ITGC – Quelles sont les origines ?

En octobre 2001, le scandale financier Enron éclate, la compagnie spécialisée dans le courtage en énergie est à l’époque une des plus importantes capitalisations boursières mondiales. L’objet du scandale, une falsification récurrente de ses comptes, avec la collaboration d’un des plus grands cabinets d’audit de l’époque Arthur Andersen.
Suite à ce scandale Enron a été déclarée en faillite, et Arthur Andersen a fait l’objet d’une liquidation.

Cet événement a permis de déboucher sur la création d’une règlementation aux Etats-Unis, la loi Sabarnes Oxley (SOX) visant à protéger les investisseurs en améliorant l’exactitude et la fiabilité des informations fournies par les sociétés.

C’est à cette problématique que répondent en partie les ITGC. La mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Ces contrôles font l’objet d’un audit annuel lors de la mission de certification des comptes par les commissaires aux comptes.

Dans le cadre de cette mission, les auditeurs vont s’assurer entre-autre, de l’efficacité opérationnelle des ITGC. La validation de la mise en place et de l’efficacité de ces contrôles est un prérequis afin de procéder à la certification des comptes.
L’enjeu est donc crucial pour les entreprises auditées.

ITGC – Catégories

Les ITGC se composent de 4 catégories :

– accès aux programmes et aux données.
– gestion des changements.
– exploitation informatique.
– développement de programmes.

Ils intègrent des contrôles permettant de couvrir les risques majeurs liés aux systèmes d’information.

Dans le cadre d’une mission de commissariat aux comptes, les auditeurs informatiques sont chargés de s’assurer de l’efficacité opérationnelle de ces contrôles. Ils vont mener leurs investigations sur les applications identifiées comme ayant un impact significatif sur les états financiers de l’entreprise auditée.

Découvrons quels sont ces contrôles par catégories d’ITGC.

ITGC – Accès aux programmes et aux données

Les accès aux programmes et aux données correspondent à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes.

La catégorie « accès aux programmes et aux données » a pour objectif de s’assurer que ces derniers soient correctement limités aux personnes autorisées. Un exemple courant est le cas d’une personne partie de l’entreprise, ayant toujours un compte actif et ayant accès à des données sensibles. Un accès non autorisé aux programmes et aux données peut entraîner des altérations de données, une suppression, ou une fuite de données.

Pour limiter ces risques, la catégorie « accès aux programmes et aux données » des ITGC intègre 5 contrôles sur 3 couches : applications – systèmes d’exploitation – bases de données.

  • Les créations d’accès font l’objet d’un suivi, sont validées par un responsable habilité, et sont correctement implémentées.
  • Les droits d’accès des utilisateurs partis ou n’étant plus légitimes (exemple : changement de poste) sont désactivés dans les temps.
  • L’activité des comptes à hauts privilèges, administrateurs, des comptes génériques sensibles font l’objet d’un suivi d’activité régulier.
  • Les droits d’accès font l’objet d’une revue périodique.
  • Les mots de passe sont correctement configurés.

ITGC – Gestion des changements

La gestion des changements correspond à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes.

La catégorie « gestion des changements » a pour objectif de s’assurer que toutes les modifications apportées aux systèmes existants sont correctement autorisées, testées, approuvées, mises en œuvre et documentées. Car les modifications apportées aux systèmes existants peuvent être inappropriées et peuvent entraîner une altération des données (exemple : un changement non autorisé apporté à une application financière représente un risque de fraude).

Pour limiter ce risque, la catégorie « gestion des changements » intègre 3 contrôles ci-dessous, sur 4 couches (applications, configuration systèmes d’exploitation, bases de données, réseau) :

  • Les modifications apportées aux applications sont testées et approuvées avant mise en production.
  • Les changements apportés aux applications sont revus périodiquement.
  • Les environnements de développement, test et de production sont séparés et suivent un processus d’approbation.

Pour réaliser ces contrôles et pour s’assurer que leurs mises en œuvre est correcte, les auditeurs procèdent par échantillonnage et demandent les preuves liées aux changements sélectionnés (exemple : un PV de recette, un mail de validation pour mise en production).

Pour le second contrôle, il s’agit de contrôler qu’une revue de changement est bien effectuée périodiquement, qu’elle est exhaustive et qu’elle est validée par une personne habilitée.

Le troisième contrôle consiste à s’assurer que les environnements sont bien séparés, et que seules les personnes habilitées y ont accès; ce contrôle embarque un contrôle de séparation des tâches.

ITGC – Exploitation informatique

L’exploitation informatique correspond à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes.

La catégorie « exploitation informatique » a pour objectif de s’assurer de la disponibilité du système d’information, et que son fonctionnement est correct. Car cela peut entraîner un risque de disfonctionnement du système d’information.
Un exemple est le cas d’une personne non habilitée a accéder à la salle des serveurs.

Pour limiter ce risque la catégorie « exploitation informatique » intègre les 4 contrôles suivants :

  • Les données sont correctement sauvegardées et récupérables.
  • Seules les modifications approuvées et testées sont apportées au batch scheduler.
  • Les erreurs en production sont identifiées et résolues.
  • Des mesures de sécurité physique sont en place

ITGC – Développement de programmes

Le développement de programmes correspond à une catégorie des ITGC. Les ITGC étant les contrôles généraux informatiques, la mise en place de ces contrôles est une obligation règlementaire pour les grandes entreprises. Dans ce but les auditeurs externes vont s’assurer de leur mise en place et de leur efficacité dans le cadre de la mission annuelle de certification des comptes. La catégorie « développement de programmes » a pour objectif de s’assurer que les nouveaux systèmes, programmes, en cours de développement ou implémentés sont correctement autorisés, testés approuvés, implémentés, et documentés. Car le déploiement de nouveaux systèmes, de nouveaux programmes inappropriés peut entraîner une altération des données. Pour limiter ce risque la catégorie « développement de programmes » intègre les 4 contrôles suivants :
  • Les améliorations majeures des systèmes type ERP sont adéquatement testées et approuvées avant migration vers la production.
  • Les données sont correctement migrées.
  • Les problèmes rencontrés pendant le développement du programme sont suivis et résolus.
  • Une formation appropriée est effectuée.

Conclusion

La mise en place et le bon fonctionnement de ces contrôles sont essentiels pour les entreprises afin de les protéger des risques suivants :

  • réputationnel : (exemple : une fuite de données).
  • opérationnel (exemple : SI indisponible).
  • financier (exemple : fraude).
  • conformité (exemple : en cas de défaillance des contrôles, les comptes sont susceptibles de ne pas être certifiés).

Afin de répondre à ces exigences de contrôle, les entreprises utilisent des outils, notamment pour effectuer la revue périodique des accès, le suivi des comptes à hauts-privilèges, et le contrôle de séparation des tâches.

Brainwave GRC apporte une solution efficace et innovante pour la mise en place et l’actionnement régulier de ces contrôles. Brainwave GRC automatise et simplifie la revue périodique des comptes, permet d’optimiser le processus et d’être en conformité.

Les bénéfices sont nombreux :

  • résultats tangibles grâce à une approche adaptée au contexte, aux processus et niveau de maturité.
  • revues moins pénibles, plus efficaces.
  • fédérer les acteurs et favoriser l’adoption en contextualisant les interfaces et résultats.
  • répondre efficacement aux auditeurs, réduire les coûts.


Pour en savoir plus, inscrivez-vous à notre webinar dédié aux ITGC et obtenez une démonstration de la solution.

Connaissez-vous la Gouvernance des Accès à Privilèges ?

 

Les accès à privilèges protègent vos actifs les plus sensibles. Il y en existe partout : infrastructure, applications, stockages de données, Cloud… Comment les recenser de manière exhaustive ? Les classifier et comprendre qui les utilise, pourquoi et s’assurer que leur usage reste justifié et légitime dans le temps ?

Découvrez les enjeux et bonnes pratiques de la Gouvernance des Accès à Privilèges avec notre prochain webinar, le 6 Février 2020 !

Inscrivez-vous maintenant !