© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

La gestion des droits d’accès au système d’information en entreprise

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

La protection des informations

La maîtrise des transactions

Le management

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Une gestion des droits d’accès pour des informations mieux protégées

Intégrité

Disponibilité

Accessibilité

Restriction de diffusion

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Une gestion des droits d’accès pour sécuriser les opérations et les transactions

Autorisation pour les opérations et les transactions dans l’entreprise (autorisations / ajouts / suppressions / modifications)

Validations

Non répudiation des décisions

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Un élément essentiel pour le management

Incontournable pour le contrôle interne

Important pour les certifications ISO (9001, 14000, 26000 etc.)

Traçabilité

Documentation et preuves pour les audits

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les délégations de pouvoir et de signature

La séparation des fonctions

Les rôles

Les risques de gestion des habilitations

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Les droits d’accès sont conformes aux seuils de délégation de pouvoir et de signature

Les décisions reviennent à celles et ceux qui sont investis de l’autorité

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Les droits d’accès matérialisent les séparations de fonctions pour :

Les personnes disposant des compétences et de l’autorité

Sécuriser les transactions incompatibles

Prévenir les collusions

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Les droits d’accès sont octroyés selon des rôles prédéfinis dans l’organisation

Fonction

Activité

Métier

Profil informatique

Rôle applicatif

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

La gestion des habilitations prévient des risques importants pour l’entreprise:

Processus inefficace

Arrivées, départs et transferts de personnes non transcrits dans le système d’information

Incohérence des rôles applicatifs avec la séparation des fonctions

Mauvaise détection des intrusions

Absence de contrôle des droits sensibles

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les créations, modifications, suppressions des droits

Les revues des droits d’accès

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Un processus au fil de l’eau

Documenté

Des acteurs

Des preuves

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Une supervision pour :

Détecter les erreurs

Corriger les accès indus

Détecter les intrusions

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les responsabilités

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Les responsabilités sont identifiées pour:

Établir les demandes - Valider les demandes

Attribuer - supprimer les droits

Revoir les droits ouverts

Assurer la conformité des rôles applicatifs avec la séparation des fonctions

Valider les cas atypiques

Analyser les intrusions éventuelles

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Le processus

L’organisation

Les procédures

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

A fil de l’eau :

Initialisation d’une demande – Validation de la demande

Attribution du rôle applicatif demandé

Ouverture des droits dans le SI

Supervision :

Revue périodique des droits d’accès

Revue de la matrice de séparations des fonctions

Revue du catalogues des profils (métiers / rôles applicatifs)

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Positionner les responsabilités selon l’organisation de l’entreprise

Gérer les droits pour les processus externalisés (outsourcing)

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

Documenter procédures et modes opératoires

Conserver les documents de preuves

© Copyright 2013 - Tous droits réservés www.futur-partage.fr

Le processus de gestion des habilitations Version 1.0 23/04/2013

Un futur partagé

Les enjeux

Les principes fondamentaux

Le processus

Les acteurs

La mise en oeuvre

Conclusion

La gestion des droits d’accès au système d’information :

protège l’entreprise contre les erreurs, la perte d’information, les actes frauduleux.

Facilite le pilotage des processus.

Garantit le respect des règles de gestion.

S’appuie sur un processus documenté, piloté et auditable.