Les règles d'accès sont la fondation de toute analyse de risque d'accès efficace. Elles définissent quelles combinaisons de droits d'accès constituent un risque et permettent à MTC Skopos d'identifier les conflits de Séparation des Tâches et les accès critiques au sein de votre organisation.
Comme chaque environnement est unique, MTC Skopos n'inclut pas de règles d'accès intégrées. Les clients sont invités à développer leurs propres règles ou à faire appel à nos services de conseil pour en construire sur mesure. Nous pouvons fournir un modèle de règles d'accès comme point de départ, mais il doit être revu et adapté par le client pour refléter les spécificités de son environnement.
Comprendre les règles d'accès
En tant que consultants en sécurité, nous savons que la mise en œuvre des règles de Séparation des Tâches (SoD) et d'accès critiques (CA) dépasse la simple configuration technique. Les contrôles système et la mise en œuvre technique des autorisations sont essentiels, mais ils ne représentent que la moitié de l'équation. L'efficacité d'un cadre SoD/CA dépend d'une compréhension approfondie des processus métier, de la structure organisationnelle et de la configuration système de l'organisation.
Pour identifier les risques, il faut aligner les rôles et autorisations techniques avec les fonctions métier. Cela implique d'échanger avec les acteurs métier, de cartographier les processus et de s'assurer que les règles d'accès reflètent la manière dont l'organisation fonctionne réellement, et pas seulement la manière dont le système est configuré. Cette approche garantit la conformité, l'efficacité opérationnelle et l'adhésion des utilisateurs.
Types de règles
Règles de Séparation des Tâches (SoD) Les règles SoD définissent les combinaisons de fonctions qui ne doivent pas être exercées par la même personne. Par exemple :
- Créer un fournisseur ET traiter les paiements à ce fournisseur
- Saisir des commandes d'achat ET les approuver
- Maintenir les comptes utilisateurs ET attribuer les rôles d'autorisation
Règles d'accès critiques Les règles d'accès critiques identifient les fonctions sensibles qui nécessitent un suivi indépendamment des autres accès. Exemples :
- Accès direct à la base de données ou capacités de débogage
- Modifications de la configuration système
- Transactions de modification de données en masse
Structure des règles d'accès
Comment maintenir les règles d'accès ?
Le fichier de règles d'accès peut être ouvert et maintenu directement dans Microsoft Excel. La structure est complète et facile à maintenir.
Le fichier de règles d'accès contient les composants clés suivants :
| Composant | Description |
|---|---|
| ID du risque | Identifiant unique de chaque règle de risque |
| Description du risque | Description compréhensible du conflit pour le métier |
| Niveau de risque | Classification (élevé, moyen, faible) selon l'impact potentiel |
| Fonction 1 | Première fonction du conflit SoD |
| Fonction 2 | Seconde fonction du conflit SoD |
| Actions | Transactions techniques, objets d'autorisation ou permissions |
| Système | Système cible pour l'analyse cross-system |
Bonnes pratiques pour développer les règles d'accès
- Partir des processus métier – Cartographiez vos processus métier critiques avant de définir les règles techniques
- Impliquer les parties prenantes – Faites valider par les responsables de processus que les règles reflètent les risques réels
- Prioriser par impact – Concentrez-vous d'abord sur les zones à fort risque (transactions financières, données de référence)
- Documenter le rationnel – Notez la raison d'être de chaque règle pour répondre aux questions d'audit
- Revue régulière – Mettez à jour les règles d'accès lorsque les processus métier ou les systèmes évoluent
Règles d'accès cross-system
Comment fonctionnent les règles d'accès cross-system ?
Renseignez le champ « Système » pour indiquer le système où la fonction est censée être déclenchée. Cela permet à MTC Skopos d'identifier des risques s'étendant sur plusieurs systèmes ERP.
Note : les fichiers de règles d'accès contenant plusieurs systèmes ne peuvent être utilisés que dans des scénarios d'analyse de risques cross-system.
Exemple de risque cross-system : Un utilisateur capable de créer des fournisseurs dans SAP et d'approuver des paiements dans un système de trésorerie distinct présente un conflit SoD cross-system qui ne serait pas détecté en analysant chaque système isolément.
Besoin d'aide ?
Construire des règles d'accès efficaces exige à la fois des connaissances techniques et une bonne compréhension des processus métier. Notre équipe de conseil peut vous accompagner pour :
- Construction des règles d'accès – Créer un jeu de règles sur mesure adapté à votre organisation
- Personnalisation du modèle – Adapter notre modèle de règles d'accès à votre environnement spécifique
- Validation et tests – Vérifier que les règles identifient bien les risques réels
- Formation – Permettre à votre équipe de maintenir et faire évoluer les règles d'accès en autonomie