1. 1. BRAINWAVE GRC Intelligence et Analytique des Identits Prsentation ISACA Montral 13 avril 2017 Comment les technologies rendent possibles laudit et le contrle en continu ? Eric In
2. 2. 2 Audit en continu combinaison d'valuations continues des risques et des contrles qui s'appuient sur les systmes dinformation. L'audit en continu doit permettre l'auditeur interne de communiquer ses constats sur l'objet considr bien plus rapidement que dans le cadre de l'approche rtrospective traditionnelle. Contrle en continu processus excut par le management, qui lui permet de vrifier en permanence si les dispositifs de contrle interne fonctionnent efficacement (MPA 2320-4 : Assurance continue). GTAG3, Institute of Internal Auditor Quest-ce que laudit et le contrle en continu ? Brainwave GRC Proprietary and Confidential Information All Rights Reserved
3. 3. Adaptation aux volutions rapides de lentreprise : Plus dinteraction avec des partenaires, fournisseurs extrieurs volutions des systmes, consolidation, infonuagique Plus de partage de donnes volution du travail : employs, consultants Rduction de limpact des risques Efficacit (Automatisation) 3 Pourquoi mettre en place laudit et le contrle en continu? Brainwave GRC Proprietary and Confidential Information All Rights Reserved Proactif vs Ractif Apporter plus de valeur ajoute aux lignes daffaires
4. 4. Et vous ? Cloisonnement des donnes Volumes grer Complexit des contrles Identifier les bonnes solutions Support financier et oprationnel des TI et lignes daffaires Quels sont les freins? 4 Freins la mise en place de laudit et contrle en continu Apports des technologies Brainwave GRC Proprietary and Confidential Information All Rights Reserved Puissance de traitement Progrs de lanalytique Fiabilit et traabilit Productivit (automatisation) Disponibilit Les apports des technologies
5. 5. 5 Ce qui va suivre est bas sur des cas rels vcus chez des clients Les situations ont t anonymises Quelle dmarche adopter ? Brainwave GRC Proprietary and Confidential Information All Rights Reserved Etape 1 Etape 2 Etape 3 Etape 4 Etape 5 Contrle exhaustif sur le primtre existant Ajouter de nouveaux contrles et tendre le primtre Implmenter des contrles plus complexes Contrles de processus daffaires Analyse comportementale
6. 6. 6 Audit interne Prparation Je prends un chantillon jai des rsultats je corrige Audit externe Grand jour nouvel chantillon mauvaise surprise ! Contrle approfondi (SoX), cueillette dinfo et questions auprs de TI, audit interne Motivation 1 Brainwave GRC Proprietary and Confidential Information All Rights Reserved 1 Rduire les surprises !
7. 7. 7 1 Calendrier Audit dmarr en fvrier, rsultat en aot, correction en septembre Entre temps, pas de visibilit Lorganisation et les risques voluent rapidement Rorganisation / Acquisition / Vente Nouveaux systmes, partenaires Nouveaux risques, nouveaux contrles rglementaires Motivation 2 Brainwave GRC Proprietary and Confidential Information All Rights Reserved tre plus proactif
8. 8. 8 1 Je gre des donnes sensibles pour mes clients Secteur trs comptitif et sensible Nouveau client > nouvelles applications > nouveaux contrles Le cot dintgration dun nouveau contrle explose ! Cela ne peut plus durer, je ne veux pas tre vu comme un frein permanent ! Motivation 3 Brainwave GRC Proprietary and Confidential Information All Rights Reserved Faciliter les affaires
9. 9. 9 tape 1 : Contrle exhaustif sur le primtre existant Brainwave GRC Proprietary and Confidential Information All Rights Reserved Dfinir une frquence daudit Automatiser le processus de collecte Reprendre les extractions chantillon -> Contrle exhaustif 1 2 3 1. Contrle exhaustif sur le primtre existant4 5
10. 10. Tableau de bord des contrles 10 1 2 3 1. Contrle exhaustif sur le primtre existant4 5
11. 11. 11 Fini les surprises : jai contrl tout le monde Brainwave GRC Proprietary and Confidential Information All Rights Reserved 1 2 3 1. Contrle exhaustif sur le primtre existant4 5
12. 12. 12 Jai les rponses aux questions de mon auditeur Brainwave GRC Proprietary and Confidential Information All Rights Reserved 1 2 3 1. Contrle exhaustif sur le primtre existant4 5
13. 13. 13 Cartographie complte des accs aux applicatifs Brainwave GRC Proprietary and Confidential Information All Rights Reserved Utilisateurs & entits Applications & permissions 1 2 3 1. Contrle exhaustif sur le primtre existant4 5
14. 14. 14 tape 2 : Ajouter de nouveaux contrles et tendre le primtre Brainwave GRC Proprietary and Confidential Information All Rights Reserved Lautomatisation avec une solution adquate permet dajouter de nouveaux contrles moindre effort Construction de matrice de rgles et de contrle en mode agile 1 2 3 2. Ajouter de nouveaux contrles et tendre le primtre4 5
15. 15. Ajouter de nouveaux contrles 15 Brainwave GRC Proprietary and Confidential Information All Rights Reserved 1 2 3 2. Ajouter de nouveaux contrles et tendre le primtre4 5
16. 16. 16 Cartographie des accs aux donnes Brainwave GRC Proprietary and Confidential Information All Rights Reserved Utilisateurs & entits Rpertoires partags & types daccs 1 2 3 2. Ajouter de nouveaux contrles et tendre le primtre4 5
17. 17. 17 tape 3 : Implmenter des contrles plus complexes Brainwave GRC Proprietary and Confidential Information All Rights Reserved Contrle complexe : FRAUDE SoD + plusieurs oprations enchanes dans plusieurs applications Bas sur scnario de fraude Objet : Un trader en congs ne doit pas accder au plateau de trading Donnes : application gestion des congs, contrles d'accs badges, applications de trading Rsultat : Liste des suspects envoye au responsable du contrle pour investigation 1500 contrles 450 applications 2 fois / semaine 1 2 3 3. Implmenter des contrles plus complexes4 5
18. 18. 18 Les droits rsiduels dans la vraie vie, une situation qui doit rester temporaire Brainwave GRC Proprietary and Confidential Information All Rights Reserved 1 2 3 3. Implmenter des contrles plus complexes4 5 Contrle complexe : MOBILIT INTERNE Client manufacturier Exception temporaire sur les carts de droits : mobilit interne Suivi des carts avec un seuil de tolrance personnalis (x%) Alerte temporise (x jours) 1 million d'identits 65 millions de permissions testes
19. 19. 19 Pareto : identifier les priorits en remdiation Brainwave GRC Proprietary and Confidential Information All Rights Reserved Rsoudre les conflits sur ces 6 rgles de SoD pour supprimer 80 % des problmes. 1 2 3 3. Implmenter des contrles plus complexes4 5
20. 20. 20 tape 4 : Contrle de processus daffaires Brainwave GRC Proprietary and Confidential Information All Rights Reserved Ajouter la dimension financire aux risques TI Confort pour lauditeur externe et interne SoD sur des processus daffaires 1 2 3 4. Contrle de processus daffaires4 5
21. 21. 21 Brainwave GRC Proprietary and Confidential Information All Rights Reserved Vue de bout en bout des risques de fraude au sein du processus daffaires Achat au paiement Dtection des fraudes intra applicationDtection des fraudes inter applications Modlisation des conflits de sparation de tches 1 2 3 4. Contrle de processus daffaires4 5
22. 22. 22 Brainwave GRC Proprietary and Confidential Information All Rights Reserved Rpartition des risques potentiels de fraude par processus daffaires Impact des fraudes avres par processus daffaires Valorisation du risque de fraude sur les processus daffaires 1 2 3 4. Contrle de processus daffaires4 5
23. 23. 23 Dtails des transactions dangereuses Brainwave GRC Proprietary and Confidential Information All Rights Reserved Pourquoi une assistante a ralis ces transactions dangereuses ? 1 2 3 4. Contrle de processus daffaires4 5
24. 24. 24 Dtection de risques non connus tape 5: Analyse comportementale Brainwave GRC Proprietary and Confidential Information All Rights Reserved Utilisateurs avec un comportement dviant Nombre daccs anormalement lev pour un consultant TI 1 2 3 5. Analyse comportementale4 5
25. 25. 25 Bnfices Brainwave GRC Proprietary and Confidential Information All Rights Reserved Avant Aprs Audit interne Collecte et traitement Analyse des rsultats Remdiation Avant Aprs Responsables applicatifs / lignes d'affaires Ralisation des revues Suivi des revues Avant Aprs Equipe TI Collecte des donnes Rponses aux auditeurs Corrections De meilleure relation entre TI, audit interne et externe Des gains de temps travers lorganisation Plus de valeur ajoute
26. 26. 26 Partager ! Brainwave GRC Proprietary and Confidential Information All Rights Reserved Audit interne Scurit TI Risques oprationnels Responsables dapplications Lignes daffaires Auditeurs externes Valeur ajoute de lanalytique travers lorganisationApporter de la valeur 30 90 jours deffortsRapidit Autonomie pour crer des contrles, analyser les rsultatsFlexibilit / Agilit Partager les rsultats et les bnfices avec : Plus de confiance et de confort Plus de valeur travers lorganisation Plus de soutien oprationnel et financier
27. 27. Contacts Emmanuel Sol C: +1 514 647 6574 emmanuel.sol@brainwavegrc.com Eric In D: +1 437 836 3621 C: +1 647 544 6000 eric.in@brainwavegrc.com Brainwave GRC Proprietary and Confidential Information All Rights Reserved 27