite de tableaux de bord pour le suivi et la gestion des risques au sein de votre organisation.

Un aperçu rapide de l’ensemble de vos processus de contrôle interne, et des accès SAP avec notre solution Compliance Analytics :

Vous avez aimé cet article ? Partagez le !

Découvrir plus d’articles VASPP

Vasppletter

Découvrez des astuces mensuelles sur les solutions SAP

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.

Vasppletter

Découvrez nos solutions VASPP et les nouveautés SAP !

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.