SlideShare une entreprise Scribd logo

Brainwave GRC - Audit en continu pour ISACA Montréal

Brainwave GRC
Brainwave GRC

Découvrez la présentation d'Eric In, VP de Brainwave GRC en Amérique du Nord, à l'événement ISACA Montréal le 13 avril 2017. Comment les technologies rendent-elles possible l'audit et le contrôle en continu ?

Logiciels
1  sur  27
Télécharger pour lire hors ligne
BRAINWAVE GRC Intelligence et Analytique des Identités Présentation ISACA Montréal – 13 avril 2017 Comment les technologies rendent possibles l’audit et le contrôle en continu ? Eric In
2 Audit en continu combinaison d'évaluations continues des risques et des contrôles qui s'appuient sur les systèmes d’information. L'audit en continu doit permettre à l'auditeur interne de communiquer ses constats sur l'objet considéré bien plus rapidement que dans le cadre de l'approche rétrospective traditionnelle. Contrôle en continu processus exécuté par le management, qui lui permet de vérifier en permanence si les dispositifs de contrôle interne fonctionnent efficacement (MPA 2320-4 : Assurance continue). GTAG3, Institute of Internal Auditor Qu’est-ce que l’audit et le contrôle en continu ? © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
Adaptation aux évolutions rapides de l’entreprise : Plus d’interaction avec des partenaires, fournisseurs extérieurs Évolutions des systèmes, consolidation, infonuagique Plus de partage de données Évolution du travail : employés, consultants Réduction de l’impact des risques Efficacité (Automatisation) 3 Pourquoi mettre en place l’audit et le contrôle en continu? © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Proactif vs Réactif Apporter plus de valeur ajoutée aux lignes d’affaires
Et vous ?  Cloisonnement des données  Volumes à gérer  Complexité des contrôles  Identifier les bonnes solutions  Support financier et opérationnel des TI et lignes d’affaires Quels sont les freins? 4 Freins à la mise en place de l’audit et contrôle en continu – Apports des technologies © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved  Puissance de traitement  Progrès de l’analytique  Fiabilité et traçabilité  Productivité (automatisation)  Disponibilité Les apports des technologies
5  Ce qui va suivre est basé sur des cas réels vécus chez des clients  Les situations ont été anonymisées Quelle démarche adopter ? © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Etape 1 Etape 2 Etape 3 Etape 4 Etape 5 Contrôle exhaustif sur le périmètre existant Ajouter de nouveaux contrôles et étendre le périmètre Implémenter des contrôles plus complexes Contrôles de processus d’affaires Analyse comportementale
6 Audit interne – Préparation  Je prends un échantillon  j’ai des résultats  je corrige Audit externe – Grand jour  nouvel échantillon  mauvaise surprise !  Contrôle approfondi (SoX), cueillette d’info et questions auprès de TI, audit interne… Motivation 1 © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 Réduire les surprises !
7 1 Calendrier  Audit démarré en février, résultat en août, correction en septembre  Entre temps, pas de visibilité L’organisation et les risques évoluent rapidement  Réorganisation / Acquisition / Vente  Nouveaux systèmes, partenaires  Nouveaux risques, nouveaux contrôles réglementaires Motivation 2 © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Être plus proactif
8 1  Je gère des données sensibles pour mes clients  Secteur très compétitif et sensible  Nouveau client > nouvelles applications > nouveaux contrôles  Le coût d’intégration d’un nouveau contrôle explose !  Cela ne peut plus durer, je ne veux pas être vu comme un frein permanent ! Motivation 3 © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Faciliter les affaires
9 Étape 1 : Contrôle exhaustif sur le périmètre existant © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Définir une fréquence d’audit Automatiser le processus de collecte Reprendre les extractions Échantillon -> Contrôle exhaustif 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
Tableau de bord des contrôles 10 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
11 Fini les surprises : j’ai contrôlé tout le monde © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
12 J’ai les réponses aux questions de mon auditeur © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
13 Cartographie complète des accès aux applicatifs © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Utilisateurs & entités Applications & permissions 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
14 Étape 2 : Ajouter de nouveaux contrôles et étendre le périmètre © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved L’automatisation avec une solution adéquate permet d’ajouter de nouveaux contrôles à moindre effort Construction de matrice de règles et de contrôle en mode agile 1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
Ajouter de nouveaux contrôles 15© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
16 Cartographie des accès aux données © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Utilisateurs & entités Répertoires partagés & types d’accès 1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
17 Étape 3 : Implémenter des contrôles plus complexes © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Contrôle complexe : FRAUDE  SoD + plusieurs opérations enchaînées dans plusieurs applications  Basé sur scénario de fraude  Objet : Un trader en congés ne doit pas accéder au plateau de trading  Données : application gestion des congés, contrôles d'accès badges, applications de trading  Résultat : Liste des suspects envoyée au responsable du contrôle pour investigation 1500 contrôles 450 applications 2 fois / semaine 1 2 3 3. Implémenter des contrôles plus complexes4 5
18 Les droits résiduels dans la vraie vie, une situation qui doit rester temporaire © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 3. Implémenter des contrôles plus complexes4 5 Contrôle complexe : MOBILITÉ INTERNE  Client manufacturier  Exception temporaire sur les écarts de droits : mobilité interne  Suivi des écarts avec un seuil de tolérance personnalisé (x%)  Alerte temporisée (x jours) 1 million d'identités 65 millions de permissions testées
19 Pareto : identifier les priorités en remédiation © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Résoudre les conflits sur ces 6 règles de SoD pour supprimer 80 % des problèmes. 1 2 3 3. Implémenter des contrôles plus complexes4 5
20 Étape 4 : Contrôle de processus d’affaires © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Ajouter la dimension financière aux risques TI Confort pour l’auditeur externe et interne SoD sur des processus d’affaires 1 2 3 4. Contrôle de processus d’affaires4 5
21© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Vue de bout en bout des risques de fraude au sein du processus d’affaires « Achat au paiement » Détection des fraudes intra applicationDétection des fraudes inter applications Modélisation des conflits de séparation de tâches 1 2 3 4. Contrôle de processus d’affaires4 5
22© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Répartition des risques potentiels de fraude par processus d’affaires Impact des fraudes avérées par processus d’affaires Valorisation du risque de fraude sur les processus d’affaires 1 2 3 4. Contrôle de processus d’affaires4 5
23 Détails des transactions dangereuses © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Pourquoi une assistante a réalisé ces transactions dangereuses ? 1 2 3 4. Contrôle de processus d’affaires4 5
24  Détection de risques non connus Étape 5: Analyse comportementale © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Utilisateurs avec un comportement déviant Nombre d’accès anormalement élevé pour un consultant TI 1 2 3 5. Analyse comportementale4 5
25 Bénéfices © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Avant Après Audit interne Collecte et traitement Analyse des résultats Remédiation Avant Après Responsables applicatifs / lignes d'affaires Réalisation des revues Suivi des revues Avant Après Equipe TI Collecte des données Réponses aux auditeurs Corrections De meilleure relation entre TI, audit interne et externe Des gains de temps à travers l’organisation Plus de valeur ajoutée
26 Partager ! © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Audit interne Sécurité TI Risques opérationnels Responsables d’applications Lignes d’affaires Auditeurs externes Valeur ajoutée de l’analytique à travers l’organisationApporter de la valeur 30 à 90 jours d’effortsRapidité Autonomie pour créer des contrôles, analyser les résultatsFlexibilité / Agilité Partager les résultats et les bénéfices avec :  Plus de confiance et de confort  Plus de valeur à travers l’organisation  Plus de soutien opérationnel et financier
Contacts Emmanuel Sol C: +1 514 647 6574 emmanuel.sol@brainwavegrc.com Eric In D: +1 437 836 3621 C: +1 647 544 6000 eric.in@brainwavegrc.com © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 27

Recommandé

Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.pptJabirArif
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Score card sécurité Infologo
Score card sécurité InfologoScore card sécurité Infologo
Score card sécurité InfologoInfologo
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Quick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautQuick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautJoel DUFLOT
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 

Recommandé

Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
controle interne master.ppt
controle interne master.pptcontrole interne master.ppt
controle interne master.pptJabirArif
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Score card sécurité Infologo
Score card sécurité InfologoScore card sécurité Infologo
Score card sécurité InfologoInfologo
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Quick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautQuick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautJoel DUFLOT
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010nicoperes
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014PRONETIS
 
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Yvon Gervaise
 
Web Conférence - Extraterritorialité et Due Diligence
Web Conférence - Extraterritorialité et Due DiligenceWeb Conférence - Extraterritorialité et Due Diligence
Web Conférence - Extraterritorialité et Due DiligenceLexisNexis Business Information Solutions
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9CERTyou Formation
 
Bonnes pratiques #5 - Votre première application est en production. Et mainte...
Bonnes pratiques #5 - Votre première application est en production. Et mainte...Bonnes pratiques #5 - Votre première application est en production. Et mainte...
Bonnes pratiques #5 - Votre première application est en production. Et mainte...Bonitasoft
 
Parcours assurance Qualité site exploitant
Parcours assurance Qualité site exploitantParcours assurance Qualité site exploitant
Parcours assurance Qualité site exploitantJean-Luc Balança
 
Doc audit
Doc auditDoc audit
Doc auditAnnaticaya Chou
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Mailjet
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiquesPMI Lévis-Québec
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...Jean-François Tripodi
 
L’analyticsOps est il le maillon faible de votre stratégie data ?
L’analyticsOps est il le maillon faible de votre stratégie data ?L’analyticsOps est il le maillon faible de votre stratégie data ?
L’analyticsOps est il le maillon faible de votre stratégie data ?Wiiisdom
 

Contenu connexe

Similaire à Brainwave GRC - Audit en continu pour ISACA Montréal

Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010nicoperes
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014PRONETIS
 
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Yvon Gervaise
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9CERTyou Formation
 
Bonnes pratiques #5 - Votre première application est en production. Et mainte...
Bonnes pratiques #5 - Votre première application est en production. Et mainte...Bonnes pratiques #5 - Votre première application est en production. Et mainte...
Bonnes pratiques #5 - Votre première application est en production. Et mainte...Bonitasoft
 
Parcours assurance Qualité site exploitant
Parcours assurance Qualité site exploitantParcours assurance Qualité site exploitant
Parcours assurance Qualité site exploitantJean-Luc Balança
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Mailjet
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiquesPMI Lévis-Québec
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...Jean-François Tripodi
 
L’analyticsOps est il le maillon faible de votre stratégie data ?
L’analyticsOps est il le maillon faible de votre stratégie data ?L’analyticsOps est il le maillon faible de votre stratégie data ?
L’analyticsOps est il le maillon faible de votre stratégie data ?Wiiisdom
 

Similaire à Brainwave GRC - Audit en continu pour ISACA Montréal (20)

Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
 
Web Conférence - Extraterritorialité et Due Diligence
Web Conférence - Extraterritorialité et Due DiligenceWeb Conférence - Extraterritorialité et Due Diligence
Web Conférence - Extraterritorialité et Due Diligence
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9
 
Bonnes pratiques #5 - Votre première application est en production. Et mainte...
Bonnes pratiques #5 - Votre première application est en production. Et mainte...Bonnes pratiques #5 - Votre première application est en production. Et mainte...
Bonnes pratiques #5 - Votre première application est en production. Et mainte...
 
Parcours assurance Qualité site exploitant
Parcours assurance Qualité site exploitantParcours assurance Qualité site exploitant
Parcours assurance Qualité site exploitant
 
Doc audit
Doc auditDoc audit
Doc audit
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...
 
L’analyticsOps est il le maillon faible de votre stratégie data ?
L’analyticsOps est il le maillon faible de votre stratégie data ?L’analyticsOps est il le maillon faible de votre stratégie data ?
L’analyticsOps est il le maillon faible de votre stratégie data ?
 

Brainwave GRC - Audit en continu pour ISACA Montréal

  • 1. BRAINWAVE GRC Intelligence et Analytique des Identités Présentation ISACA Montréal – 13 avril 2017 Comment les technologies rendent possibles l’audit et le contrôle en continu ? Eric In
  • 2. 2 Audit en continu combinaison d'évaluations continues des risques et des contrôles qui s'appuient sur les systèmes d’information. L'audit en continu doit permettre à l'auditeur interne de communiquer ses constats sur l'objet considéré bien plus rapidement que dans le cadre de l'approche rétrospective traditionnelle. Contrôle en continu processus exécuté par le management, qui lui permet de vérifier en permanence si les dispositifs de contrôle interne fonctionnent efficacement (MPA 2320-4 : Assurance continue). GTAG3, Institute of Internal Auditor Qu’est-ce que l’audit et le contrôle en continu ? © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved
  • 3. Adaptation aux évolutions rapides de l’entreprise : Plus d’interaction avec des partenaires, fournisseurs extérieurs Évolutions des systèmes, consolidation, infonuagique Plus de partage de données Évolution du travail : employés, consultants Réduction de l’impact des risques Efficacité (Automatisation) 3 Pourquoi mettre en place l’audit et le contrôle en continu? © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Proactif vs Réactif Apporter plus de valeur ajoutée aux lignes d’affaires
  • 4. Et vous ?  Cloisonnement des données  Volumes à gérer  Complexité des contrôles  Identifier les bonnes solutions  Support financier et opérationnel des TI et lignes d’affaires Quels sont les freins? 4 Freins à la mise en place de l’audit et contrôle en continu – Apports des technologies © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved  Puissance de traitement  Progrès de l’analytique  Fiabilité et traçabilité  Productivité (automatisation)  Disponibilité Les apports des technologies
  • 5. 5  Ce qui va suivre est basé sur des cas réels vécus chez des clients  Les situations ont été anonymisées Quelle démarche adopter ? © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Etape 1 Etape 2 Etape 3 Etape 4 Etape 5 Contrôle exhaustif sur le périmètre existant Ajouter de nouveaux contrôles et étendre le périmètre Implémenter des contrôles plus complexes Contrôles de processus d’affaires Analyse comportementale
  • 6. 6 Audit interne – Préparation  Je prends un échantillon  j’ai des résultats  je corrige Audit externe – Grand jour  nouvel échantillon  mauvaise surprise !  Contrôle approfondi (SoX), cueillette d’info et questions auprès de TI, audit interne… Motivation 1 © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 Réduire les surprises !
  • 7. 7 1 Calendrier  Audit démarré en février, résultat en août, correction en septembre  Entre temps, pas de visibilité L’organisation et les risques évoluent rapidement  Réorganisation / Acquisition / Vente  Nouveaux systèmes, partenaires  Nouveaux risques, nouveaux contrôles réglementaires Motivation 2 © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Être plus proactif
  • 8. 8 1  Je gère des données sensibles pour mes clients  Secteur très compétitif et sensible  Nouveau client > nouvelles applications > nouveaux contrôles  Le coût d’intégration d’un nouveau contrôle explose !  Cela ne peut plus durer, je ne veux pas être vu comme un frein permanent ! Motivation 3 © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Faciliter les affaires
  • 9. 9 Étape 1 : Contrôle exhaustif sur le périmètre existant © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Définir une fréquence d’audit Automatiser le processus de collecte Reprendre les extractions Échantillon -> Contrôle exhaustif 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
  • 10. Tableau de bord des contrôles 10 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
  • 11. 11 Fini les surprises : j’ai contrôlé tout le monde © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
  • 12. 12 J’ai les réponses aux questions de mon auditeur © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
  • 13. 13 Cartographie complète des accès aux applicatifs © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Utilisateurs & entités Applications & permissions 1 2 3 1. Contrôle exhaustif sur le périmètre existant4 5
  • 14. 14 Étape 2 : Ajouter de nouveaux contrôles et étendre le périmètre © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved L’automatisation avec une solution adéquate permet d’ajouter de nouveaux contrôles à moindre effort Construction de matrice de règles et de contrôle en mode agile 1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
  • 15. Ajouter de nouveaux contrôles 15© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
  • 16. 16 Cartographie des accès aux données © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Utilisateurs & entités Répertoires partagés & types d’accès 1 2 3 2. Ajouter de nouveaux contrôles et étendre le périmètre4 5
  • 17. 17 Étape 3 : Implémenter des contrôles plus complexes © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Contrôle complexe : FRAUDE  SoD + plusieurs opérations enchaînées dans plusieurs applications  Basé sur scénario de fraude  Objet : Un trader en congés ne doit pas accéder au plateau de trading  Données : application gestion des congés, contrôles d'accès badges, applications de trading  Résultat : Liste des suspects envoyée au responsable du contrôle pour investigation 1500 contrôles 450 applications 2 fois / semaine 1 2 3 3. Implémenter des contrôles plus complexes4 5
  • 18. 18 Les droits résiduels dans la vraie vie, une situation qui doit rester temporaire © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 1 2 3 3. Implémenter des contrôles plus complexes4 5 Contrôle complexe : MOBILITÉ INTERNE  Client manufacturier  Exception temporaire sur les écarts de droits : mobilité interne  Suivi des écarts avec un seuil de tolérance personnalisé (x%)  Alerte temporisée (x jours) 1 million d'identités 65 millions de permissions testées
  • 19. 19 Pareto : identifier les priorités en remédiation © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Résoudre les conflits sur ces 6 règles de SoD pour supprimer 80 % des problèmes. 1 2 3 3. Implémenter des contrôles plus complexes4 5
  • 20. 20 Étape 4 : Contrôle de processus d’affaires © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Ajouter la dimension financière aux risques TI Confort pour l’auditeur externe et interne SoD sur des processus d’affaires 1 2 3 4. Contrôle de processus d’affaires4 5
  • 21. 21© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Vue de bout en bout des risques de fraude au sein du processus d’affaires « Achat au paiement » Détection des fraudes intra applicationDétection des fraudes inter applications Modélisation des conflits de séparation de tâches 1 2 3 4. Contrôle de processus d’affaires4 5
  • 22. 22© Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Répartition des risques potentiels de fraude par processus d’affaires Impact des fraudes avérées par processus d’affaires Valorisation du risque de fraude sur les processus d’affaires 1 2 3 4. Contrôle de processus d’affaires4 5
  • 23. 23 Détails des transactions dangereuses © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Pourquoi une assistante a réalisé ces transactions dangereuses ? 1 2 3 4. Contrôle de processus d’affaires4 5
  • 24. 24  Détection de risques non connus Étape 5: Analyse comportementale © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Utilisateurs avec un comportement déviant Nombre d’accès anormalement élevé pour un consultant TI 1 2 3 5. Analyse comportementale4 5
  • 25. 25 Bénéfices © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Avant Après Audit interne Collecte et traitement Analyse des résultats Remédiation Avant Après Responsables applicatifs / lignes d'affaires Réalisation des revues Suivi des revues Avant Après Equipe TI Collecte des données Réponses aux auditeurs Corrections De meilleure relation entre TI, audit interne et externe Des gains de temps à travers l’organisation Plus de valeur ajoutée
  • 26. 26 Partager ! © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved Audit interne Sécurité TI Risques opérationnels Responsables d’applications Lignes d’affaires Auditeurs externes Valeur ajoutée de l’analytique à travers l’organisationApporter de la valeur 30 à 90 jours d’effortsRapidité Autonomie pour créer des contrôles, analyser les résultatsFlexibilité / Agilité Partager les résultats et les bénéfices avec :  Plus de confiance et de confort  Plus de valeur à travers l’organisation  Plus de soutien opérationnel et financier
  • 27. Contacts Emmanuel Sol C: +1 514 647 6574 emmanuel.sol@brainwavegrc.com Eric In D: +1 437 836 3621 C: +1 647 544 6000 eric.in@brainwavegrc.com © Brainwave GRC – Proprietary and Confidential Information – All Rights Reserved 27