Scribd Logo
Importer

Bienvenue sur Scribd !

  • 4 1bis

    Transféré par

    Saida Hajji
    8 vues9 pages

    Titre original

    4.1bis

    Copyright

    © © All Rights Reserved

    Formats disponibles

    XLSX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme XLSX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    8 vues9 pages

    4 1bis

    Transféré par

    Saida Hajji

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme XLSX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 9

    4.

    1
    Processus : Sécurité logique de l’applica

    Sous-domaine Risque

    Les actions menées quant à la


    sécurité logique des applications
    Politiques et normes
    et des données ne sont pas
    de sécurité
    alignées avec les exigences des
    métiers.

    Une personne non autorisée


    Identification,
    accède au système et utilise,
    authentification et
    diffuse, endommage ou détruit
    accès
    des données.

    Une personne non autorisée


    accède au système et utilise,
    Gestion des profils diffuse, endommage ou détruit
    des données.
    Une personne non autorisée
    Gestion des
    accède au système et utilise,
    habilitations
    diffuse, endommage ou détruit
    utilisateurs
    des données.

    Fraude et/ou falsification des


    Séparation des données dues au non respect des
    fonctions principes de séparation des
    fonctions.
    Fraude et/ou falsification des
    Séparation des données dues au non respect des
    fonctions principes de séparation des
    fonctions.

    Difficultés pour découvrir


    Traçabilité des
    l'origine/responsabilité d'une
    systèmes
    transaction non autorisée.
    Processus : Sécurité logique de l’application comptable

    Activité de maîtrise des risques


    attendue

    (Point d’audit à vérifier)

    La direction a adopté une politique et


    des normes de sécurité informatique
    adéquates pour protéger les données et
    systèmes de l’entreprise.

    L'accès logique au système, aux


    données et aux transactions doit être
    limité par la mise en œuvre de
    mécanismes d'identification,
    d'authentification et d'autorisation
    adéquats, assortis de règles d'accès.

    Les droits d’accès des utilisateurs aux


    systèmes et aux données sont en accord
    avec des besoins métiers définis et
    documentés et les profils de fonctions
    sont attachés aux identités
    Des procédures doivent être établies
    pour s'assurer que les actions relevant
    de l'ouverture, de la modification et de
    la fermeture des comptes utilisateurs
    sont réalisées au moment opportun.

    La séparation des fonctions au niveau


    des processus métiers et de la fonction
    informatique est assurée afin de
    prévenir l'utilisation non autorisée, la
    divulgation, la modification, la
    détérioration ou la perte de données. Le
    management doit s’assurer que le
    personnel n’effectue que les tâches
    autorisées relevant de sa fonction et de
    ses attributions.
    prévenir l'utilisation non autorisée, la
    divulgation, la modification, la
    détérioration ou la perte de données. Le
    management doit s’assurer que le
    personnel n’effectue que les tâches
    autorisées relevant de sa fonction et de
    ses attributions.

    Les systèmes intègrent des fonctions de


    traçabilité et les traces sont revues de
    manière régulière par le personnel
    adéquat
    de l’application comptable

    Objectifs d’audit

    S'assurer que l'étendue des politiques et normes de sécurité de


    l’entreprise est clairement définie, documentée et approuvée par la
    direction et qu'il existe des procédures détaillées contenant les exigences
    de sécurité informatique imposées par la direction et alignées sur les
    exigences des métiers.

    S'assurer que des procédures et mécanismes sont utilisés pour identifier


    les utilisateurs du logiciel.

    S'assurer du niveau de protection des systèmes applicatifs et


    d'exploitation au travers de la gestion des mots de passe.

    S'assurer qu'il existe une répartition des utilisateurs en groupes


    d'utilisateurs selon les rôles et responsabilités de chacun dans
    l'organisation . L'accès est sub-divisé en autorisations lecture, écriture,
    ajout, suppression, exécution,…
    S'assurer qu'un processus est en place pour la création/modification d'un
    profil utilisateur. L'affectation des droits d'accès au système et aux
    données est effectuée sur la demande formelle des responsables
    identifiés.
    S'assurer que la validité des rôles et des responsabilités des utilisateurs
    est gérée par le métier.
    S'assurer de l'existence d'une procédure centralisée de gestion des
    comptes utilisateurs permettant de traiter les demandes, attributions,
    ouvertures, suspensions, modifications et clôtures des comptes
    utilisateurs et des droits associés.
    La procédure d'approbation doit spécifier le nom du propriétaire des
    données ou du système qui attribue les droits d'accès.
    S'assurer de l'absence de doublons dans les comptes utilisateurs

    S'assurer de l'existence de procédures spécifiques de gestion des comptes


    administrateurs incluant des niveaux de validation adéquates.

    S'assurer que la séparation des tâches dans les processus de gestion de


    droits d'accès et des utilisateurs est imposée par les procédures en place
    (contrôles manuels) incluant : le demandeur est différent de l'approbateur
    et de la personne qui implémente la demande.

    S'assurer que les procédures en place assurent la suppression


    systématique des comptes utilisateurs à la fin de la période de validité
    d'un contrat pour les CDD et intérimaires :
    - les dates de fin de contrat sont systématiquement renseignées au sein du
    système
    - le système permet la révocation automatique de tout compte utilisateur
    dont la date de validité est arrivée à terme

    Le management doit mettre en place un processus de contrôle périodique


    pour réviser et confirmer les droits d'accès (habilitations). Une
    comparaison périodique avec les droits enregistrés pour les ressources
    doit permettre de réduire le nombre d'erreurs, de fraudes, d'utilisations
    inappropriées ou de modifications non autorisées.

    S'assurer qu'il existe une matrice de séparation des fonctions propre à


    l’application comptable afin de réduire la possibilité qu'un seul individu
    puisse détourner un processus critique et qu'elle est respectée lors de
    l'attribution des droit d'accès aux utilisateurs.

    S'assurer qu'il existe une matrice de séparation des fonctions et qu'elle est
    respectée lors de l'attribution des droits d'accès aux utilisateurs ayant
    accès à plusieurs systèmes.
    S'assurer que les développeurs n'ont pas accès aux données de
    production.

    Vérifier que le système contient des fonctions de traces d'audit (logs) des
    violations de sécurité, de l'accès autorisé aux ressources et de l'activité
    des utilisateurs privilégiés, y compris :
    - Enregistrement de l'accès autorisé au système et de l'usage des systèmes
    - Enregistrement des tentatives d'accès non autorisées ;
    - Enregistrement de la maintenance des profils ou tableaux de sécurité ;
    - Enregistrement de l'activité des utilisateurs privilégiés ; traces d'audit
    adéquates ;
    - Enregistrement et contrôle de l'accès par des informaticiens externes à
    partir de sites à distance ;
    - Conservation adéquate des fichiers de consignation du système ;
    - Restrictions sur les fonctions disponibles pour contourner les
    paramètres de connexion ;
    - Enregistrement de l'accès excessif ;
    - Enregistrement de l'utilisation des commandes sensibles.

    Vous aimerez peut-être aussi