SOX et la Gestion des Accès

Quand nous discutons avec des spécialistes de la DSI sur les problèmes de gestion des identités et des accès, nous avons régulièrement affaire à des compagnies qui doivent se conformer à la législation SOX.

Ceci a généralement un impact important sur les processus mis en place par l’organisation en général et le département informatique en particulier, surtout en ce qui concerne la gestion des droits d’accès.

Les trois problèmes les plus fréquemment rencontrés sont :

1. Le workflow et la validation des droits d’accès :

Qu’il s’agisse d’un compte régulier sous Active Directory, de droits NTFS, de groupes au sein d’Active Directory, d’un compte e-mail ou de  toute autre application, toutes les demandes et validations doivent se conformer aux lois SOX, ce qui peut signifier que, de façon à créer un compte utilisateur, le Département informatique aura besoin de signatures en cascade  (la signature du demandeur, du N+1 et du responsable informatique).

Nous avons rencontré des compagnies où ces processus sont sous forme papier et à chaque audit SOX, le département informatique va passer des jours, voire des semaines à rechercher les documents exigés par l’auditeur. Un système de gestion automatisée du workflow tel qu’UMRA (User Management Resource Administrator) peut automatiser toutes les étapes de validation et transformer un audit SOX en une partie de plaisir pour la DSI.

Au lieu d’avoir des demandes écrites qui s’égarent en cours de chemin et des salariés qui attendent leurs droits d’accès, UMRA va automatiquement alerter les personnes habilitées à donner les autorisations  et ces dernières pourront d’une simple action valider une demande avant qu’elle ne soit automatiquement transmise à la personne suivante ou au département informatique pour accord.

2. La traçabilité

Évidemment toute demande d’accès ou d’autorisation d’accès doit pouvoir être « tracée » aisément. C’est une caractéristique de la solution de gestion des identités et des accès de Tools4ever.

3. La séparation des tâches

Un des aspects de la législation SOX est que certaines tâches ne doivent pas pouvoir être effectuées par une seule et même personne. Par exemple une commande peut être passée par X mais ne pourra être validée que par Y. Cela aura des conséquences au niveau de la gestion des accès dans la mesure où cela implique d’avoir accès uniquement à certaines données et donc les droits d’accès à chaque application doivent être fortement sécurisés.

En termes de gestion des accès cela veut dire que le système doit automatiquement se verrouiller  et/ou alerter si deux autorisations sont octroyées à un seul et même utilisateur. Ceci est facile à réaliser avec le système de gestion des identités et des accès de Tools4ever ; il est juste nécessaire de savoir quelles autorisations ne peuvent pas se combiner et le programme gérera automatiquement les droits d’accès.

N’hésitez pas à contacter votre bureau Tools4ever le plus proche si vous avez des questions concernant les exigences imposées par la Loi SOX en matière d’informatique et de gestion des accès et des identités.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


sept − = 4