SOX et la Gestion des Accès
Quand nous discutons avec des spécialistes de la DSI sur les problèmes de gestion des identités et des accès, nous avons régulièrement affaire à des compagnies qui doivent se conformer à la législation SOX.
Ceci a généralement un impact important sur les processus mis en place par l’organisation en général et le département informatique en particulier, surtout en ce qui concerne la gestion des droits d’accès.
Les trois problèmes les plus fréquemment rencontrés sont :
In this article
1. Le workflow et la validation des droits d’accès :
Qu’il s’agisse d’un compte régulier sous Active Directory, de droits NTFS, de groupes au sein d’Active Directory, d’un compte e-mail ou de toute autre application, toutes les demandes et validations doivent se conformer aux lois SOX, ce qui peut signifier que, de façon à créer un compte utilisateur, le Département informatique aura besoin de signatures en cascade (la signature du demandeur, du N+1 et du responsable informatique).
Nous avons rencontré des compagnies où ces processus sont sous forme papier et à chaque audit SOX, le département informatique va passer des jours, voire des semaines à rechercher les documents exigés par l’auditeur. Un système de gestion automatisée du workflow tel que HelloID peut automatiser toutes les étapes de validation et transformer un audit SOX en une partie de plaisir pour la DSI.
Au lieu d’avoir des demandes écrites qui s’égarent en cours de chemin et des salariés qui attendent leurs droits d’accès, HelloID va automatiquement alerter les personnes habilitées à donner les autorisations et ces dernières pourront d’une simple action valider une demande avant qu’elle ne soit automatiquement transmise à la personne suivante ou au département informatique pour accord.
2. La traçabilité
Évidemment toute demande d’accès ou d’autorisation d’accès doit pouvoir être « tracée » aisément. C’est une caractéristique de la solution de gestion des identités et des accès de Tools4ever.
3. La séparation des tâches
Un des aspects de la législation SOX est que certaines tâches ne doivent pas pouvoir être effectuées par une seule et même personne. Par exemple une commande peut être passée par X mais ne pourra être validée que par Y. Cela aura des conséquences au niveau de la gestion des accès dans la mesure où cela implique d’avoir accès uniquement à certaines données et donc les droits d’accès à chaque application doivent être fortement sécurisés.
En termes de gestion des accès cela veut dire que le système doit automatiquement se verrouiller et/ou alerter si deux autorisations sont octroyées à un seul et même utilisateur. Ceci est facile à réaliser avec le système de gestion des identités et des accès de Tools4ever ; il est juste nécessaire de savoir quelles autorisations ne peuvent pas se combiner et le programme gérera automatiquement les droits d’accès.
N’hésitez pas à nous contacter si vous avez des questions concernant les exigences imposées par la Loi SOX en matière d’informatique et de gestion des accès et des identités.
D'autres ont également consulté
Implémenter le Single Sign On / Authentification Unique avec SAP
20 juin 2013
Se connecter à une application via l’Active Directory sans connecteur LDAP
13 juin 2013