Français - Evidian
Contents
1. d acc s en fonction de la fonction de l utilisateur et donc de son r le dans l entreprise Rendre coh rents les rapports sur les attributions des droits d acc s et donc faciliter les audits ult rieurs Renseignements sur la George Martin travaille personne la comptabilit R le dans l organisation Donn es autoritatives Politique de droits d acc s Tous les employes de la Acc s bas s sur les r les comptabilit peuvent acc der SAP R 3 de 8h 17h Politique d acc s Droits d acc s individuels George Martin peut Donnees acc der a SAP R 3 attribu es de 8h 17h Utilisation Acces aux applications George Martin des donn es changement de mots a acc d SAP R 3 attribu es de passe etc le 10 juillet 9h12 Figure 1 Gestion raisonn e des identit s et des acc s Rapports de conf ormit EVIDIATI Avec une gestion rationnelle des identit s et des acces les rapports d audit peuvent en effet documenter des sous ensembles coh rents de l activit de gestion des acces Rapports sur le cycle de vie des identit s et des r les Rapports sur le cycle de vie de la politique d acc s Rapports de non conformite sur les droits d acc s Rapports sur le comportement des utilisateurs Cadre de r f rence de la loi Sarbanes Oxley L article 404 de la loi Sarbanes Oxley ne stipule pas quel ensemble de cat gories formelles d valuation appel framew2. r s par le d activit de contr le syst me de SSO V rifier qu ils correspondent aux groupes d utilisateurs d finis dans le plan de s curit du SI Exemple de rapport pour l activit de contr le RO6b Rapport cr le 15 juin 2012 Filtre UO Finance Groupe d utilisateurs Nombre d utilisateurs qui appartiennent au groupe d utilisateurs None 5 Secr taires 12 Gestion de comptes clients 20 Gestion de comptes fournisseurs 19 Saisie de donn es 8 Recouvrement 6 Rapports de conformi t EVIDIAFTI Authentification de l utilisateur D ployer une authentification unique dans toute l entreprise Domaine Contenu Mod le de l ITGI Des proc dures existent et sont suivies pour authentifier tous les utilisateurs dans le syst me afin d assurer la validit des transactions Exemple de risque Attribuer de multiples mots de passe aux utilisateurs peut les inciter partager leurs mots de passe les perdre ou les noter sur un support papier ou lectronique Objectif de contr le Authentification unique SSO Exemple d activit de Les utilisateurs sont inscrits dans et acc dent leur contr le application par un environnement d authentification unique Exemple de test Demander la liste des utilisateurs appartenant a une UO d activit de contr le donn e V rifier s ils sont actifs dans l environnement d authentification unique regardez la derni re connexion et surlig
3. tat Un principe de la comptabilit en partie double est qu un instant donn le r sultat financier du bilan est le m me que celui du compte de r sultat Cependant en fonction du type d information v rifier il peut faire plus de sens pour un auditeur d exiger des preuves relevant du bilan solde de comptes en banque par exemple ou du compte de r sultat factures par exemple Un parall le peut tre fait avec la gestion des identit s et des droits d acc s Selon le contr le dont un auditeur v rifie l efficacit il pourra exiger un tat actuel sur les ressources et les utilisateurs ou demander une liste des actions pr cise ayant abouti cet tat Pour remplir ces demandes l outil de gestion des identit s et des acc s doit pouvoir fournir les deux types de vues Rapports sur actions pendant une p riode de temps Actions d attribution modifications et suppressions des droits d acc s Liste des comptes bloqu s S Acc s des utilisateurs des ressources Rapports sur tat actuel Liste des droits d acc s Liste des groupes d utilisateurs Cr ations modifications et suppressions des groupes d utilisateurs Actions de changement de mots de passe Tableau 1 Exemples de types de rapports Age des mots de passe d une cat gorie d utilisateurs Rapports de conformit RO E VIDIAN Exemple de cha nes SOX risque contr le et test Dans cette section nous vous donnons des
4. Fid les pour repr senter la r alit des donn es Et bien entendu les rapports doivent couvrir les zones les plus fr quemment concern es par les exigences des lois et r glementations OR Rapports de conformit E VIDIAN La gestion raisonn e des identit s et des acc s Avec des milliers d utilisateurs et des centaines de ressources de tous types la gestion des identit s et des acc s peut facilement devenir ing rable Pour viter cela il est tr s utile de mettre en place une m thode de gestion raisonn e des acc s G rer de fa on centralis e les identit s et les acc s pr sente des avantages ind niables en termes de conformit Lors de l audit la preuve est en effet facilit e car on dispose un endroit unique des donn es d acc s Mais surtout cela permet d adopter une m thodologie coh rente de gestion sous le contr le de la politique de s curit de l entreprise Par exemple Evidian recommande de g rer de fa on s par e les donn es concernant d une part le r le des personnes dans l organisation dites donn es autoritatives d autre part la politique des acc s bas e sur les r les et enfin les autorisation d acc s qui en sont d duites donn es attribu es Cette m thode de gestion offre de nombreux avantages par exemple S parer les r les d administrateurs entre gestionnaires de personnes et gestionnaires de politique d acc s Assigner tous les droits
5. Rapports sur les acc s pour Sarbanes Oxley Livre blanc de Bull Evidian Apporter la preuve de la conformite a Sarbanes Oxley EVID A Groupe Bull Company IR sum La gestion raisonn e des identit s et des acc s Constitution de votre dossier pour vos auditeurs Exemple de cha nes SOX risque contr le et test E VIDIAN Rapports de conformit i Ans ANT ET 2013 Evidian Les informations contenues dans ce document refl tent l opinion d Evidian sur les questions abord es la date de publication En raison de l volution constante des conditions de march auxquelles Evidian doit s adapter elles ne repr sentent cependant pas un engagement de la part d Evidian qui ne peut garantir l exactitude de ces informations pass la date de publication Ce document est fourni des fins d information uniquement EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE O EXPLICITE DANS LE PRESENT DOCUMENT Les droits des propri taires des marques cit s dans cette publication sont reconnus Rapports de conformit a E VIDIAN A Groupe Bull Company Table des mati res LNEC OCUGCGEIOD 6 is di ai os da ai idiot dia La gestion raisonn e des identit s et des acc s 5 Cadre de r f rence de la loi Sarbanes Oxley 6 Constitution de votre dossier pour vos auditeurs 7 D termination des contr les le cycle de vie SOX 7 Que doit fournir un rapport sur la s curi
6. e N A 39 F2 75LT Rev0O0O Rapports de conformi t EVIDIAFTI Reporting sur les incidents de s curit Domaine Contenu Mod le de l ITGI L administration de la s curit du SI surveille et enregistre l activit et les violations de la s curit identifi es sont signal es a la hi rarchie sup rieure Exemple de risque L utilisateur pourrait essayer diff rents mots de passe successivement sur le poste de travail d un autre utilisateur obtenant ainsi l acc s Objectif de contr le Bloquer l acc s apres 10 tentatives infructueuses signaler cela la direction Exemple d activit de Apr s 10 authentifications originales infructueuses contr le l utilisateur doit tre automatiquement bloqu dans toute autre tentative d authentification et un rapport des dits incidents doit tre envoy la direction Des tests mensuels doivent tre r alis s en saisissant intentionnellement des mots de passe incorrects sur un poste de travail de test Exemple de test Demander la liste des v nements utilisateur bloqu la d activit de contr le suite de 10 authentifications infructueuses sur une p riode donn e V rifier que les tests mensuels ont t r alis s Exemple de rapport pour l activit de contr le R10 Rapport cr le 15 juin 2012 Filtre Saisir date entre le 01 01 2012 et le 15 01 2012 Filtre Saisir type Trop d authentifications infructueuses Identificatio
7. erreur des utilisateurs n ayant pas besoin de cet acc s dans l exercice de leurs fonctions Les groupes d utilisateurs doivent tre con us pour fournir l acc s aux applications par les utilisateurs qui ont r ellement besoin de l acc s Mettre des applications sp cifiques en mode d auto inscription Quelques temps apr s regarder quels utilisateurs se sont r ellement inscrits Les d finitions des groupes d utilisateurs devraient tre r vis es si des utilisateurs n utilisent en fait pas l application Pour les applications n cessitant une auto inscription demander la liste des utilisateurs ayant r ellement effectu une auto inscription La comparer la liste des utilisateurs cens s utiliser l application Exemple de rapport pour l activit de contr le R13 Rapport cr le 15 juin 2012 Filtre Ressource Comptabilit g n rale Filtre VO Finance Filtre Groupe d utilisateurs Comptes clients Identification unique Pr nom Nom UO Groupe Date d auto et Ressource i d utilisateurs inscription GEORGE MARTIN George Martin Finance Comptes clients Compta g n rale 13 06 2012 MICHAEL JONES Michael Jones Finance Comptes clients Compta g n rale 13 06 2012 BARBARA LOGAN Barbara Logan Finance Comptes clients Compta g n rale 14 06 2012 MICHAEL SMITH Michael Smith Finance Comptes clients Compta g n rale N A BARBARA LOGAN Barbara Logan Finance Comptes clients Compta g n ral
8. es publier les r sultats risquent de ne pas tre accept s faute d l ments probants A l inverse si l outil produit des donn es dignes de confiance un auditeur les acceptera comme elements de preuve et n exigera pas des donn es compl mentaires provenant d autres sources Rapports de conformi te EVIDIATI Un outil de gestion des identit s et des acces doit donc documenter l origine des donn es qu il fournit et assurer dans sa documentation que les donn es ne sont pas modifi es lors de la production de rapports Reporting complet Un environnement de reporting doit pouvoir couvrir un ensemble d informations aussi complet que possible L objectif n est bien s r pas de fournir une quantit massive d information lors de l audit mais d tre capable de produire des donn es les plus compl tes sur les domaines sp cifiques qui ont t choisis Les donn es fournies doivent donc couvrir les domaines fr quemment couverts par les audits notamment Activit des administrateurs Activit des utilisateurs finaux Tests de conformit avec la politique de s curit Outre ces th mes g n raux les donn es doivent tre suffisamment d taill es Par exemple il sera difficile d valuer la conformit la politique de gestion de mots de passe si les informations fournies ne comportent pas la date de dernier changement de mot de passe Reporting adaptable Les rapports g n r s pour Sarbanes Oxley ont
9. es rapports d ex cution ou des historiques seront d autant plus convaincantes si elles sont elles m mes r guli rement utilis es en interne Pour faire voluer r guli rement un ensemble de contr les Sarbanes Oxley il faut en effet tre capable d en valuer l efficacit L effort de conformit a Sarbanes Oxley n est en effet pas un effort unique r alis une fois pour toutes Les contr les doivent pouvoir voluer d une part parce que l organisation volue d autre part pour optimiser leur efficacit et leur co t L entreprise doit donc tablir un cycle de vie SOX au cours duquel les contr les sont r guli rement valu s Dans le cas particulier de la gestion des identit s et des acc s la gestion centralis e des utilisateurs et de la politique de s curit peut permettre de faciliter le cycle de vie SOX Production de rapports mesurant l efficacit des contr les Gestion centralis e facilitant la mise en place des contr les Mise en place rapide des nouvelles d cisions concernant la politique de s curit Que doit fournir un rapport sur la s curit Donn es exactes et non alt r es Un rapport fourni un auditeur doit tre le reflet le plus fid le possible de la r alit Pour cela il est n cessaire de produire les donn es telles qu elles sont conserv es dans les bases de s curit Si un outil r alise de fa on intempestive des d ductions et corrections de donn es avant de l
10. euves dans la certification G rer les identit s et les acc s Quel reporting pour la gestion des identit s et des acc s R guli rement les entreprises doivent fournir des auditeurs externes la preuve de leur conformit des contraintes r glementaires Par celles ci la loi am ricaine Sarbanes Oxley SOX affecte les entreprises am ricaines et d une fa on g n rale les soci t s cot es aux Etats Unis Ces lois et r glements peuvent viser pr server l int grit de donn es financi res cas de SOX et de la Loi sur la S curit Financi re ou m dicales r glement am ricain 21 CFR Part 11 la confidentialit des donn es personnelles etc D une mani re g n rale la conformit exige d identifier des risques d cider d objectifs de contr le pour y faire face et mettre en place des activit s de contr le pour parvenir ces objectifs Enfin face ces activit s il convient de pr parer les tests ad quats pour s assurer que ces processus existent sont appliqu s et fonctionnent efficacement La finalit de ces tests est double D une part ils permettent d am liorer en permanence les processus et d informer le management et les auditeurs internes D autre part ces tests seront utilis s comme preuves lors de la certification pour convaincre les auditeurs externes de conformit de l organisation Sur le terrain on constate qu une grande partie des risques de non conformit ces textes
11. exemples de cha nes concernant des contr les et la production des rapports correspondants dans le domaine de la gestion des identit s et des acc s Ces rapports sont con us pour tester les activit s de contr le qui sont elles m mes tablies pour atteindre les objectifs de contr le Enfin ces objectifs sont cens s r duire sensiblement des risques pr cis qui auraient pu tre d tect s durant les audits pr c dents Objectif de contr le Activit de contr le Test de l activit de contr le Figure 3 Partir des risques pour d terminer les activit s de contr le et tests Veuillez bien noter que ce ne sont que des exemples car aucune s rie de contr les ne peut tre adopt e en bloc par une soci t Cela serait contraire au but des contr les SOX c est dire assurer qu une entreprise a pris les mesures n cessaires la r duction de risques qui lui sont propres concernant l int grit de ses rapports financiers Les risques sont propres chaque soci t il en est donc de m me pour les mesures correctrices Cependant la liste suivante peut vous donner une id e du r le que peut jouer un outil de gestion des identit s et des acces pour faciliter les audits dans le cadre de SOX tout particuli rement concernant l article 404 de la loi De m me cette liste ne constitue pas une num ration exhaustive de tous les contr les possibles Rapports de conformi t EVIDIATI Unit Partition admin
12. i de fa on r viser et confirmer r guli rement les autorisations d acc s Exemple de risque Les autorisations d acc s pourraient tre octroy es individuellement en dehors de la politique de la soci t cr ant des br ches de s curit Objectif de contr le Autorisations d acc s octroy es seulement en fonction du profil Exemple d activit de Toutes les inscriptions aux ressources doivent r sulter de contr le l appartenance d un utilisateur a un profil Aucune inscription directe d un utilisateur une ressource ne doit tre effectu e Exemple de test Demander la liste des inscriptions n ayant pas t attribu es d activit de contr le selon un profil Exemple de rapport pour l activit de contr le Rapport cr le 15 juin 2012 Groupe R le de Inscription ees Ressource 2 d utilisateurs l utilisateur cr e le Identification unique Pr nom Nom UO AALEXANDRA_LOGAN Alexandra Logan Finance Audit Interne SAP R 3 Utilisateur 02 02 2012 Jane Martin Finance Comptes clients SAP R 3 Administrateur 03 04 2012 James Jones Finance Secr taires Intranet Utilisateur 01 05 2012 John Alvarez Finance Comptes clients SAP HR Utilisateur 12 06 2012 Rapports de conformit Auto inscription Domaine Exemple de risque Objectif de contr le Exemple d activit de contr le Exemple de test d activit de contr le E VIDIAN L acc s l application pourrait tre octroy par
13. istrative de l annuaire d une soci t Organisationnelle Certains outils de gestion des identit s et des acc s peuvent utiliser l annuaire LDAP de l entreprise comme source d information sur les utilisateurs Cela rend ainsi inutile toute duplication des donn es ou tout effort suppl mentaire d administration des utilisateurs Solution de Solution cr e pour aider les administrateurs attribuer provisionnement efficacement les ressources et les privil ges aux utilisateurs Les activit s de provisionnement doivent tre effectu es selon des r gles correspondant la politique de s curit de la soci t Recommandation Contr le illustratif figurant dans le document IT Control guidance de Objectives for Sarbanes Oxley mis par l ITGI en avril 2004 MTG Ce document dresse la liste des sujets susceptibles d tre trait s si le processus g n ral de mise en conformit Sarbanes Oxley a t effectu en suivant le mod le du COBIT Groupe d utilisateurs Regroupement administratif d utilisateurs C est une mani re courante d attribuer des r les aux utilisateurs et de leur attribuer des ressources en se fondant sur ces r les Le terme profil peut galement tre utilis au lieu de groupe d utilisateurs Un utilisateur peut tre membre de plusieurs groupes d utilisateurs Auto inscription Technique de d ploiement de l authentification unique SSO Pendant le d ploiement l i
14. le des rapports clairs et lisibles Rapports de conf ormit EVIDIATI Coh rence des droits d acc s Activit des administrateurs gt Production de donn es Activit des utilisateurs Autres donn es concernant tous les contr les SOX D Production de finance organisation etc donn es Version et stockage Business intelligence Figure 2 Environnement de production de rapports d audits Notez que l utilisation des outils annexes n est nullement obligatoire dans tous les cas Pour certains contr les le commissaire aux comptes pourra simplement demander un tat la date de l audit la cha ne d ordonnancement et d archivage ne sera pas utile dans ces cas la V rifiabilit Vos rapports d audit peuvent ils tre eux m mes audites Pour qu un auditeur accepte un document comme preuve du bon fonctionnement d un processus il doit pouvoir s assurer que l information contenue n a pas t alt r e Dans ce but les informations contenues dans les rapports doivent tre v rifiables Un auditeur doit pouvoir demander de confirmer un chantillon de rapport par un autre moyen d investigation Ce moyen peut tre une confirmation par un autre outil de diagnostic mais aussi la consultation des bases de donn es par une console d administration Dans tous les cas il peut tre utile de fournir un mode d emploi lors de l audit Rapports de conf ormit EVIDIATI Rapport par actions ou par
15. n unique GEORGE WALKER George Walker Finance Secr taires 03 01 2012 MICHAEL BUSH Michael Bush Finance Comptes clients 05 01 2012 BARBARA LOGAN Barbara Logan Finance Secr taires 13 01 2012 Pr nom Nom UO Profil Date de saisie Rapports de conformi t EVIDIAFTI Eliminer les comptes par d faut Domaine Contenu Exemple de risque Les comptes pourraient tre cr s par les administrateurs ou il se pourrait que des comptes par d faut existent en dehors de la politique de s curit Objectif de contr le D tecter et liminer les comptes existant en dehors de la politique de s curit Exemple d activit de Attribuer toutes les autorisations d acc s avec un outil de contr le provisionnement Retirer les comptes par d faut Exemple de test Concernant les ressources sensibles demander la liste des d activit de contr le comptes qui sont pr sents dans le syst me d information mais qui ne correspondent aucun utilisateur connu dans l outil de provisionnement Exemple de rapport pour l activit de contr le R21 Rapport cr le 15 juin 2012 Filtre Ressource SAP R 3 Application ID utilisateur Ressource UTILISATEUR GENERIQUE SAP R 3 TEST SAP R 3 MARTIN R SAP R 3 A COMPLETER SAP R 3 Cloisonnement des taches Exemple Domaine Contenu Mod le de l ITGI Des contr les relatifs au cloisonnement appropri des t ches concernant la demande et l attribution de l acc s aux Syst mes e
16. nez si elle date de plus de NN jours V rifiez si cette liste correspond aux utilisateurs attendus en v rifiant sur la liste des RH Exemple de rapport pour l activit de contr le R01 Rapport cr le 15 juin 2012 Filtre UO Finance Filtre Groupes d utilisateurs Consolidation Identification unique Pr nom Nom UO Groupe d utilis Derni re connexion MICHAEL ALVAREZ Michael Alvarez Finance Consolidation 12 06 2012 BARBARA_GRIFFIN Barbara Griffin Finance Consolidation 12 06 2012 SARAH JORDAN Sarah Jordan Finance Consolidation 12 06 2012 JANE_LOGAN Jane Logan Finance Consolidation 01 06 2012 PAUL_MORTON Paul Morton Finance Consolidation 02 06 2012 MARK_SMITH Mark Smith Finance Consolidation 12 06 2012 JOHN WALKER John Walker Finance Consolidation 12 06 2012 Exemple de risque Les mots de passe faciles deviner r duisent la s curit Objectif de contr le Politique forte des mots de passe primaires Exemple d activit de Un format de mot de passe fort est appliqu pour le nom contr le d utilisateur primaire et pour les applications Exemple de test Demander les formats appliqu s pour le nom d utilisateur d activit de contr le primaire et l identifiant utilis pour l application si le syst me d authentification unique g re le changement de mot de passe 39 F2 75LT RevOO l 15 Rapports de conformi EVIDIAFTI Forcer l expiration du mot de passe Domaine Contenu Mod le de l ITGI Des pr
17. nscription d un utilisateur une application n est termin e que si l utilisateur lance r ellement l application et donne son identit et son mot de passe actuel Tableau 2 Quelques termes utilis s dans cette section Les contr les sp cifiques la gestion des identit s et des acc s sont mis en pratique avec la solution Evidian AccessMaster Pour de plus amples informations sur le choix d une gestion des identit s et des acc s afin de faciliter la conformit Sarbanes Oxley veuillez vous reporter au livre blanc ci dessous http www evidian com p am php d wpsox amp c rep Rapports de conf ormit EVIDIATI Politique de s curit du SI Cycle de vie de la politique de s curit Domaine Contenu Mod le de l ITGI Le plan de s curit du SI est mis jour pour refl ter les changements dans l environnement du SI ainsi que les exigences de s curit de syst mes sp cifiques Exemple de risque Des changements du plan de s curit du SI concernant les groupes d utilisateurs pourraient ne pas tre report s dans les outils de s curit du SI Objectif de contr le Utiliser strictement les groupes d utilisateurs d finis dans le plan de s curit du SI Exemple d activit de Tous les profils cr s dans le syst me de SSO doivent contr le correspondre aux profils d finis dans le document sur la politique de s curit du SI Exemple de test Demander la liste des groupes d utilisateurs g
18. oc dures existent et sont appliqu es pour maintenir l efficacit de l authentification et des m canismes d acc s par exemple des changements r guliers de mot de passe Exemple de risque Si les mots de passe ne sont pas chang s r guli rement la probabilit augmente qu un mot de passe soit vol puis utilis plus tard Objectif de contr le Expiration du mot de passe Exemple d activit de L expiration du mot de passe 45 jours est appliqu e pour contr le l authentification primaire Exemple de test Demander la liste des utilisateurs dont le mot de passe d activit de contr le primaire date de plus de 45 jours V rifier que ces utilisateurs n ont pas r ussi se connecter apr s la date d expiration respecter Exemple de rapport pour l activit de contr le R03 Rapport cr le 15 juin 2012 Filtre Dernier changement g n ral de mot de passe lt 03 03 2012 Dernier Identification Groupe Derni re changement Etat Pr nom Nom UO pe a unique d utilisateurs connexion g n ral de mot actuel de passe BARBARA LOGAN Barbara Logan Finance Comptes clients 03 03 2012 02 02 2012 Actif Michael Smith Finance Consolidation 10 12 2011 10 12 2011 Bloqu Jane Walker Finance Secr taires 10 06 2012 01 01 2012 Actif Rapports de conformit EVIDIATI Gestion des autorisations d acc s de l utilisateur Suppression des comptes inactifs Domaine Contenu Mod le de l ITGI Des proc du
19. ork doit tre observe pour valuer les contr les de la production des rapports financiers De m me les r gles d finitives de la SEC Securities and Exchange Commission indiquent sp cifiquement qu elles ne pr cisent pas la m thode ou les proc dures appliquer lors d une valuation Cependant les r gles de la SEC citent pr cis ment le cadre du Committee of Sponsoring Organizations COSO bien que des cadres r gionaux de contr le d entreprise puissent tre utilis s De m me des cadres sp cifiques de contr le du SI peuvent tre choisis par une entreprise du moment que l entreprise en question peut convaincre son auditeur externe que ses contr les r pondent aux exigences d efficacit Un cadre d objectifs de contr le du SI souvent utilis dans le contexte de SOX est le Control Objectives for Information and related Technology COBIT mis par le IT Governance institute ITGI www itgi org La loi Sarbanes Oxley a cree le Public Company Accounting Oversight Board PCAOB organisation a but non lucratif visant a contr ler les commissaires aux comptes des soci t s Le PCAOB est charg de d finir des directives destin es aux auditeurs sur la fa on dont ils doivent auditer les diff rents aspects de l organisation notamment ceux relatifs a l article 404 de la loi Du moment que les contr les en r sultant satisfont aux exigences d finies par les normes d audit du PCAOB il est concevable que des
20. provient d une gestion inad quate des identit s et des acces En effet au del du vol d identit des actions rendues possibles par des droits d acc s mal attribu s sont une source majeure de br ches de s curit Par cons quent une solution de gestion des identit s et des acc s en anglais Identity and Access Management ou IAM peut apporter une aide significative dans l effort de mise en conformit a ces lois et r glements De m me une telle solution permet de mettre jour simplement un ensemble existant de proc dures de contr le afin de la simplifier ou de l adapter aux changements d organisation Outre les fonctions qu elle apporte la gestion des identit s et des acces doit donc apporter la preuve de son bon fonctionnement Ces preuves devront tre fournies sur demande un auditeur sous forme de trace crite afin d tre archiv es Quels rapports demander un fournisseur de solution de gestion des identit s et des acc s Clairement les rapports fournis ne doivent pas tre fig s la plupart des lois et r glements ne sp cifient videmment pas le format des informations Chaque rapport est g n r pour couvrir une situation d entreprise particuli re et tre consult par des auditeurs internes et externes Les informations fournies doivent donc tre Adaptables afin d tre utilis es pour des situations diverses V rifiables pour que l auditeur puisse s assurer de l exactitude des donn es
21. rbanes Oxley II n est donc pas efficace de devoir ex cuter simultan ment de nombreux outils de reporting chacun sp cifique a un domaine donn au cours d un audit La t che de l outil de gestion des identit s et des acces sera alors de produire les donn es brutes sous un format compatible CSV par exemple tandis que les rapports seront pr par s en utilisant les comp tences internes Environnement de production de rapports Lors d un audit il faut produire des donn es sur de nombreux autres sujets que la gestion des acc s La valeur ajout e de l outil de gestion des identit s et des acces est de fournir des donn es sur l activit des administrateurs et des utilisateurs ainsi que sur la coherence des droits d acc s avec la politique de s curit de l entreprise Par ailleurs d autres sources d information fourniront les preuves de bon fonctionnement des contr les concernant d autres domaines que la gestion des identit s et des acc s Notamment les logiciels de comptabilit les outils de reprise sur sinistre etc Pour bien g rer toutes ces sources d information il peut tre utile de les compl ter par des outils annexes Logiciel d ordonnancement afin de d clencher la production en temps voulu des donn es destin es de futurs audits Service d archivage avec valeur l gale ou non pour conserver la trace de ces donn es Business intelligence pour produire de fa on facile et reproductib
22. res existent et sont appliqu es pour assurer une action rapide concernant la demande l tablissement l mission la suspension et la fermeture des comptes d utilisateur Exemple de risque Les utilisateurs qui ne sont plus actifs longue maladie etc ont des comptes inactifs qui pourraient tre exploit s Objectif de contr le Retirer r guli rement les utilisateurs inactifs Exemple d activit de Lorsqu un utilisateur n a pas utilis son poste de travail depuis contr le 90 jours il doit tre d sactiv et ou retir de la base dans un d lai de 2 semaines Exemple de test Demander la liste des membres du groupe d utilisateurs d activit de contr le Comptabilit qui n ont pas utilis leur poste de travail depuis 90 jours Exemple de rapport pour l activit de contr le R05 Rapport cr le 15 juin 2012 Filtre Derni re utilisation du poste de travail lt 03 03 2012 Dernier Identification Groupe changement Etat Pr nom Nom UO en a unique d utilisateurs g n ral de mot actuel de passe JANE_WALKER Jane Walker Finance Secr taires 01 01 2012 Actif MICHAEL _ SMITH Michael Smith Finance Consolidation 10 12 2011 Bloqu BARBARA LOGAN Barbara Logan Finance Comptes clients 02 02 2012 Actif 39 F2 75LT Rev00 ig Rapports de conf ormi c E VIDIAN Autorisations d acc s octroy es selon le profil Domaine Contenu Mod le de l ITGI Un processus de contr le existe et est suiv
23. soci t s s appuient sur d autres cadres de contr le du SI que le COBIT Lesdits cadres peuvent s appuyer sur ITIL IT Infrastructure Library www itil co uk ou sur ISO 17799 Les soci t s peuvent galement choisir un cadre de contr le des comptes mis au point par les entreprises de conseil et d audit Il est donc important que les soci t s travaillent en troite collaboration avec leurs auditeurs externes tout particuli rement pendant les premi res phases d application et de certification de l article 404 de la loi Sarbanes Oxley Pour de plus amples informations sur ce sujet veuillez vous reporter au livre blanc d Evidian Sarbanes Oxley and Identity and Access Management Sarbanes Oxley et la gestion des identit s et des acc s http www evidian com p am php d wpsox amp c rep Rapports de conformit RO E VIDIAN Constitution de votre dossier pour vos auditeurs D termination des contr les le cycle de vie SOX Lors de l audit des comptes d une entreprise soumise a Sarbanes Oxley les commissaires aux comptes doivent v rifier si les contr les mis en place existent sont appropri s et document s sont appliqu s tous les niveaux produisent les effets escompt s Les preuves de la bonne ex cution des contr les doivent tre fournies sur demande aux auditeurs La mani re de les obtenir doit donc tre elle m me document e Ces preuves qui sont souvent d
24. t 7 Donn es exactes et non alt r es 7 Reporting COMPLET 6 4 2 ses chee eee eds ede ee sis 8 Reporting adaptable 8 Environnement de production de rapports 9 NRC ADI ee eee pee oe eae OS oe ee oe ee ee ee ee 10 Rapport par actions ou par tat 11 Exemple de cha nes SOX risque contr le et test 12 Politique de s curit du SI 14 Cycle de vie de la politique de s curit 14 Authentification de l utilisateur 15 D ployer une authentification unique dans toute SF entrep i that cee tae da code dt dois ie a de ce a 15 Forcer l expiration du mot de passe 16 Gestion des autorisations d acces de l utilisateur 17 Suppression des comptes inactifs 17 Autorisations d acc s octroy es selon le profil 18 AUCO INSCEIDELONM 6k in ss GEOR OE tre dois dose ew oes 19 Reporting sur les incidents de s curit 20 Eliminer les comptes par d faut 21 Cloisonnement des t ches 21 LD 420 14 2 E 6 624264464664 G ee cet E E E E 21 Preuve d acc s aux ressources 22 Enregistrement des acc s aux applications 22 39 F2 75LT RevOO Rapports de conform ii EVIDIATI Introduction Le r le des pr
25. t donn es existent et sont respect s Exemple de risque Les administrateurs de la s curit pourraient attribuer des autorisations d acc s des applications ne faisant pas partie de leurs responsabilit s Objectif de contr le Restreindre les droits des administrateurs selon le profil Exemple d activit de D finir les profils de l administrateur et octroyer contr le restrictivement ces profils le droit de donner des autorisations d acc s aux applications Exemple de test Pour un profil d administrateur sp cifique demander la liste d activit de contr le des actions d administration par les membres de ce profil sur une p riode donn e V rifier que ces actions ne concernaient que des applications autoris es Rapports de conformi t EVIDIAFTI Exemple de rapport pour l activit de contr le R21 Rapport cr le 15 juin 2012 Filtre Action Inscrit Derni re connexion MICHAEL MARTIN Michael Martin SAP HR Finance app 01 01 2010 12 06 2012 SARAH _GRIFFIN Sarah Griffin SAP HR Finance app 01 01 2010 12 06 2012 CLARA JORDAN Clara Jordan SAP R 3 Finance app 03 05 2011 12 06 2012 ALBERTO GEORGE Alberto George SAP R 3 Finance app 03 05 2011 13 06 2012 Identification unique Pr nom Nom Ressource Groupe de Ressources Cr Preuve d acc s aux ressources Enregistrement des acc s aux applications Domaine Contenu Mod le de l ITGI Le cas ch ant des contr les existent pour assurer q
26. u aucune partie ne puisse nier des transactions et des contr les sont r alis s pour produire une non r pudiation d origine ou de r ception preuve de d p t et de r ception de transactions Exemple de risque Un utilisateur pourrait nier avoir acc d une application sp cifique Objectif de contr le Enregistrement des acc s aux applications Exemple d activit de Les acc s aux applications individuelles doivent tre contr le enregistr s et l historique des acc s doit tre stock de fa on centrale Exemple de test Demander la liste des acc s une application sensible d activit de contr le sp cifique sur une p riode donn e Exemple de rapport pour l activit de contr le R21 Rapport cr le 15 juin 2012 Filtre Action Inscrit PETF i 2 Derni re Identification unique Pr nom Nom Ressource Groupe de Ressources Cr connexion MICHAEL_MARTIN Michael Martin SAP HR Finance app 01 01 2010 12 06 2012 SARAH _GRIFFIN Sarah Griffin SAP HR Finance app 01 01 2010 12 06 2012 CLARA _JORDAN Clara Jordan SAP R 3 Finance app 03 05 2011 12 06 2012 ALBERTO GEORGE Alberto George SAP R 3 Finance app 03 05 2011 13 06 2012 For more information go to www evidian com Email info evidian com
27. un but pr cis permettre de d montrer aux auditeurs que les contr les mis en place sont op rationnels et efficaces Ils doivent donc tre cibl s et comporter pr cis ment l information n cessaire sans surplus de donn es Les situations variant de fa on notable suivant les entreprises il est donc particuli rement critique de disposer d un environnement de reporting adaptable Des rapports pr packag s risquent d tre soit insuffisants soit trop copieux pour d montrer un point pr cis de fa on convaincante Il est donc particuli rement utile de s assurer du caract re adaptable des donn es de reporting fournies par un outil de gestion des identit s et des acc s Cela concerne notamment la fois le type d information fourni par exemple dernier acces l application r le de l utilisateur etc et le domaine concern uniquement les financiers de Boston uniquement les acc s SAP R 3 etc Par ailleurs il peut tre efficace de produire les rapports finaux en s appuyant sur les outils standards de l entreprise notamment BusinessObjects ou Crystal Reports En effet Les comp tences en outils de business intelligence sont souvent localis es dans les m mes quipes financi res qui sont en contact avec les auditeurs Rapports de conformi t EVIDIATI Les rapports sur la gestion des identit s et des acc s ne sont qu un des multiples types de rapports g n r s lors d un audit soumis Sa
Download Pdf Manuals
Related Search