Étiquettes
accès, accréditation, achats, activités, appétence, applications, architecture, banque, bottom-up, collaborateurs, collectivités, communication, composants, confiance, continuation, contrôle, contrôle interne, culture, cyber-activité, détection, entité, entreprise, exposition, finance, fonctionnement, fonctions, fournisseur, gouvernance, habilitations, informatique, infrastructure, intervention, management, mobiles, numérique, objectifs, organisation, outil, pérennité, personnel, plan de continuité de l'activité, politique, procédures, processus, règles, résiliation, ressources humaines, risque opérationnel, Risques, Secteur public, stratégie, support, technology, top-down, transformation, transition, valeurs, verification
La confiance n’exclut pas le contrôle. La principale difficulté est de découvrir le juste milieu et de le maintenir, tout en le faisant évoluer, au cours des périodes futures.
Nous nous situons dorénavant dans un nouveau contexte, inimaginable au XXème siècle, en matière de risques et, plus particulièrement, en termes d’insécurité vis-à-vis de nos activités informatique, numérique et nos interactions dans le cyberespace.
Ce constat étant posé, il ne faut pas non plus nous voiler la face : nous subissons certains travers, qui nous sont dus, dans notre fonctionnement et notre organisation, quelle que soit la forme de notre entité. Cela est lié à différents facteurs indépendants ou interdépendants entre eux. A savoir :
- La méthode de gouvernance retenue en termes de réalisation de la stratégie au travers de la déclinaison des objectifs commerciaux et de l’approche managériale appliquée.
- La communication interne. Souvent « top-down« , elle devrait être organisée aussi de manière « bottom-up » sur certains sujets, afin de créer un véritable échange (les outils numériques peuvent favoriser celui-ci).
- Une véritable culture d’entreprise (valeurs partagées par l’ensemble du personnel). En tant qu’outil de management, elle passe par une stratégie des Ressources humaines qui doit prendre en compte les aspects collectifs du travail.
- Les niveaux de culture du risque et d’appétence de l’organisation à son exposition.
- L’architecture du système d’information interne et de ses composants mobiles. Il n’est pas envisageable de remettre tout à plat, mais certaines « interactions » doivent être améliorées, voire repensées (est-il raisonnable, par exemple, qu’il soit permis d’accéder à des données sensibles à partir de terminaux personnels?). De même, il convient de résoudre les problématiques antérieures et d’instituer un contrôle interne au sein de la fonction informatique, s’il n’est pas présent, avant toute transformation au numérique de l’entité. Sinon, il y aura une exposition à des risques opérationnels supplémentaires.
- La politique d’achats et les processus d’accréditation, de suivi et de contrôle des fournisseurs (incluant les accès à certaines données propres à l’entité).
Mais le véritable « nerf de la guerre » concourant à la pérennité de l’entité et à la continuation d’activité,
c’est particulièrement la gestion des accès
et les processus d’habilitation de tous les collaborateurs
Un outil, ou une application, de gestion d’accès n’est pas suffisant à lui seul. Le management opérationnel de tout niveau y a un rôle à jouer et des règles à respecter, tout comme certaines fonctions supports.
Cette gestion des accès ne serait pas complète, si elle n’incluait pas, d’une part une solution de détection des tentatives d’accès erronés, forcés, ne correspondants pas aux attributions d’un collaborateur et, d’autre part, l’analyse complète de toutes les anomalies détectées et leur reporting.
Ne devrait-elle pas être incluse dans toute intervention du contrôle périodique lors de l’exécution de missions d’audit interne auprès d’unités, de services et de départements de l’entité?
Enfin, les Ressources humaines, en liaison avec les managers de proximité et le contrôle interne au sein de la fonction informatique, doivent inclure dans leur stratégie d’intervention une procédure de vérification (d’assurance) que tous les accès attribués à un collaborateur soient bien résiliés avant toute signature et la remise de documents finaux antérieurement à son départ définitif de l’entité.
33% des décideurs interrogés à travers le monde avouent que d’anciens salariés pourraient toujours avoir accès au réseau interne ! Tel est le constat dressé par Bomgar, spécialiste des solutions sécurisées de gestion des accès, qui vient de publier les conclusions de son rapport 2017 « Secure Access Threat Report »*. Elle révèle que les accès de salariés et de tiers autorisés constituent une menace croissante pour la sécurité des entreprises et de leurs systèmes IT. Lire la suite