L'informatique et la fraude Aix-en-Provence
0 j'aime1,105 vues
La conférence traite des risques associés à l'informatique et à la fraude, en mettant l'accent sur l'évaluation des sous-traitants et la sécurité des données. Elle aborde également l'importance de la cartographie applicative et des contrôles internes pour éviter les anomalies dans le traitement des données. Des recommandations sont faites pour améliorer le contrôle des systèmes et gérer les incidents de manière efficace.
L'informatique et la fraude Aix-en-Provence
- 1. CONFÉRENCE AIX en PROVENCE « L’INFORMATIQUE ET LA FRAUDE » 21/05/2015 | www.noelpons.fr | 1
- 2. PLAN DE LA CONFÉRENCE L’intelligence et l’informatique L’approche de la cartographie applicative Quelques problèmes récurrents Les risques des systèmes 21/05/2015 | www.noelpons.fr | 2
- 4. LES RISQUES MAJEURS A-t’on évalué ce qui constitue l’essence même d’une société (stratification des fichiers) ? Connaît-on bien ses sous traitants (risque de vol de données) ? A-t’on analysé les termes des contrats (clauses d’auditabilité etc.) A-t’on bien évalué les problèmes de sécurité ? 21/05/2015 | www.noelpons.fr | 4
- 5. LES RISQUES MAJEURS DES NOUVEAUX OUTILS L’espionnage économique Le « cloud computing » Les pratiques frauduleuses du trading à haute fréquence Le risque majeur de l’internet : La mise en réseau croissante de l'économie, des États et des individus sur Internet Les problématiques de sécurité 21/05/2015 | www.noelpons.fr | 5
- 6. LES RISQUES MAJEURS DES NOUVEAUX OUTILS Les attaques touchant les systèmes d’information internes Les rapports avec les collaborateurs Les contrats liés aux sous-traitants techniques La chaîne d’approvisionnement Les technologies de rupture et les chocs externes (ex. : incendie ou catastrophes naturelles). 21/05/2015 | www.noelpons.fr | 6
- 7. 21/05/2015 L’APPROCHE DE LA CARTOGRAPHIE APPLICATIVE | www.noelpons.fr | 7
- 8. APPROCHE DE LA CARTOGRAPHIE APPLICATIVE Documentation La répartition organisationnelle ce qui permet de comprendre qui sont les décideurs L’existence d’une charte informatique: date de la dernière mise à jour les documents qui pourraient être assimilés à une charte la procédure d'acceptation de cette charte.. La maintenance des logiciels (contrats, disponibilité des systèmes et continuité de l’activité, langage concernant chaque logiciel) . 21/05/2015 | www.noelpons.fr | 8
- 9. APPROCHE DE LA CARTOGRAPHIE APPLICATIVE Procédure Les processus de gestion des droits (habilitations / sécurité logique) et la politique informatique (changement de mot de passe, téléchargement, mises à jour...) La procédure de gestion des incidents et les critères d’efficacité Carto Les logiciels utilisés ainsi que les déversements réalisés Quelles sont les données en entrées et celle exportées ? Quels sont les traitements ? fréquence du déversement ? la gestion des interfaces contrôles embarqués,gestion des rejets, fréquence...) A-t-on identifié et dissocié les informations confidentielles ? Exportées auprès de qui ? | www.noelpons.fr | 921/05/2015
- 11. QUELQUES PROBLÈMES RÉCURRENTS Revues du contrôle interne, quelques anomalies : Contrôle des fichiers d’interface exemples de constats: Des contrôles sur les fichiers d’interface sont effectués hors de l’échange de données informatisées par l’intermédiaire de scripts L’exhaustivité de l’intégration de tous les dossiers dans l’application n’est pas assuré Le fichier transmis en production est filtré pour ne conserver que les lignes correctes et les lignes corrigées Les lignes mises de côté sont retraitées sans contrôle ni validation Le risque de transmission d’un fichier erroné est donc présent 21/05/2015 | www.noelpons.fr | 11
- 12. QUELQUES PROBLÈMES RÉCURRENTS Revues du contrôle interne, quelques anomalies : Modification des fichiers d’interface : exemples de constats La modification des fichiers d’interface ne respecte pas le principe de non correction des données. La réalisation de corrections est erronée et le retraitement des lignes écartées est oublié Les lignes en anomalie ne sont pas communiquées aux utilisateurs Recommandations Documenter les contrôles effectués qui sont validés par le métier Lister les anomalies récurrentes afin de les traiter dans le Système d’information 21/05/2015 | www.noelpons.fr | 12
- 13. QUELQUES PROBLÈMES RÉCURRENTS Revues du contrôle interne, quelques anomalies: Retraitement des anomalies Les dossiers non intégrés ou rejetés sont stockés dans une table dédiée Les lignes sont corrigées manuellement ou via des scripts et réintégrées dans le système au fur et à mesure sans validation du métier Le processus ne garantit pas que les écritures sont transmises de façon exhaustive Retraitement des lignes en anomalie avec une macro Excel Qui l’a écrite ? Qui l’a validée ? Qui y a accès ? Qui la contrôle ? Le retraitement des lignes en erreur n’est pas industrialisé et il est possible que la totalité des lignes en anomalie ne soit pas traitée 21/05/2015 | www.noelpons.fr | 13
- 14. QUELQUES PROBLÈMES RÉCURRENTS Revues du contrôle interne, quelques anomalies: Résolution des incidents L’identification de tickets de type « anomalie » non résolus et/ou dépassant le délai établi En l’absence de correction systématique des incidents, des écritures sont en erreur ou manquantes Sécurité logique accès au Système Il n’existe pas de procédure de gestion des comptes utilisateurs spécifiques ou non Les comptes utilisateurs sont créés par l’exploitation en fonction des besoins et aucune revue des utilisateurs périodiques n’est réalisée Des opérations d’exploitation non autorisées peuvent être effectuées en production (séparation entre la production et l’exploitation) 21/05/2015 | www.noelpons.fr | 14
- 15. QUELQUES PROBLÈMES RÉCURRENTS Revues du contrôle interne, recommandations du retraitement des anomalies : Lister les anomalies récurrentes afin de les traiter dans le système Automatiser l’isolement des lignes en erreur et le nettoyage du fichier Documenter les retraitements effectués Mettre en place une stratégie de retraitement pour les écritures à fort impact et les traiter dans le Système en tant que dossier en rejet Revues du contrôle interne, recommandations pour la résolution des incidents : Confirmer les délais de clôture des incidents et s’assurer de leur correcte application par le support Mettre en place un suivi périodique des incidents afin de s’assurer que les écritures en erreur sont retraitées Revues du contrôle interne, recommandations pour la sécurité logique et les accès au Système : Identifier les utilisateurs déclarés ainsi que leur droits S’assurer que les droits accordés correspondent à leurs prérogatives 21/05/2015 | www.noelpons.fr | 15
- 16. 21/05/2015 LES RISQUES DES SYSTÈMES | www.noelpons.fr | 16
- 17. LES RISQUES LIÉS AUX SYSTÈMES EUX MÊMES La gestion des habilitations La séparation des tâches Quand le système n’est pas complet les utilisateurs trouvent des solutions autres La gestion des passe droits La clé générale sur internet 21/05/2015 | www.noelpons.fr | 17