Derrière la SOD se cache l’acronyme du terme anglais Segregation Of Duties, autrement appelé séparation des fonctions (ou des tâches) en français.
Le principe de la SOD vise une séparation des fonctions sous un angle opérationnel qui à travers un processus ou activité va garantir que des acteurs ne peuvent réaliser des tâches incompatibles entre elles de nature à favoriser un risque d’erreur ou de fraude.
Il s’agit donc d’un élément de base de la gestion des risques et du contrôle interne pour une entreprise.
Nous sommes donc sur un partage des responsabilités au niveau d'un processus clé qui va disperser l'exécution des tâches critiques sur ce processus à plus d'une personne ou d'un service.
Sans cette séparation dans les processus clés, les risques de fraude et d'erreur sont beaucoup plus élevés et moins aisés à maîtriser.
D’un point de vue concret, l’organisation doit refléter cette séparation opérationnelle mais dans le cadre de l’utilisation d’outils logiciels tels des ERP, elle doit aussi se décliner plus particulièrement sous un angle système d’information.
En termes d’approche, le premier angle d’analyse va porter sur un volet organisationnel. Une revue de processus et l’identification des rôles et responsabilités attribués aux différents acteurs va permettre de disposer d’une vision sur une correcte segmentation des tâches.
Le recours à des référentiels standards par processus détaillant les risques et incompatibilités au niveau des tâches effectuées aide à être plus pertinent dans l’identification des conflits critiques en matière de SOD.
Mais la garantie d’une correcte SOD passe aussi par une définition des droits conférés dans le SI. S’il n’y a pas un alignement entre l’organisation et les droits applicatifs il ne pourra y avoir une SOD effective.
La bonne pratique à attendre est de définir ce que l’on nomme une matrice de séparation des fonctions. Celle-ci représente, avec une vision processus, les tâches incompatibles entre elles et permet d’aligner et de vérifier si les grandes fonctions de l’organisation et les droits conférés dans les systèmes respectent ces principes.
Au-delà de l’organisation, des problèmes de sécurité tels qu'une mauvaise conception des rôles ou une attribution excessive de droits dans le SI peuvent entraîner un grand nombre de violations au principe de séparation des tâches.
Même au sein d’environnements de contrôle matures, les entreprises ne sont généralement pas en mesure de séparer toutes les combinaisons et conflits sur les accès sensibles, ce qui peut augmenter les risques opérationnels et entraver leur capacité à répondre à des exigences de conformité.
Souvent, les entreprises ne disposent pas du niveau de confort nécessaire pour confirmer que les combinaisons d'accès conflictuelles existent voire sont exploitées, pour l'une des raisons suivantes : absence de contrôle récurrent portant sur la SOD effective, manque d'informations sur les rapports produits nativement par l’ERP ou les ERP utilisés, des traces systèmes (logs) inexistantes car non activées ou inexploitables.
Il convient alors lorsque les problèmes de SOD sont connus de mettre en place des contrôles compensatoires, telles des revues périodiques, visant à s’assurer que les failles ne sont pas exploitées et monitorer plus particulièrement les transactions critiques.
En outre, sur un processus impliquant l’utilisation de plusieurs outils applicatifs, il ne convient pas uniquement de se focaliser avec une approche en silo mais de considérer une accumulation de droits et de traiter de façon transverse la SOD en considérant les différentes applications utilisées.
Cependant, lorsque des conflits sont détectés, cela ne veut pas dire qu’ils ont pour autant été exploités. Une analyse plus poussée doit alors être réalisée sur les transactions effectuées pour écarter le risque de fraude. Pour ces analyses nous travaillons conjointement avec nos experts dans le domaine de la fraude et des investigations.
L’approche à dérouler outre des faiblesses opérationnelles dans l’organisation à corriger le cas échéant, va principalement porter sur une analyse des droits applicatifs.
Pour ce faire et au regard de la complexité de la gestion des droits dans des progiciels comme les principaux ERP du marché (SAP, Oracle, Microsoft Dynamics…), il est nécessaire d’adopter une approche outillée.
Nous avons développé des outils d’analyse de la SOD ou recourons à des solutions du marché nous permettant ainsi de couvrir la quasi-intégralité des progiciels du marché pour nos clients audit et non-audit.
Ces outils mettent en exergue les violations en matière de SOD, notamment celles critiques, et permettent ainsi de prioriser les actions correctives associés comme l’ajustement des droits conférés aux individus.
Cependant, lorsque des conflits sont détectés, cela ne veut pas dire qu’ils ont pour autant été exploités. Une analyse plus poussée doit alors être réalisée sur les transactions effectuées pour écarter le risque de fraude. Dans ces analyses nous travaillons conjointement avec nos experts dans le domaine de la fraude et des investigations.
Il convient enfin de mener des analyses de façon périodique sur la SOD, celle-ci évoluant dans le temps car rien n’est figé tout comme l’organisation d’une entreprise.