Contrôles ITGC – Quelles sont les origines ?
En octobre 2001, le scandale financier Enron éclate, la compagnie spécialisée dans le courtage en énergie est à l’époque l’une des plus importantes capitalisations boursières mondiales. L’objet du scandale : une falsification récurrente de ses comptes avec la collaboration d’un des plus grands cabinets d’audit de l’époque, Arthur Andersen.
Suite à ce scandale, Enron est déclaré en faillite et Arthur Andersen fait l’objet d’une liquidation.
Cet événement a permis de déboucher sur la création d’une réglementation aux Etats-Unis, la loi Sarbanes Oxley (SOX), visant à protéger les investisseurs en améliorant l’exactitude et la fiabilité des informations fournies par les sociétés.
C’est à cette problématique que répondent en partie les ITGC. La mise en place de ces contrôles est une obligation réglementaire pour les grandes entreprises. Ces contrôles font l’objet d’un audit annuel lors de la mission de certification des comptes par les commissaires aux comptes.
Dans le cadre de cette mission, les auditeurs vont notamment s’assurer de l’efficacité opérationnelle des ITGC. La validation de la mise en place et de l’efficacité de ces contrôles est un prérequis afin de procéder à la certification des comptes.
L’exécution et l’optimisation des contrôles généraux ITGC sont donc cruciales pour les organisations. Non seulement pour démontrer leur adhésion aux standards réglementaires, mais également pour protéger leurs actifs. En effet, s’affranchir de ces contrôles exposent les organisations à des risques colossaux.
Contrôles ITGC – Catégories
Les ITGC se composent de 4 catégories :
– Accès aux programmes et aux données.
– Gestion des changements.
– Exploitation informatique.
– Développement de programmes.
Ils intègrent des contrôles permettant de couvrir les risques majeurs liés aux systèmes d’information.
Dans le cadre d’une mission de commissariat aux comptes, les auditeurs informatiques sont chargés de s’assurer de l’efficacité opérationnelle de ces contrôles. Ils vont mener leurs investigations sur les applications identifiées comme ayant un impact significatif sur les états financiers de l’entreprise auditée.
Découvrons quels sont ces contrôles par catégories d’ITGC.
ITGC – Accès aux programmes et aux données
Les accès aux programmes et aux données correspondent à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes.
La catégorie « accès aux programmes et aux données » a pour objectif de s’assurer que ces derniers soient correctement limités aux personnes autorisées. Un exemple courant est le cas d’une personne partie de l’entreprise, ayant toujours un compte actif et ayant accès à des données sensibles. Un accès non autorisé aux programmes et aux données peut entraîner des altérations de données, une suppression, ou une fuite de données.
Pour limiter ces risques, la catégorie « accès aux programmes et aux données » des ITGC intègre 5 contrôles sur 3 couches : applications – systèmes d’exploitation – bases de données.
- Les créations d’accès font l’objet d’un suivi, sont validées par un responsable habilité, et sont correctement implémentées.
- Les droits d’accès des utilisateurs partis ou n’étant plus légitimes (exemple : changement de poste) sont désactivés dans les temps.
- L’activité des comptes à hauts privilèges, administrateurs, des comptes génériques sensibles font l’objet d’un suivi d’activité régulier.
- Les droits d’accès font l’objet d’une revue périodique.
- Les mots de passe sont correctement configurés.
Contrôles ITGC – Gestion des changements
La gestion des changements correspond à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes.
La catégorie « gestion des changements » a pour objectif de s’assurer que toutes les modifications apportées aux systèmes existants sont correctement autorisées, testées, approuvées, mises en œuvre et documentées. Car les modifications apportées aux systèmes existants peuvent être inappropriées et peuvent entraîner une altération des données (exemple : un changement non autorisé apporté à une application financière représente un risque de fraude).
Pour limiter ce risque, la catégorie « gestion des changements » intègre 3 contrôles ci-dessous, sur 4 couches (applications, configuration systèmes d’exploitation, bases de données, réseau) :
- Les modifications apportées aux applications sont testées et approuvées avant mise en production.
- Les changements apportés aux applications sont revus périodiquement.
- Les environnements de développement, test et de production sont séparés et suivent un processus d’approbation.
Pour réaliser ces contrôles et pour s’assurer que leurs mises en œuvre est correcte, les auditeurs procèdent par échantillonnage et demandent les preuves liées aux changements sélectionnés (exemple : un PV de recette, un mail de validation pour mise en production).
Pour le second contrôle, il s’agit de contrôler qu’une revue de changement est bien effectuée périodiquement, qu’elle est exhaustive et qu’elle est validée par une personne habilitée.
Le troisième contrôle consiste à s’assurer que les environnements sont bien séparés, et que seules les personnes habilitées y ont accès; ce contrôle embarque un contrôle de séparation des tâches.
ITGC – Exploitation informatique
L’exploitation informatique correspond à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes.
La catégorie « exploitation informatique » a pour objectif de s’assurer de la disponibilité du système d’information, et que son fonctionnement est correct. Car cela peut entraîner un risque de disfonctionnement du système d’information.
Un exemple est le cas d’une personne non habilitée a accéder à la salle des serveurs.
Pour limiter ce risque la catégorie « exploitation informatique » intègre les 4 contrôles suivants :
- Les données sont correctement sauvegardées et récupérables.
- Seules les modifications approuvées et testées sont apportées au batch scheduler.
- Les erreurs en production sont identifiées et résolues.
- Des mesures de sécurité physique sont en place
Contrôles ITGC – Développement de programmes
Le développement de programmes correspond à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes.
La catégorie « développement de programmes » a pour objectif de s’assurer que les nouveaux systèmes, programmes, en cours de développement ou implémentés sont correctement autorisés, testés approuvés, implémentés, et documentés. Car le déploiement de nouveaux systèmes, de nouveaux programmes inappropriés peut entraîner une altération des données.
Pour limiter ce risque la catégorie « développement de programmes » intègre les 4 contrôles suivants :
- Les améliorations majeures des systèmes type ERP sont adéquatement testées et approuvées avant migration vers la production.
- Les données sont correctement migrées.
- Les problèmes rencontrés pendant le développement du programme sont suivis et résolus.
- Une formation appropriée est effectuée.
Conclusion
La mise en place et le bon fonctionnement de ces contrôles sont essentiels pour les entreprises afin de les protéger des risques suivants :
- réputationnel : (exemple : une fuite de données).
- opérationnel (exemple : SI indisponible).
- financier (exemple : fraude).
- conformité (exemple : en cas de défaillance des contrôles, les comptes sont susceptibles de ne pas être certifiés).
Afin de répondre à ces exigences de contrôle, les entreprises utilisent des outils, notamment pour effectuer la revue périodique des accès, le suivi des comptes à hauts-privilèges, et le contrôle de séparation des tâches.
Brainwave GRC apporte une solution efficace et innovante pour la mise en place et l’actionnement régulier de ces contrôles. Avec Brainwave Identity Analytics, automatisez et simplifiez l’exécution de vos revues périodique des droits d’accès et démontrer la conformité de vos droits d’accès logiques.
Les bénéfices sont nombreux :
- Résultats tangibles grâce à une approche adaptée au contexte, aux processus et niveau de maturité.
- Revues moins pénibles, plus efficaces.
- Fédérer les acteurs et favoriser l’adoption en contextualisant les interfaces et résultats.
- Répondre efficacement aux auditeurs, réduire les coûts.
