L'informatique et la fraude Aix-en-Provence
17
CONFÉRENCE AIX en PROVENCE « L’INFORMATIQUE ET LA FRAUDE » 21/05/2015 | www.noelpons.fr | 1
-
Upload
antoine-vigneron -
Category
Technology
-
view
157 -
download
0
Transcript of L'informatique et la fraude Aix-en-Provence
CONFÉRENCE
AIX en PROVENCE
« L’INFORMATIQUE ET LA FRAUDE »
21/05/2015 | www.noelpons.fr | 1
PLAN DE LA CONFÉRENCE
L’intelligence et l’informatique
L’approche de la cartographie applicative
Quelques problèmes récurrents
Les risques des systèmes
21/05/2015 | www.noelpons.fr | 2
21/05/2015
L’INTELLIGENCE ET
L’INFORMATIQUE
| www.noelpons.fr | 3
LES RISQUES MAJEURS
A-t’on évalué ce qui constitue l’essence même
d’une société (stratification des fichiers) ?
Connaît-on bien ses sous traitants (risque de vol
de données) ?
A-t’on analysé les termes des contrats (clauses
d’auditabilité etc.)
A-t’on bien évalué les problèmes de sécurité ?
21/05/2015 | www.noelpons.fr | 4
LES RISQUES MAJEURS DES
NOUVEAUX OUTILS
L’espionnage économique
Le « cloud computing »
Les pratiques frauduleuses du trading à haute
fréquence
Le risque majeur de l’internet :
La mise en réseau croissante de l'économie, des
États et des individus sur Internet
Les problématiques de sécurité
21/05/2015 | www.noelpons.fr | 5
LES RISQUES MAJEURS DES
NOUVEAUX OUTILS
Les attaques touchant les systèmes d’information
internes
Les rapports avec les collaborateurs
Les contrats liés aux sous-traitants techniques
La chaîne d’approvisionnement
Les technologies de rupture et les chocs externes
(ex. : incendie ou catastrophes naturelles).
21/05/2015 | www.noelpons.fr | 6
21/05/2015
L’APPROCHE DE LA
CARTOGRAPHIE APPLICATIVE
| www.noelpons.fr | 7
APPROCHE DE LA
CARTOGRAPHIE APPLICATIVE Documentation
La répartition organisationnelle ce qui permet de comprendre qui
sont les décideurs
L’existence d’une charte informatique:
date de la dernière mise à jour
les documents qui pourraient être assimilés à une charte
la procédure d'acceptation de cette charte..
La maintenance des logiciels (contrats, disponibilité des
systèmes et continuité de l’activité, langage concernant chaque
logiciel)
.
21/05/2015 | www.noelpons.fr | 8
APPROCHE DE LA
CARTOGRAPHIE APPLICATIVE Procédure
Les processus de gestion des droits (habilitations / sécurité
logique) et la politique informatique (changement de mot de
passe, téléchargement, mises à jour...)
La procédure de gestion des incidents et les critères d’efficacité
Carto
Les logiciels utilisés ainsi que les déversements réalisés
Quelles sont les données en entrées et celle exportées ?
Quels sont les traitements ?
fréquence du déversement ?
la gestion des interfaces contrôles embarqués,gestion des rejets,
fréquence...)
A-t-on identifié et dissocié les informations confidentielles ?
Exportées auprès de qui ?
| www.noelpons.fr | 9 21/05/2015
21/05/2015
QUELQUES PROBLÈMES
RÉCURRENTS
| www.noelpons.fr | 10
QUELQUES PROBLÈMES
RÉCURRENTS
Revues du contrôle interne, quelques anomalies :
Contrôle des fichiers d’interface exemples de constats:
Des contrôles sur les fichiers d’interface sont effectués hors de
l’échange de données informatisées par l’intermédiaire de scripts
L’exhaustivité de l’intégration de tous les dossiers dans l’application n’est
pas assuré
Le fichier transmis en production est filtré pour ne conserver que les
lignes correctes et les lignes corrigées
Les lignes mises de côté sont retraitées sans contrôle ni validation
Le risque de transmission d’un fichier erroné est donc présent
21/05/2015 | www.noelpons.fr | 11
QUELQUES PROBLÈMES
RÉCURRENTS Revues du contrôle interne, quelques anomalies :
Modification des fichiers d’interface : exemples de constats
La modification des fichiers d’interface ne respecte pas le principe de
non correction des données.
La réalisation de corrections est erronée et le retraitement des lignes
écartées est oublié
Les lignes en anomalie ne sont pas communiquées aux utilisateurs
Recommandations
Documenter les contrôles effectués qui sont validés par le métier
Lister les anomalies récurrentes afin de les traiter dans le Système
d’information
21/05/2015 | www.noelpons.fr | 12
QUELQUES PROBLÈMES
RÉCURRENTS Revues du contrôle interne, quelques anomalies:
Retraitement des anomalies
Les dossiers non intégrés ou rejetés sont stockés dans une table dédiée
Les lignes sont corrigées manuellement ou via des scripts et réintégrées dans le système au fur et à mesure sans validation du métier
Le processus ne garantit pas que les écritures sont transmises de façon exhaustive
Retraitement des lignes en anomalie avec une macro Excel
Qui l’a écrite ?
Qui l’a validée ?
Qui y a accès ?
Qui la contrôle ?
Le retraitement des lignes en erreur n’est pas industrialisé et il est possible que la totalité des lignes en anomalie ne soit pas traitée
21/05/2015 | www.noelpons.fr | 13
QUELQUES PROBLÈMES
RÉCURRENTS Revues du contrôle interne, quelques anomalies:
Résolution des incidents
L’identification de tickets de type « anomalie » non résolus et/ou dépassant le délai établi
En l’absence de correction systématique des incidents, des écritures sont en erreur ou manquantes
Sécurité logique accès au Système
Il n’existe pas de procédure de gestion des comptes utilisateurs spécifiques ou non
Les comptes utilisateurs sont créés par l’exploitation en fonction des besoins et aucune revue des utilisateurs périodiques n’est réalisée
Des opérations d’exploitation non autorisées peuvent être effectuées en production (séparation entre la production et l’exploitation)
21/05/2015 | www.noelpons.fr | 14
QUELQUES PROBLÈMES
RÉCURRENTS Revues du contrôle interne, recommandations du retraitement des anomalies :
Lister les anomalies récurrentes afin de les traiter dans le système
Automatiser l’isolement des lignes en erreur et le nettoyage du fichier
Documenter les retraitements effectués
Mettre en place une stratégie de retraitement pour les écritures à fort impact et les
traiter dans le Système en tant que dossier en rejet
Revues du contrôle interne, recommandations pour la résolution des incidents :
Confirmer les délais de clôture des incidents et s’assurer de leur correcte application
par le support
Mettre en place un suivi périodique des incidents afin de s’assurer que les écritures en
erreur sont retraitées
Revues du contrôle interne, recommandations pour la sécurité logique et les accès au Système :
Identifier les utilisateurs déclarés ainsi que leur droits
S’assurer que les droits accordés correspondent à leurs prérogatives
21/05/2015 | www.noelpons.fr | 15
21/05/2015
LES RISQUES DES SYSTÈMES
| www.noelpons.fr | 16
LES RISQUES LIÉS AUX
SYSTÈMES EUX MÊMES
La gestion des habilitations
La séparation des tâches
Quand le système n’est pas complet les
utilisateurs trouvent des solutions autres
La gestion des passe droits
La clé générale sur internet
21/05/2015 | www.noelpons.fr | 17
