SlideShare une entreprise Scribd logo
1  sur  33
Blue Jigsaw
Competensis
Christine Dessus
chdessus@competensis.com
+336 31 09 73 54
www.competensis.com
Licence
• Ce document est sous licence « CREATIVE COMMONS »
• Pas d’utilisation commerciale
• Partage dans les mêmes conditions
http://creativecommons.org/licenses/by-nc-sa/3.0/fr/
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties2
Empêcher les fraudes, conflits d’intérêt et
erreurs humaines
• Cas d’usage :
Un audit externe ou interne montre des non-conformités liées à la
séparation des droits et responsabilités (Segregation Of Duties).
• Les non-conformités doivent être résorbées par la mise en
œuvre de la «Segregation of Duties » à plusieurs niveaux :
Organisation, processus, activités
Référentiel RH des postes et responsabilités
Droits d’accès et d’usage du système d’information des utilisateurs,
Droits d’accès aux différents environnements et couches techniques du
système d’information par les administrateurs informatiques (externes ou
internes)
Dans certains cas, au niveau des autorisations d’accès physique aux
bâtiments.
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties3
Vos
Enjeux
Références du consultant sollicité
Le consultant sollicité a déjà mis en œuvre la « Séparation des droits et
responsabilités » (SOD) au travers des missions suivantes :
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties4
Responsable informatique R&D Grand groupe chimique
• Mise en œuvre des référentiels « bonnes pratiques »,
vérification et validation des logiciels, séparation des
droits et responsabilités
• Audits internes des études réglementaires et des outils
déployés : logiciels et équipements de laboratoires,
robotique, SI scientifique, logistique et financier du centre
de recherche.
• Audits externes par l’UIC du respect des bonnes pratiques,
appliquées aux instruments de laboratoires, système
d’information. Contrôle de la séparation des droits, dans
le cadre des études réglementaires.
• Audits de contrôles de la sécurité du territoire dont
contrôle de la séparation des droits et d’usage des outils
informatiques
• Audits financiers dans le cadre de SabanneOxley dont
contrôles de la séparation des droits.
Réorganisation d’une direction IT de <1000
personnes, groupe industriel, énergie
• Modélisation des processus, activités, données,
rôles, tâches et système d’information
• Appui à la construction de l’organisation en
identifiant les rôles de contrôle et vérification
• Mise en œuvre de la ségrégation des droits et
responsabilités (SOD) au sein des processus et
outils informatiques
PME Dispositifs médicaux
• Mise en œuvre du SOD à partir des fiches de
postes de l’entreprise.
Segregation Of
Duties
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Segregation Of Duties5
Définition : Segregation of Duties
• En français, séparation des responsabilités et des droits
• Objectif : Supprimer les risques de conflits d’intérêt, fraude ou erreurs
• Activité centrale pour le respect de réglementations
• Séparation entre plusieurs personnes des responsabilités : une
personne seule ne peut effectuer ou masquer des actions de fraude ou
des erreurs
• La séparation des responsabilités doit être démontrée. La charge de la
preuve incombe à l’entreprise et son représentant légal.
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties6
Secteurs concernés par le SOD
• Tout secteur réglementé
 Banques, assurances, fabrication des cartes de paiement
 Energie, chimie (Ceveso)
 Chimie, pharmacie (Bonnes pratiques)
 Dispositifs médicaux
 Alimentaires, restaurants (HAP pour les aliments)
 Agriculture, élevage & abattage
 Télécommunications
 Transports : train, avion, camion, transports de personnes
 Opérations douanières
 Toutes opérations financières (Sarbanne Oxley) pour les sociétés cotées en bourse
 …
• Quelque soit la taille de l’entreprise. C’est l’appartenance au secteur
d’activité qui conditionne l’application des règles.
• Sans oublier les fonctions RH et comptables de toute entreprise
• Très pratiqué dans le cadre de mise en œuvre du cloud (SaaS, IaaS…)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties7
Définir « Critique » et « sensible » ?
• Respect de la réglementation
• Sécurité des employés
• Sécurité des patients
• Sécurité environnementale
• Continuité d’activité
• Image de marque
• Impact financier direct…
Niveaux de séparation
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties8
• Définir les normes, règles à appliquer
(gouvernance) :
Qui peut demander l’enregistrement d’une
nouvelle donnée ?
Qui autorise la mise à jour ?
Qui est responsable du maintien des données ?
Qui contrôle les mises à jour ?
• Sur les données, les processus, activités et
systèmes critiques, sensibles
Définir critiques & sensibles
• Effectuer des contrôles réguliers (audits internes)
Où trouver les conflits d’intérêt ?
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties9
• Rechercher les conflits d’intérêts et les incohérences
• Justifier lorsque l’on maintient un conflit d’intérêt ou une incohérence
• Surveiller les usages
Processus
Activités
(et tâches)
Rôles
Description de
postes
Fonctions
Activités
(et tâches)
Solutions
informatiques
Profils Utilisateurs
Droits d’usage
(activités autorisées)
Organisation décrite
Organisation mise en œuvre
Fonctions &
Responsabilités
Usages des outils
informatiques
Activités réalisées
(sessions)
Solutions
informatiques
Solutions
informatiques
Vos processus ne sont pas modélisés ou ne sont
plus à jour ?
• Nous modélisons en quelques jours les fonctions critiques de votre entreprise.
• « BusinessAnchor Model » (source : OpenGroup,TOGAF)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties10
Où trouver les conflits d’intérêt ?
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties11
Processus
& activités
Fonctions Critiques
Référentiel RH
Description de
postes
Solutions
informatiques
Autorisations
d’accès
Rechercher les
incohérences
croisées
Exemple : affaire Kerviel
Audits internes &
externes
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Business Model12
Points communs à toutes les réglementations
• Traçabilité des changements dans le
système d’information
 Audit-trail : horodaté (date, heure, minute,
seconde et milliseconde), version des données
avant et après, identifiant de l’utilisateur, rôle,
raison de la modification
 Tracer les sessions des utilisateurs et leurs
actions  impact fort sur le développement
applicatif
• Traçabilité des utilisateurs
 1 utilisateur = 1 personne connue dans le
référentiel RH (employé) ou ACHAT (prestataire)
 Pas de compte groupé, même pour des besoins
de service.
 Surveillance accrue des comptes administrateurs
et mots de passe (informaticiens)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties13
• Rédiger une « politique », norme propre à
l’entreprise et faisant référence aux
réglementations en vigueur
 Pour démontrer la volonté de respect dans la
mise en œuvre de la réglementation
 Donner son « interprétation » du texte dans les
processus et activités de l’entreprise
• Mettre en œuvre un système qualité
 Organiser des contrôles et audits internes
s’appuyant sur les principes mis en œuvre
(politique)
 Mettre en place une boucle d’amélioration
continue : chaque non-conformité donne lieu à
un plan d’action visant à améliorer le respect de
la règle.
 Suivre les plans d’actions de traitement des non-
conformités et amélioration continue.
Organiser les audits internes
Anticiper les audits externes
• 2 types d’audit
Vérifier que la politique d’entreprise respecte les attendus de la
réglementation
Vérifier que la politique d’entreprise est mise en œuvre
• L’audit interne vérifie que la politique d’entreprise est mise en
œuvre.
• L’audit externe couvre les 2 aspects : politique interne et
attendus de la réglementation.
• Tout audit doit donner lieu à un plan d’actions et au suivi de sa
mise en œuvre dans un délais court (<3 mois) :
L’action doit démarrer rapidement
Son résultat peut excéder 3 mois. Dans ce cas des audits de contrôle sont
définis.
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties14
Audits et contrôles internes
• Définir une politique de contrôles récurrents des conflits
d’intérêt
Audits internes récurrents : tous les 12 à 24 mois
Tracer les changements d’affectation
Tracer les droits d’usage des solutions informatique
Pour chaque nouveau droit d’usage d’une solution applicative,
vérifier avec la fonction RH les incohérences et conflits d’intérêt
possibles.
Documenter : dire ce que vous mettez en place et réaliser ce que
vous avez mis en place
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties15
Recommandations
de mise en oeuvre
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Segregation Of Duties16
Cadrer le projet │Développer la vision d’ensemble du projet
Développer la vision d’ensemble
• Définir les principes directeurs : enjeux,
objectifs et décisions managériales
• Définir la cible et la trajectoire vers la cible
• Analyse
Forces/Faiblesses/Menaces/Opportunités
• Organiser les ateliers de travail et attribuer les
responsabilités.
• Contenu du plan de cadrage :
• Périmètre (fonctions, activités, outils, données critiques)
• Livrables
• Planning
• Instances de suivi
• Rôles & responsabilités
• Organiser la réunion de lancement
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model17
Définir les responsabilités
• Sponsor du projet
 Définir les principes directeurs
 S’assurer de la réalisation de la valeur attendue
et de l’atteinte des objectifs du projet
• PMO :
 Rédiger les feuilles de route des ateliers avec
le support du consultant externe
 Planifier les ateliers et réunions
 Suivre l’avancement des réalisations et
l’atteinte des objectifs
 Participer aux revues, rétrospectives et
challenges
• Consultant externe
 Production des livrables
 Préparation, animation et conduite des
ateliers
Mesurer
les risques
de conflits
d’intérêt
1. Activités
critiques
2. Données
critiques
3.
Assets/Actifs
ayant de la
valeur
4. Revue du
référentiel RH
5. Solutions
informatiques
6. Rapports
des
incohérences
et conflits
d’intérêt
7. Plan
d’actions et
sécurisation
Principesdemiseenœuvre
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties18
• Postes, Fonctions,
Responsabilités
• Activités menées
• Outils SI utilisés
• Outils et fonctions utilisées
• Cohérence avec le
référentiel RH
Si disponible,
intégrer une phase
de recherche
d’incohérences
dans le référentiel
des processus de
l’entreprise
Plan de mise en œuvre
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties19
Vision Business
& RH
•Inventorier données,
transactions
informatiques, postes
& fonctions, activités
critiques
•Mesurer Risques &
Impacts
Vision
Technique
•Systèmes
•Profils d’utilisateurs
•Tâches et activités
Vérifier
•Cahier de recette
•Rechercher les
incohérences
Transformer
•Réviser les
responsabilités RH
•Réviser les profils
d’utilisateurs
•Mettre à jour les
processus
Livrables majeurs
• Matrices d’incompatibilité
 Processus :Tâches XTâches
 Postes RH : ActivitésX Activités
 Système d’information : Droits
d’accèsX Droits d’Accès
 MatricesCroisées :Tâches X
ActivitésX Droits d’accès
Livrables majeurs
• Relevés d’incohérences après
vérification
• Plans d’actions pour résorber
les incohérences
• Rituels de suivi
Synoptique
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties20
2 semaines
1 matrice
2 semaines 3 semaines
2 matrices
3 réunions
Brainstorming & challenge
3 mois
3 semaines
Relevés des
incohérences
Cadrage
Vision Business & RH
Vision
Technique
Vérifier
Transformer
Matrices
d’incompatibilités
Relevés des
incompatibilités
constatées
Lancement Transformation
& Déploiement
Piloter le projet
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Business Model21
Pilotage du projet
• Dès le lancement du projet, mettre en place les comités de
suivi, comme pour tout projet :
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model22
Comité Objectifs Responsabilités
Réunion de lancement Lancer le projet
Présenter les attendus et l’organisation mise en place
PMO
Sponsor
Directions de départements impliqués
Consultant
Comité opérationnel,
Comité de projet
Suivi opérationnel des réalisations
Hebdomadaire à mensuel
PMO
Consultant
Comité de pilotage
Comité de direction
Comité d’engagement
Suivre la mise en œuvre des principes directeurs de la mission
Vérifier l’apport de valeur pour l’organisation
Prendre les décisions stratégiques
Mensuel à Trimestriel
PMO
Sponsor
Directions de départements impliqués
Consultant
Impacts du SOD sur le
système d’information
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Business Model23
Impact sur le système d’information
Source : ANSI INCITS 359-2004
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties24
SOD
Contraintes
& Contrôles
Hiérarchie
Héritage
Utilisateur Roles
Sessions
Attribution
Activation
de rôles
Ouverture
d’une session
Opérations
Activités
Fonctions
Objets
Classes
d’objets
(spécialisation)
Autorisations
Créer
Modifier
Supprimer
Autorisations
Créer
Modifier
Supprimer
Décomposition
PERMISSIONS
Référentiel RH
Impact sur le système d’information
• Utilisateur
 Un individu, une personne connue du service RH
ayant un contrat avec l’entreprise : salarié ou
prestataire
• Rôle
 Une fonction reconnue dans l’entreprise ou un
groupe d’actions permettant de réaliser une
fonction.
 Exemple : « responsable achat d’un groupe de
produits » ou « Contrôle des encaissements »
• Opération
 Action possible sur les données du système
d’information : créer, modifier, supprimer,
contrôler, valider, abandonner, refuser...
 Cela peut correspondre à une fonctionnalité du
logiciel
• Session
 Accès à une application par un utilisateur.Une
session active un ou plusieurs rôles et permet
l’obtention de permissions
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties25
• Permission
 Autorisation d’activer une opération sur un objet
ou une classe d’objets au travers d’une
application
• Objets
 Données ou « assets » (actifs) ayant de la valeur
pour l’entreprise
 Exemple : Dossier patient, Equipements,
Produits chimiques, Brevet, Encaissements,
Abonnements, Commandes clients ou
fournisseurs…
• Classes d’objet :
 Un objet se décompose sur plusieurs niveaux en
classes d’objets.
 Typologie
 Equipement médical  Béquilles, Lits
médicalisés, Fauteuils, Perfusions
 Produits chimiques  Matières actives (MA),
MA Herbicides, MA Fongicides, MA Insecticide,
solvants, charges, dispersants…
Focus sur les outils informatiques
• Pas de comptes et mots de passe groupés pour les utilisateurs
• Surveillance des comptes administrateurs
Etablir une liste à jour des personnes ayant connaissance et usage de ces comptes.
Changer mensuellement tous les mots de passe.
• Homologuer le code et les applicatifs livrés
 Rechercher les « codes malins » par du test et de la revue de code
• Segmentation des accès selon les environnements
Segmenter les environnement et les protéger physiquement : Développement,
Tests et Production.
Pas d’accès à l‘environnement de production aux personnes réalisant le
développement et les tests
Seules les personnes devant réaliser des actions opérationelles sur les
environnements de production ont accès aux machines, bases de données, firewall,
composants réseaux…
Traçabilité totale des actions et connexions
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties26
Focus sur les outils informatiques
• Les spécifications des solutions doivent être revues
Pour s’assurer qu’elles répondent aux besoins des utilisateurs
(Vérification)
Pour s’assurer qu’elles respectent les attendus de la réglementation
(Validation)
• Les solutions informatiques doivent être testées
Pour s’assurer qu’elles répondent aux besoins des utilisateurs
(Vérification)
Pour s’assurer qu’elles respectent les attendus de la réglementation
(Validation)
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties27
Préparer le
déploiement
Blue Jigsaw Competensis
Blue Jigsaw Competensis - Business Model28
Préparer le déploiement │ Plan de transformation
• Adopter une vision pragmatique des actions à mener
• Piloter la transformation comme un projet
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model29
Mesurer les
impacts des
changement
Créer la vision
Lancer le
projet de
transformation
Transformer Piloter
Organisation
•Postes, compétences
attendues
•Outils, SI
•Procédures, modes
opératoires
•Besoins de formation
Communiquer sur les
raisons du changement
•S’appuyer sur les relais,
participants aux ateliers
•Montrer les risques à « ne
pas faire » et les risques ou
difficultés « à faire »
Organiser le projet de
transformation
•Actions requises
•Coûts, charge, délais
•Parties-prenantes
•Planifier, piloter
Déploiement
•« technique » des outils
•Formation des utilisateurs
•Mettre en place la nouvelle
organisation (si requis)
Mesurer l’avancement
•Démontrer l’apport de
valeur (gains)
•Communiquer les
réussites
•Prendre les actions et
mesures correctives quand
nécessaire
•Mesurer les freins et
opportunités au
changement
Préparer le déploiement │ Plan de formation
• Si requis, à mesurer au démarrage du projet
• Communiquer sur les objectifs de formation : outils, activités
opérationnelles
• Elaborer le plan de formation
• Produire les supports de formation
• Mettre en œuvre
Interne ou externe
Organiser et planifier les formations
• Mesurer l’efficacité
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model30
Préparer le déploiement │ Plan de communication
• Dès le lancement du projet
• Nombreux supports de communication
Interventions en réunions d’équipe ou réunions de service
Journal d’entreprise
Echanges et communication plus informelle, lors des temps de pause
• Appels à candidature pour participer aux ateliers
Laisser les contributions le plus libres et ouvertes possibles
• Démontrer l’ouverture, l’écoute et la recherche de consensus
• Toujours présenter les risques « à ne pas faire » et les risques « à
faire »
V1.0 Février 2016 Blue Jigsaw Competensis - Business Model31
Sources
• ISACA
• Enhancing ITGovernanceWith aSimplified Approach to Segregation of Duties, Kevin
Kobelsky
• ImplementingSegregation of Duties, ISACAJOURNALVOL 3
• ANSI INCITS 359-2004
V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties32
Contact :
Christine Dessus
www.competensis.com
chdessus@competensis.com
06 31 09 73 54
33 V1.0 MARS 2016 Blue Jigsaw Competensis - Business Model

Contenu connexe

Tendances

Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
introduction a itil
 introduction a itil introduction a itil
introduction a itilAmine Stitou
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Gouvernance du SI en pratique
Gouvernance du SI en pratiqueGouvernance du SI en pratique
Gouvernance du SI en pratiquenodesway
 
Chapitre 5-Lurbanisation des SI.pdf
Chapitre 5-Lurbanisation des SI.pdfChapitre 5-Lurbanisation des SI.pdf
Chapitre 5-Lurbanisation des SI.pdfKhedhriChayma
 
Schema directeur et urbanisation du si
Schema directeur et urbanisation du siSchema directeur et urbanisation du si
Schema directeur et urbanisation du siAbdeslam Menacere
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatiquepatriciacharrais
 
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)Ardesi Midi-Pyrénées
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURIMansouri Khalifa
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 

Tendances (20)

Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
introduction a itil
 introduction a itil introduction a itil
introduction a itil
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Gouvernance du SI en pratique
Gouvernance du SI en pratiqueGouvernance du SI en pratique
Gouvernance du SI en pratique
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Chapitre 5-Lurbanisation des SI.pdf
Chapitre 5-Lurbanisation des SI.pdfChapitre 5-Lurbanisation des SI.pdf
Chapitre 5-Lurbanisation des SI.pdf
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Schema directeur et urbanisation du si
Schema directeur et urbanisation du siSchema directeur et urbanisation du si
Schema directeur et urbanisation du si
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Cartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction InformatiqueCartographie des processus d'une Direction Informatique
Cartographie des processus d'une Direction Informatique
 
Introduction à ITIL
Introduction à ITILIntroduction à ITIL
Introduction à ITIL
 
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 

En vedette

PRINCE2 - Reading notes
PRINCE2 - Reading notesPRINCE2 - Reading notes
PRINCE2 - Reading notesCOMPETENSIS
 
REX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outilsREX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outilsCOMPETENSIS
 
Étapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateurÉtapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateurlmproulx
 
Po report 5 - Role Conflict
Po report 5 - Role ConflictPo report 5 - Role Conflict
Po report 5 - Role ConflictSyaff Hk
 
Scrum Book Of Knowledge - Reading Notes, Part#1
Scrum Book Of Knowledge - Reading Notes, Part#1Scrum Book Of Knowledge - Reading Notes, Part#1
Scrum Book Of Knowledge - Reading Notes, Part#1COMPETENSIS
 
Peoplesoft Basic App designer
Peoplesoft Basic App designerPeoplesoft Basic App designer
Peoplesoft Basic App designermbtechnosolutions
 
Security & Segregation of Duties for PeopleSoft
Security & Segregation of Duties for PeopleSoftSecurity & Segregation of Duties for PeopleSoft
Security & Segregation of Duties for PeopleSoftSmart ERP Solutions, Inc.
 
Profiling for SAP - Compliance Management, Access Control and Segregation of ...
Profiling for SAP - Compliance Management, Access Control and Segregation of ...Profiling for SAP - Compliance Management, Access Control and Segregation of ...
Profiling for SAP - Compliance Management, Access Control and Segregation of ...TransWare AG
 
Effective Segregation of Duties for PeopleSoft 2011-02-23
Effective Segregation of Duties for PeopleSoft 2011-02-23Effective Segregation of Duties for PeopleSoft 2011-02-23
Effective Segregation of Duties for PeopleSoft 2011-02-23Smart ERP Solutions, Inc.
 
Automating PeopleSoft Segregation of Duties: HCM and Financials
Automating PeopleSoft Segregation of Duties: HCM and FinancialsAutomating PeopleSoft Segregation of Duties: HCM and Financials
Automating PeopleSoft Segregation of Duties: HCM and FinancialsSmart ERP Solutions, Inc.
 
Segregation of Duties Solutions
Segregation of Duties SolutionsSegregation of Duties Solutions
Segregation of Duties SolutionsAhmed Abdul Hamed
 
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015 Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015 CA CISA Jayjit Biswas
 
Segregation of Duties and Continuous Delivery
Segregation of Duties and Continuous DeliverySegregation of Duties and Continuous Delivery
Segregation of Duties and Continuous DeliverySriram Narayanan
 
IIBA Initiation au Business Analysis Book of Knowledge V2
IIBA Initiation au Business Analysis Book of Knowledge V2IIBA Initiation au Business Analysis Book of Knowledge V2
IIBA Initiation au Business Analysis Book of Knowledge V2COMPETENSIS
 
De l'expression de besoins vers spécifications de la solution
De l'expression de besoins vers spécifications de la solutionDe l'expression de besoins vers spécifications de la solution
De l'expression de besoins vers spécifications de la solutionCOMPETENSIS
 
Synthèse : démarche de mise en oeuvre d'un portefeuille projets
Synthèse : démarche de mise en oeuvre d'un portefeuille projetsSynthèse : démarche de mise en oeuvre d'un portefeuille projets
Synthèse : démarche de mise en oeuvre d'un portefeuille projetsCOMPETENSIS
 
Tests & recette - Les fondamentaux
Tests & recette - Les fondamentauxTests & recette - Les fondamentaux
Tests & recette - Les fondamentauxCOMPETENSIS
 

En vedette (20)

PRINCE2 - Reading notes
PRINCE2 - Reading notesPRINCE2 - Reading notes
PRINCE2 - Reading notes
 
Government and SOX Compliance for ERP Systems
Government and SOX Compliance for ERP SystemsGovernment and SOX Compliance for ERP Systems
Government and SOX Compliance for ERP Systems
 
REX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outilsREX Amélioration des processus, organisation et outils
REX Amélioration des processus, organisation et outils
 
Étapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateurÉtapes d'élaboration d'un schéma intégrateur
Étapes d'élaboration d'un schéma intégrateur
 
Po report 5 - Role Conflict
Po report 5 - Role ConflictPo report 5 - Role Conflict
Po report 5 - Role Conflict
 
Scrum Book Of Knowledge - Reading Notes, Part#1
Scrum Book Of Knowledge - Reading Notes, Part#1Scrum Book Of Knowledge - Reading Notes, Part#1
Scrum Book Of Knowledge - Reading Notes, Part#1
 
Peoplesoft Basic App designer
Peoplesoft Basic App designerPeoplesoft Basic App designer
Peoplesoft Basic App designer
 
People soft basics
People soft basicsPeople soft basics
People soft basics
 
Security & Segregation of Duties for PeopleSoft
Security & Segregation of Duties for PeopleSoftSecurity & Segregation of Duties for PeopleSoft
Security & Segregation of Duties for PeopleSoft
 
Profiling for SAP - Compliance Management, Access Control and Segregation of ...
Profiling for SAP - Compliance Management, Access Control and Segregation of ...Profiling for SAP - Compliance Management, Access Control and Segregation of ...
Profiling for SAP - Compliance Management, Access Control and Segregation of ...
 
Effective Segregation of Duties for PeopleSoft 2011-02-23
Effective Segregation of Duties for PeopleSoft 2011-02-23Effective Segregation of Duties for PeopleSoft 2011-02-23
Effective Segregation of Duties for PeopleSoft 2011-02-23
 
Automating PeopleSoft Segregation of Duties: HCM and Financials
Automating PeopleSoft Segregation of Duties: HCM and FinancialsAutomating PeopleSoft Segregation of Duties: HCM and Financials
Automating PeopleSoft Segregation of Duties: HCM and Financials
 
Segregation of Duties Solutions
Segregation of Duties SolutionsSegregation of Duties Solutions
Segregation of Duties Solutions
 
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015 Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
Segregation of duties in SAP @ ISACA Pune presentation on 18.4.2015
 
Segregation of Duties and Continuous Delivery
Segregation of Duties and Continuous DeliverySegregation of Duties and Continuous Delivery
Segregation of Duties and Continuous Delivery
 
Ppt Of Peoplesoft
Ppt Of PeoplesoftPpt Of Peoplesoft
Ppt Of Peoplesoft
 
IIBA Initiation au Business Analysis Book of Knowledge V2
IIBA Initiation au Business Analysis Book of Knowledge V2IIBA Initiation au Business Analysis Book of Knowledge V2
IIBA Initiation au Business Analysis Book of Knowledge V2
 
De l'expression de besoins vers spécifications de la solution
De l'expression de besoins vers spécifications de la solutionDe l'expression de besoins vers spécifications de la solution
De l'expression de besoins vers spécifications de la solution
 
Synthèse : démarche de mise en oeuvre d'un portefeuille projets
Synthèse : démarche de mise en oeuvre d'un portefeuille projetsSynthèse : démarche de mise en oeuvre d'un portefeuille projets
Synthèse : démarche de mise en oeuvre d'un portefeuille projets
 
Tests & recette - Les fondamentaux
Tests & recette - Les fondamentauxTests & recette - Les fondamentaux
Tests & recette - Les fondamentaux
 

Similaire à SOD Segregation Of Duties - Séparation de Droits et Responsabilités

Tableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entrepriseTableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entrepriseTableau Software
 
Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1SAGIDS1
 
6bestpracticeseffectivedashboards loc fr-fr
6bestpracticeseffectivedashboards loc fr-fr6bestpracticeseffectivedashboards loc fr-fr
6bestpracticeseffectivedashboards loc fr-frHeger Ben Meriem
 
Gestion et Finance - Sage - Consolidez vos systems informatiques
Gestion et Finance - Sage  - Consolidez vos systems informatiquesGestion et Finance - Sage  - Consolidez vos systems informatiques
Gestion et Finance - Sage - Consolidez vos systems informatiquesKevin Conan
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informationsReda Hassani
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Ac_Business
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Ac_Business
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
L’informatique efficience
L’informatique efficienceL’informatique efficience
L’informatique efficienceMichel Bruchet
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraCédric Mora
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptxhajarbouladass
 
12 conseils et meilleures pratiques pour la gestion des services informatiques
12 conseils et meilleures pratiques pour la gestion des services informatiques12 conseils et meilleures pratiques pour la gestion des services informatiques
12 conseils et meilleures pratiques pour la gestion des services informatiquesWilliams Ould-Bouzid
 
Décisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succèsDécisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succèsJean-Michel Franco
 
Logiciel Efficient 360
Logiciel Efficient 360Logiciel Efficient 360
Logiciel Efficient 360Groupe SIRIUS
 
Mise en place d&rsquo;un Systéme d’Information (SI) en PME
Mise en place d&rsquo;un Systéme d’Information (SI) en PMEMise en place d&rsquo;un Systéme d’Information (SI) en PME
Mise en place d&rsquo;un Systéme d’Information (SI) en PMECYB@RDECHE
 

Similaire à SOD Segregation Of Duties - Séparation de Droits et Responsabilités (20)

Présentation BlueKanGo - Performance stratégique et Management QHSE
Présentation BlueKanGo - Performance stratégique et Management QHSE Présentation BlueKanGo - Performance stratégique et Management QHSE
Présentation BlueKanGo - Performance stratégique et Management QHSE
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
 
Tableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entrepriseTableau Drive, Une méthodologie innovante pour les déploiements en entreprise
Tableau Drive, Une méthodologie innovante pour les déploiements en entreprise
 
Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1Séminaire IDS Scheer Processus Santé part 1
Séminaire IDS Scheer Processus Santé part 1
 
[2]bis
[2]bis[2]bis
[2]bis
 
6bestpracticeseffectivedashboards loc fr-fr
6bestpracticeseffectivedashboards loc fr-fr6bestpracticeseffectivedashboards loc fr-fr
6bestpracticeseffectivedashboards loc fr-fr
 
Gestion et Finance - Sage - Consolidez vos systems informatiques
Gestion et Finance - Sage  - Consolidez vos systems informatiquesGestion et Finance - Sage  - Consolidez vos systems informatiques
Gestion et Finance - Sage - Consolidez vos systems informatiques
 
Systèmes d informations
Systèmes d informationsSystèmes d informations
Systèmes d informations
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
L’informatique efficience
L’informatique efficienceL’informatique efficience
L’informatique efficience
 
Présentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric MoraPrésentation HEC - Cloud Computing En France - Cédric Mora
Présentation HEC - Cloud Computing En France - Cédric Mora
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
12 conseils et meilleures pratiques pour la gestion des services informatiques
12 conseils et meilleures pratiques pour la gestion des services informatiques12 conseils et meilleures pratiques pour la gestion des services informatiques
12 conseils et meilleures pratiques pour la gestion des services informatiques
 
Décisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succèsDécisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succès
 
Offres starter lotuslive
Offres starter lotusliveOffres starter lotuslive
Offres starter lotuslive
 
Agil organisationnelle dg_sept_2018
Agil organisationnelle dg_sept_2018Agil organisationnelle dg_sept_2018
Agil organisationnelle dg_sept_2018
 
Logiciel Efficient 360
Logiciel Efficient 360Logiciel Efficient 360
Logiciel Efficient 360
 
Mise en place d&rsquo;un Systéme d’Information (SI) en PME
Mise en place d&rsquo;un Systéme d’Information (SI) en PMEMise en place d&rsquo;un Systéme d’Information (SI) en PME
Mise en place d&rsquo;un Systéme d’Information (SI) en PME
 

Plus de COMPETENSIS

Déployer ArchiMate Prez ADIRA 23 nov. 2023
 Déployer ArchiMate Prez ADIRA 23 nov. 2023 Déployer ArchiMate Prez ADIRA 23 nov. 2023
Déployer ArchiMate Prez ADIRA 23 nov. 2023COMPETENSIS
 
ArchiMate 3.2 Nouvelle version
 ArchiMate 3.2 Nouvelle version  ArchiMate 3.2 Nouvelle version
ArchiMate 3.2 Nouvelle version COMPETENSIS
 
ArchiMate technology layer - Simplify the models
ArchiMate technology layer - Simplify the modelsArchiMate technology layer - Simplify the models
ArchiMate technology layer - Simplify the modelsCOMPETENSIS
 
ArchiMate application and data architecture layer - Simplify the models
ArchiMate application and data architecture layer - Simplify the modelsArchiMate application and data architecture layer - Simplify the models
ArchiMate application and data architecture layer - Simplify the modelsCOMPETENSIS
 
Business Composability
Business ComposabilityBusiness Composability
Business ComposabilityCOMPETENSIS
 
From Business model to Capability Map
From Business model to Capability Map From Business model to Capability Map
From Business model to Capability Map COMPETENSIS
 
STRATEGIE - Guide de survie en Business Architecture n°3
STRATEGIE - Guide de survie en Business Architecture n°3STRATEGIE - Guide de survie en Business Architecture n°3
STRATEGIE - Guide de survie en Business Architecture n°3COMPETENSIS
 
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2COMPETENSIS
 
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1COMPETENSIS
 
ARCHIMATE Physical layer "My Little PanCake Factory"
ARCHIMATE Physical layer "My Little PanCake Factory"ARCHIMATE Physical layer "My Little PanCake Factory"
ARCHIMATE Physical layer "My Little PanCake Factory"COMPETENSIS
 
ArchiMate 3.1 Physical layer
ArchiMate 3.1 Physical layerArchiMate 3.1 Physical layer
ArchiMate 3.1 Physical layerCOMPETENSIS
 
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...COMPETENSIS
 
Value analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modelingValue analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modelingCOMPETENSIS
 
Modéliser avec ARCHIMATE 3.1®
Modéliser avec ARCHIMATE 3.1®Modéliser avec ARCHIMATE 3.1®
Modéliser avec ARCHIMATE 3.1®COMPETENSIS
 
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATEMachine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATECOMPETENSIS
 
2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
 2019 07 Bizbok with Archimate 3 v3 [UPDATED !] 2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
2019 07 Bizbok with Archimate 3 v3 [UPDATED !]COMPETENSIS
 
Chiffrer - Evaluer la charge d'une activité ou d'un projet
Chiffrer - Evaluer la charge d'une activité ou d'un projetChiffrer - Evaluer la charge d'une activité ou d'un projet
Chiffrer - Evaluer la charge d'une activité ou d'un projetCOMPETENSIS
 
Le Pensum du DSI
Le Pensum du DSILe Pensum du DSI
Le Pensum du DSICOMPETENSIS
 
DEVOPS - La synthèse
DEVOPS - La synthèseDEVOPS - La synthèse
DEVOPS - La synthèseCOMPETENSIS
 
Sensibilisation à ITIL V3
Sensibilisation à ITIL V3Sensibilisation à ITIL V3
Sensibilisation à ITIL V3COMPETENSIS
 

Plus de COMPETENSIS (20)

Déployer ArchiMate Prez ADIRA 23 nov. 2023
 Déployer ArchiMate Prez ADIRA 23 nov. 2023 Déployer ArchiMate Prez ADIRA 23 nov. 2023
Déployer ArchiMate Prez ADIRA 23 nov. 2023
 
ArchiMate 3.2 Nouvelle version
 ArchiMate 3.2 Nouvelle version  ArchiMate 3.2 Nouvelle version
ArchiMate 3.2 Nouvelle version
 
ArchiMate technology layer - Simplify the models
ArchiMate technology layer - Simplify the modelsArchiMate technology layer - Simplify the models
ArchiMate technology layer - Simplify the models
 
ArchiMate application and data architecture layer - Simplify the models
ArchiMate application and data architecture layer - Simplify the modelsArchiMate application and data architecture layer - Simplify the models
ArchiMate application and data architecture layer - Simplify the models
 
Business Composability
Business ComposabilityBusiness Composability
Business Composability
 
From Business model to Capability Map
From Business model to Capability Map From Business model to Capability Map
From Business model to Capability Map
 
STRATEGIE - Guide de survie en Business Architecture n°3
STRATEGIE - Guide de survie en Business Architecture n°3STRATEGIE - Guide de survie en Business Architecture n°3
STRATEGIE - Guide de survie en Business Architecture n°3
 
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
VALUE STREAM & CHAINE DE VALEUR - Guide de survie en Business Architecture n°2
 
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
CAPABILITY & CAPACITE - Guide de survie en Business Architecture n°1
 
ARCHIMATE Physical layer "My Little PanCake Factory"
ARCHIMATE Physical layer "My Little PanCake Factory"ARCHIMATE Physical layer "My Little PanCake Factory"
ARCHIMATE Physical layer "My Little PanCake Factory"
 
ArchiMate 3.1 Physical layer
ArchiMate 3.1 Physical layerArchiMate 3.1 Physical layer
ArchiMate 3.1 Physical layer
 
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
Pour une ANALYSE DE LA VALEUR avec les concepts de Value Stream et Capability...
 
Value analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modelingValue analysis with Value Stream and Capability modeling
Value analysis with Value Stream and Capability modeling
 
Modéliser avec ARCHIMATE 3.1®
Modéliser avec ARCHIMATE 3.1®Modéliser avec ARCHIMATE 3.1®
Modéliser avec ARCHIMATE 3.1®
 
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATEMachine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
Machine Learning, Intelligence Artificielle et Modélisation ARCHIMATE
 
2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
 2019 07 Bizbok with Archimate 3 v3 [UPDATED !] 2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
2019 07 Bizbok with Archimate 3 v3 [UPDATED !]
 
Chiffrer - Evaluer la charge d'une activité ou d'un projet
Chiffrer - Evaluer la charge d'une activité ou d'un projetChiffrer - Evaluer la charge d'une activité ou d'un projet
Chiffrer - Evaluer la charge d'une activité ou d'un projet
 
Le Pensum du DSI
Le Pensum du DSILe Pensum du DSI
Le Pensum du DSI
 
DEVOPS - La synthèse
DEVOPS - La synthèseDEVOPS - La synthèse
DEVOPS - La synthèse
 
Sensibilisation à ITIL V3
Sensibilisation à ITIL V3Sensibilisation à ITIL V3
Sensibilisation à ITIL V3
 

SOD Segregation Of Duties - Séparation de Droits et Responsabilités

  • 2. Licence • Ce document est sous licence « CREATIVE COMMONS » • Pas d’utilisation commerciale • Partage dans les mêmes conditions http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties2
  • 3. Empêcher les fraudes, conflits d’intérêt et erreurs humaines • Cas d’usage : Un audit externe ou interne montre des non-conformités liées à la séparation des droits et responsabilités (Segregation Of Duties). • Les non-conformités doivent être résorbées par la mise en œuvre de la «Segregation of Duties » à plusieurs niveaux : Organisation, processus, activités Référentiel RH des postes et responsabilités Droits d’accès et d’usage du système d’information des utilisateurs, Droits d’accès aux différents environnements et couches techniques du système d’information par les administrateurs informatiques (externes ou internes) Dans certains cas, au niveau des autorisations d’accès physique aux bâtiments. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties3 Vos Enjeux
  • 4. Références du consultant sollicité Le consultant sollicité a déjà mis en œuvre la « Séparation des droits et responsabilités » (SOD) au travers des missions suivantes : V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties4 Responsable informatique R&D Grand groupe chimique • Mise en œuvre des référentiels « bonnes pratiques », vérification et validation des logiciels, séparation des droits et responsabilités • Audits internes des études réglementaires et des outils déployés : logiciels et équipements de laboratoires, robotique, SI scientifique, logistique et financier du centre de recherche. • Audits externes par l’UIC du respect des bonnes pratiques, appliquées aux instruments de laboratoires, système d’information. Contrôle de la séparation des droits, dans le cadre des études réglementaires. • Audits de contrôles de la sécurité du territoire dont contrôle de la séparation des droits et d’usage des outils informatiques • Audits financiers dans le cadre de SabanneOxley dont contrôles de la séparation des droits. Réorganisation d’une direction IT de <1000 personnes, groupe industriel, énergie • Modélisation des processus, activités, données, rôles, tâches et système d’information • Appui à la construction de l’organisation en identifiant les rôles de contrôle et vérification • Mise en œuvre de la ségrégation des droits et responsabilités (SOD) au sein des processus et outils informatiques PME Dispositifs médicaux • Mise en œuvre du SOD à partir des fiches de postes de l’entreprise.
  • 5. Segregation Of Duties Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties5
  • 6. Définition : Segregation of Duties • En français, séparation des responsabilités et des droits • Objectif : Supprimer les risques de conflits d’intérêt, fraude ou erreurs • Activité centrale pour le respect de réglementations • Séparation entre plusieurs personnes des responsabilités : une personne seule ne peut effectuer ou masquer des actions de fraude ou des erreurs • La séparation des responsabilités doit être démontrée. La charge de la preuve incombe à l’entreprise et son représentant légal. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties6
  • 7. Secteurs concernés par le SOD • Tout secteur réglementé  Banques, assurances, fabrication des cartes de paiement  Energie, chimie (Ceveso)  Chimie, pharmacie (Bonnes pratiques)  Dispositifs médicaux  Alimentaires, restaurants (HAP pour les aliments)  Agriculture, élevage & abattage  Télécommunications  Transports : train, avion, camion, transports de personnes  Opérations douanières  Toutes opérations financières (Sarbanne Oxley) pour les sociétés cotées en bourse  … • Quelque soit la taille de l’entreprise. C’est l’appartenance au secteur d’activité qui conditionne l’application des règles. • Sans oublier les fonctions RH et comptables de toute entreprise • Très pratiqué dans le cadre de mise en œuvre du cloud (SaaS, IaaS…) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties7
  • 8. Définir « Critique » et « sensible » ? • Respect de la réglementation • Sécurité des employés • Sécurité des patients • Sécurité environnementale • Continuité d’activité • Image de marque • Impact financier direct… Niveaux de séparation V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties8 • Définir les normes, règles à appliquer (gouvernance) : Qui peut demander l’enregistrement d’une nouvelle donnée ? Qui autorise la mise à jour ? Qui est responsable du maintien des données ? Qui contrôle les mises à jour ? • Sur les données, les processus, activités et systèmes critiques, sensibles Définir critiques & sensibles • Effectuer des contrôles réguliers (audits internes)
  • 9. Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties9 • Rechercher les conflits d’intérêts et les incohérences • Justifier lorsque l’on maintient un conflit d’intérêt ou une incohérence • Surveiller les usages Processus Activités (et tâches) Rôles Description de postes Fonctions Activités (et tâches) Solutions informatiques Profils Utilisateurs Droits d’usage (activités autorisées) Organisation décrite Organisation mise en œuvre Fonctions & Responsabilités Usages des outils informatiques Activités réalisées (sessions) Solutions informatiques Solutions informatiques
  • 10. Vos processus ne sont pas modélisés ou ne sont plus à jour ? • Nous modélisons en quelques jours les fonctions critiques de votre entreprise. • « BusinessAnchor Model » (source : OpenGroup,TOGAF) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties10
  • 11. Où trouver les conflits d’intérêt ? V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties11 Processus & activités Fonctions Critiques Référentiel RH Description de postes Solutions informatiques Autorisations d’accès Rechercher les incohérences croisées Exemple : affaire Kerviel
  • 12. Audits internes & externes Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model12
  • 13. Points communs à toutes les réglementations • Traçabilité des changements dans le système d’information  Audit-trail : horodaté (date, heure, minute, seconde et milliseconde), version des données avant et après, identifiant de l’utilisateur, rôle, raison de la modification  Tracer les sessions des utilisateurs et leurs actions  impact fort sur le développement applicatif • Traçabilité des utilisateurs  1 utilisateur = 1 personne connue dans le référentiel RH (employé) ou ACHAT (prestataire)  Pas de compte groupé, même pour des besoins de service.  Surveillance accrue des comptes administrateurs et mots de passe (informaticiens) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties13 • Rédiger une « politique », norme propre à l’entreprise et faisant référence aux réglementations en vigueur  Pour démontrer la volonté de respect dans la mise en œuvre de la réglementation  Donner son « interprétation » du texte dans les processus et activités de l’entreprise • Mettre en œuvre un système qualité  Organiser des contrôles et audits internes s’appuyant sur les principes mis en œuvre (politique)  Mettre en place une boucle d’amélioration continue : chaque non-conformité donne lieu à un plan d’action visant à améliorer le respect de la règle.  Suivre les plans d’actions de traitement des non- conformités et amélioration continue.
  • 14. Organiser les audits internes Anticiper les audits externes • 2 types d’audit Vérifier que la politique d’entreprise respecte les attendus de la réglementation Vérifier que la politique d’entreprise est mise en œuvre • L’audit interne vérifie que la politique d’entreprise est mise en œuvre. • L’audit externe couvre les 2 aspects : politique interne et attendus de la réglementation. • Tout audit doit donner lieu à un plan d’actions et au suivi de sa mise en œuvre dans un délais court (<3 mois) : L’action doit démarrer rapidement Son résultat peut excéder 3 mois. Dans ce cas des audits de contrôle sont définis. V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties14
  • 15. Audits et contrôles internes • Définir une politique de contrôles récurrents des conflits d’intérêt Audits internes récurrents : tous les 12 à 24 mois Tracer les changements d’affectation Tracer les droits d’usage des solutions informatique Pour chaque nouveau droit d’usage d’une solution applicative, vérifier avec la fonction RH les incohérences et conflits d’intérêt possibles. Documenter : dire ce que vous mettez en place et réaliser ce que vous avez mis en place V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties15
  • 16. Recommandations de mise en oeuvre Blue Jigsaw Competensis Blue Jigsaw Competensis - Segregation Of Duties16
  • 17. Cadrer le projet │Développer la vision d’ensemble du projet Développer la vision d’ensemble • Définir les principes directeurs : enjeux, objectifs et décisions managériales • Définir la cible et la trajectoire vers la cible • Analyse Forces/Faiblesses/Menaces/Opportunités • Organiser les ateliers de travail et attribuer les responsabilités. • Contenu du plan de cadrage : • Périmètre (fonctions, activités, outils, données critiques) • Livrables • Planning • Instances de suivi • Rôles & responsabilités • Organiser la réunion de lancement V1.0 Février 2016 Blue Jigsaw Competensis - Business Model17 Définir les responsabilités • Sponsor du projet  Définir les principes directeurs  S’assurer de la réalisation de la valeur attendue et de l’atteinte des objectifs du projet • PMO :  Rédiger les feuilles de route des ateliers avec le support du consultant externe  Planifier les ateliers et réunions  Suivre l’avancement des réalisations et l’atteinte des objectifs  Participer aux revues, rétrospectives et challenges • Consultant externe  Production des livrables  Préparation, animation et conduite des ateliers
  • 18. Mesurer les risques de conflits d’intérêt 1. Activités critiques 2. Données critiques 3. Assets/Actifs ayant de la valeur 4. Revue du référentiel RH 5. Solutions informatiques 6. Rapports des incohérences et conflits d’intérêt 7. Plan d’actions et sécurisation Principesdemiseenœuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties18 • Postes, Fonctions, Responsabilités • Activités menées • Outils SI utilisés • Outils et fonctions utilisées • Cohérence avec le référentiel RH Si disponible, intégrer une phase de recherche d’incohérences dans le référentiel des processus de l’entreprise
  • 19. Plan de mise en œuvre V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties19 Vision Business & RH •Inventorier données, transactions informatiques, postes & fonctions, activités critiques •Mesurer Risques & Impacts Vision Technique •Systèmes •Profils d’utilisateurs •Tâches et activités Vérifier •Cahier de recette •Rechercher les incohérences Transformer •Réviser les responsabilités RH •Réviser les profils d’utilisateurs •Mettre à jour les processus Livrables majeurs • Matrices d’incompatibilité  Processus :Tâches XTâches  Postes RH : ActivitésX Activités  Système d’information : Droits d’accèsX Droits d’Accès  MatricesCroisées :Tâches X ActivitésX Droits d’accès Livrables majeurs • Relevés d’incohérences après vérification • Plans d’actions pour résorber les incohérences • Rituels de suivi
  • 20. Synoptique V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties20 2 semaines 1 matrice 2 semaines 3 semaines 2 matrices 3 réunions Brainstorming & challenge 3 mois 3 semaines Relevés des incohérences Cadrage Vision Business & RH Vision Technique Vérifier Transformer Matrices d’incompatibilités Relevés des incompatibilités constatées Lancement Transformation & Déploiement
  • 21. Piloter le projet Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model21
  • 22. Pilotage du projet • Dès le lancement du projet, mettre en place les comités de suivi, comme pour tout projet : V1.0 Février 2016 Blue Jigsaw Competensis - Business Model22 Comité Objectifs Responsabilités Réunion de lancement Lancer le projet Présenter les attendus et l’organisation mise en place PMO Sponsor Directions de départements impliqués Consultant Comité opérationnel, Comité de projet Suivi opérationnel des réalisations Hebdomadaire à mensuel PMO Consultant Comité de pilotage Comité de direction Comité d’engagement Suivre la mise en œuvre des principes directeurs de la mission Vérifier l’apport de valeur pour l’organisation Prendre les décisions stratégiques Mensuel à Trimestriel PMO Sponsor Directions de départements impliqués Consultant
  • 23. Impacts du SOD sur le système d’information Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model23
  • 24. Impact sur le système d’information Source : ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties24 SOD Contraintes & Contrôles Hiérarchie Héritage Utilisateur Roles Sessions Attribution Activation de rôles Ouverture d’une session Opérations Activités Fonctions Objets Classes d’objets (spécialisation) Autorisations Créer Modifier Supprimer Autorisations Créer Modifier Supprimer Décomposition PERMISSIONS Référentiel RH
  • 25. Impact sur le système d’information • Utilisateur  Un individu, une personne connue du service RH ayant un contrat avec l’entreprise : salarié ou prestataire • Rôle  Une fonction reconnue dans l’entreprise ou un groupe d’actions permettant de réaliser une fonction.  Exemple : « responsable achat d’un groupe de produits » ou « Contrôle des encaissements » • Opération  Action possible sur les données du système d’information : créer, modifier, supprimer, contrôler, valider, abandonner, refuser...  Cela peut correspondre à une fonctionnalité du logiciel • Session  Accès à une application par un utilisateur.Une session active un ou plusieurs rôles et permet l’obtention de permissions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties25 • Permission  Autorisation d’activer une opération sur un objet ou une classe d’objets au travers d’une application • Objets  Données ou « assets » (actifs) ayant de la valeur pour l’entreprise  Exemple : Dossier patient, Equipements, Produits chimiques, Brevet, Encaissements, Abonnements, Commandes clients ou fournisseurs… • Classes d’objet :  Un objet se décompose sur plusieurs niveaux en classes d’objets.  Typologie  Equipement médical  Béquilles, Lits médicalisés, Fauteuils, Perfusions  Produits chimiques  Matières actives (MA), MA Herbicides, MA Fongicides, MA Insecticide, solvants, charges, dispersants…
  • 26. Focus sur les outils informatiques • Pas de comptes et mots de passe groupés pour les utilisateurs • Surveillance des comptes administrateurs Etablir une liste à jour des personnes ayant connaissance et usage de ces comptes. Changer mensuellement tous les mots de passe. • Homologuer le code et les applicatifs livrés  Rechercher les « codes malins » par du test et de la revue de code • Segmentation des accès selon les environnements Segmenter les environnement et les protéger physiquement : Développement, Tests et Production. Pas d’accès à l‘environnement de production aux personnes réalisant le développement et les tests Seules les personnes devant réaliser des actions opérationelles sur les environnements de production ont accès aux machines, bases de données, firewall, composants réseaux… Traçabilité totale des actions et connexions V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties26
  • 27. Focus sur les outils informatiques • Les spécifications des solutions doivent être revues Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) • Les solutions informatiques doivent être testées Pour s’assurer qu’elles répondent aux besoins des utilisateurs (Vérification) Pour s’assurer qu’elles respectent les attendus de la réglementation (Validation) V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties27
  • 28. Préparer le déploiement Blue Jigsaw Competensis Blue Jigsaw Competensis - Business Model28
  • 29. Préparer le déploiement │ Plan de transformation • Adopter une vision pragmatique des actions à mener • Piloter la transformation comme un projet V1.0 Février 2016 Blue Jigsaw Competensis - Business Model29 Mesurer les impacts des changement Créer la vision Lancer le projet de transformation Transformer Piloter Organisation •Postes, compétences attendues •Outils, SI •Procédures, modes opératoires •Besoins de formation Communiquer sur les raisons du changement •S’appuyer sur les relais, participants aux ateliers •Montrer les risques à « ne pas faire » et les risques ou difficultés « à faire » Organiser le projet de transformation •Actions requises •Coûts, charge, délais •Parties-prenantes •Planifier, piloter Déploiement •« technique » des outils •Formation des utilisateurs •Mettre en place la nouvelle organisation (si requis) Mesurer l’avancement •Démontrer l’apport de valeur (gains) •Communiquer les réussites •Prendre les actions et mesures correctives quand nécessaire •Mesurer les freins et opportunités au changement
  • 30. Préparer le déploiement │ Plan de formation • Si requis, à mesurer au démarrage du projet • Communiquer sur les objectifs de formation : outils, activités opérationnelles • Elaborer le plan de formation • Produire les supports de formation • Mettre en œuvre Interne ou externe Organiser et planifier les formations • Mesurer l’efficacité V1.0 Février 2016 Blue Jigsaw Competensis - Business Model30
  • 31. Préparer le déploiement │ Plan de communication • Dès le lancement du projet • Nombreux supports de communication Interventions en réunions d’équipe ou réunions de service Journal d’entreprise Echanges et communication plus informelle, lors des temps de pause • Appels à candidature pour participer aux ateliers Laisser les contributions le plus libres et ouvertes possibles • Démontrer l’ouverture, l’écoute et la recherche de consensus • Toujours présenter les risques « à ne pas faire » et les risques « à faire » V1.0 Février 2016 Blue Jigsaw Competensis - Business Model31
  • 32. Sources • ISACA • Enhancing ITGovernanceWith aSimplified Approach to Segregation of Duties, Kevin Kobelsky • ImplementingSegregation of Duties, ISACAJOURNALVOL 3 • ANSI INCITS 359-2004 V1.0 Mai 2016 Blue Jigsaw Competensis - Segregation Of Duties32
  • 33. Contact : Christine Dessus www.competensis.com chdessus@competensis.com 06 31 09 73 54 33 V1.0 MARS 2016 Blue Jigsaw Competensis - Business Model