Résilience du Controle Interne

~ « Venir ensemble est un commencement; rester ensemble est un progrès; travailler ensemble est un succès. (Henry Ford) »

Résilience du Controle Interne

Archives de Tag: cyber-activité

Un ancien salarié sur trois pourrait toujours avoir accès au réseau de l’entreprise

06 jeudi Juil 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Audit Interne, Conformité, Contrôle Interne, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, Risques Opérationnels

≈ 6 Commentaires

Étiquettes

accès, accréditation, achats, activités, appétence, applications, architecture, banque, bottom-up, collaborateurs, collectivités, communication, composants, confiance, continuation, contrôle, contrôle interne, culture, cyber-activité, détection, entité, entreprise, exposition, finance, fonctionnement, fonctions, fournisseur, gouvernance, habilitations, informatique, infrastructure, intervention, management, mobiles, numérique, objectifs, organisation, outil, pérennité, personnel, plan de continuité de l'activité, politique, procédures, processus, règles, résiliation, ressources humaines, risque opérationnel, Risques, Secteur public, stratégie, support, technology, top-down, transformation, transition, valeurs, verification

internet-1952019_1280

La confiance n’exclut pas le contrôle. La principale difficulté est de découvrir le juste milieu et de le maintenir, tout en le faisant évoluer, au cours des périodes futures. 

Nous nous situons dorénavant dans un nouveau contexte, inimaginable au XXème siècle, en matière de risques et, plus particulièrement, en termes d’insécurité vis-à-vis de nos activités informatique, numérique et nos interactions dans le cyberespace. 

Ce constat étant posé,  il ne faut pas non plus nous voiler la face : nous subissons certains travers, qui nous sont dus, dans notre fonctionnement et notre organisation, quelle que soit la forme de notre entité. Cela est lié à différents facteurs indépendants ou interdépendants entre eux. A savoir :

  1. La méthode de gouvernance retenue en termes de réalisation de la stratégie au travers de la déclinaison des objectifs commerciaux et de l’approche managériale appliquée.
  2. La communication interne. Souvent « top-down« , elle devrait être organisée aussi de manière « bottom-up » sur certains sujets, afin de créer un véritable échange (les outils numériques peuvent favoriser celui-ci).
  3. Une véritable culture d’entreprise (valeurs partagées par l’ensemble du personnel). En tant qu’outil de management, elle passe par une stratégie des Ressources humaines qui doit prendre en compte les aspects collectifs du travail.
  4. Les niveaux de culture du risque et d’appétence de l’organisation à son exposition.
  5. L’architecture du système d’information interne et de ses composants mobiles. Il n’est pas envisageable de remettre tout à plat, mais certaines « interactions » doivent être améliorées, voire repensées (est-il raisonnable, par exemple, qu’il soit permis d’accéder à des données sensibles à partir de terminaux personnels?). De même, il convient de résoudre les problématiques antérieures et d’instituer un contrôle interne au sein de la fonction informatique, s’il n’est pas présent, avant toute transformation au numérique de l’entité. Sinon, il y aura une exposition à des risques opérationnels supplémentaires.
  6. La politique d’achats et les processus d’accréditation, de suivi et de contrôle des fournisseurs (incluant les accès à certaines données propres à l’entité).

Mais le véritable « nerf de la guerre » concourant à la pérennité de l’entité et à la continuation d’activité,

c’est particulièrement la gestion des accès

et les processus d’habilitation de tous les collaborateurs

 

Un outil, ou une application, de gestion d’accès n’est pas suffisant à lui seul. Le management opérationnel de tout niveau y a un rôle à jouer et des règles à respecter, tout comme certaines fonctions supports.

Cette gestion des accès ne serait pas complète, si elle n’incluait pas, d’une part une solution de détection des tentatives d’accès erronés, forcés, ne correspondants pas aux attributions d’un collaborateur et, d’autre part, l’analyse complète de toutes les anomalies détectées et leur reporting.

Ne devrait-elle pas être incluse dans toute intervention du contrôle périodique lors de l’exécution de missions d’audit interne auprès d’unités, de services et de départements de l’entité?

Enfin, les Ressources humaines, en liaison avec les managers de proximité et le contrôle interne au sein de la fonction informatique, doivent inclure dans leur stratégie d’intervention une procédure de vérification (d’assurance) que tous les accès attribués à un collaborateur soient bien résiliés avant toute signature et la remise de documents finaux antérieurement à son départ définitif de l’entité.

33% des décideurs interrogés à travers le monde avouent que d’anciens salariés pourraient toujours avoir accès au réseau interne ! Tel est le constat dressé par Bomgar, spécialiste des solutions sécurisées de gestion des accès, qui vient de publier les conclusions de son rapport 2017 « Secure Access Threat Report »*. Elle révèle que les accès de salariés et de tiers autorisés constituent une menace croissante pour la sécurité des entreprises et de leurs systèmes IT. Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Souscrire

  • Articles (RSS)
  • Commentaires (RSS)

Archives

  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mai 2016
  • avril 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015

Catégories

  • A propos
  • Audit Interne
    • Actualités
    • Ethique
    • Référentiels de risques
    • Repère
    • Secteur Public
  • Confidentiel…qui ne l'est plus
  • Conformité
    • Actualités
    • Ethique
      • Best Practices
    • Fraude
    • Lutte contre le blanchiment des capitaux et le financement du terrorisme
    • Plan de Continuité de l'Activité (PCA)
    • Protection des données
    • R&D
  • Contrôle Interne
    • Actualités
    • R&D
    • Secteur public
  • Formation (KM)
    • Actualités
    • Conférences intéressantes
    • Contrôle Interne
    • Gestion des risques
    • Protection données
    • R&D
    • Sécurité
    • Terminologie
  • Gestion des risques
    • Actualités
    • Continuité de l'activité (PCA)
    • Cyberactivité
    • Public
    • R&D
    • Risques Opérationnels
  • Intelligence artificielle
  • Les référentiels
    • Audit Interne
    • Conformité
    • Contrôle Interne
    • ISO
    • Réglementations
    • Risques
  • Mes communications
  • Mes curations
    • Mes magazines professionnels personnels
  • Non classé
  • Points de vue et Perspectives

Méta

  • Inscription
  • Connexion

L’auteur

Belin Olivier Consultant (B.O.C.)

Belin Olivier Consultant (B.O.C.)

COSO, COSO II et COSO III, Contrôle Interne, AMF 2007-2008, Fraude, PCA, Conformité, AFCDP, Intelligence Economique, KM, Ingénierie de formation, Web2.0 http://www.belin-olivier.branded.me http://fr.linkedin.com/in/olivierbelin Paris Vous souhaitez échanger sur des sujets de ce blog, ou me rencontrer, n’hésitez pas à me contacter.

Liens Personnels

  • Mon Portfolio professionnel

Services Vérifiés

Afficher le Profil Complet →

Entrez votre adresse mail pour suivre ce blog et être notifié(e) par email des nouvelles publications.

Rejoignez 2 023 autres abonnés

Mots-clés

analyse ANSSI assurance attaque audit audit interne banque banques blanchiment de capitaux CIL CNIL compliance conformité conformité réglementaire contrôle contrôle interne contrôle permanent corruption cyber-attaque cyberattaque cybersécurité Data dispositif données données personnelles DPO DSI entreprise entreprises Ethique ETI Europe finance formation France fraude gestion Gestion des risques gouvernance hacker information informations informatique Internet juridique loi management normes numérique organisation outils PME processus procédures protection protection des données protection des informations prévention Public ransomware RGPD risk-management risque Risques règlementation règles sensibilisation stratégie système système d'information sécurité sécurité informatique technologie technology transparence
Follow Résilience du Controle Interne on WordPress.com

Créez un site Web ou un blog gratuitement sur WordPress.com.

Annuler
loading Annuler
L'article n'a pas été envoyé - Vérifiez vos adresses email !
La vérification e-mail a échoué, veuillez réessayer
Impossible de partager les articles de votre blog par email.
Confidentialité & Cookies : Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez leur utilisation.
Pour en savoir davantage, y compris comment contrôler les cookies, voir : Politique relative aux cookies
%d blogueurs aiment cette page :