Benchmark des Plateformes de Gestion de la…
La séparation des tâches, plus communément appelée SoD pour « Segregation of Duties », consiste à diviser un processus en plusieurs rôles puis de distribuer ces rôles à différents acteurs dans l’optique de renforcer les contrôles et de limiter les risques d’erreur et de fraude.
Certaines tâches ne peuvent plus être exécutées par le même acteur. Par exemple, la création et la validation d’une commande sont désormais deux actions incompatibles pour un même agent. 15 ans après l’affaire Enron et les lois SOX et LSF qui ont suivi, la mise en place de la séparation des tâches semble avoir été laborieuse et son bilan mitigé. Désormais, l’enjeu est de tirer parti de cette contrainte en l’intégrant pleinement à la stratégie opérationnelle de l’entreprise.
Son application est souvent vécue comme une complexification inutile des organisations. Son impact sur la performance d’un métier est aussi fortement discuté. En alourdissant les processus, elle entraînerait une perte de réactivité opérationnelle : les cas de workflow de validation chronophages sont souvent cités. De plus, elle redistribuerait du travail supplémentaire à tout le monde, certaines tâches étant auparavant réalisées par un acteur unique. Non seulement elle nécessite dans certains cas des ressources additionnelles pour absorber les tâches nouvelles qu’elle engendre mais elle peut aussi solliciter - par défaut - des acteurs qui ne sont ni concernés, ni formés pour assurer ces nouveaux travaux. Ainsi la séparation des tâches représente presque toujours un coût significatif, en particulier lorsqu’elle provoque la réorganisation complète d’un système d’information. La conformité aux différents cadres législatifs existants en la matière, réputés pour leur exigence et leur complexité, peut appeler des investissements importants.
Malgré les efforts humains et financiers qu’elle a nécessités, la SoD ne semble pourtant pas encore suffisamment déployée. Une SoD effective aurait par exemple permis d’éviter la « fraude au président » qui a proliféré ces dernières années et dont le préjudice global s’élèverait à 485 millions d'euros selon l’Office central de répression de la grande délinquance financière (OCRGDF). La SoD est aussi contestée au quotidien car ses principes sont souvent incompris ou mal connus. En cause, une communication du management parfois insuffisante ou maladroite, qui en fait une des cibles privilégiées de la résistance au changement. La SoD est aussi souvent contournée par souci de praticité ou d'efficacité, notamment via des échanges de mots de passe, ou exécutée passivement par manque d’implication des parties prenantes.
La séparation des tâches, quand elle ne fait pas défaut, est un moyen simple mais efficace de prévenir les risques de fraudes. En impliquant de nouveaux acteurs, elle permet de détecter plus facilement les pratiques suspectes en amont. Elle donne surtout aux « valideurs » d’un processus le pouvoir et la responsabilité de bloquer immédiatement des initiatives frauduleuses, individuelles ou groupées. La séparation des tâches s’avère d’autant plus nécessaire qu’un nombre croissant de pratiques douteuses s’observent dans les SI : attribution de droits illimités sans aucun contrôle ou accumulation d’habilitations pour un même utilisateur en cas de mobilité interne. De plus, l’imbrication croissante des SI rend l’étendue des droits d’accès plus opaque que jamais. Elle nécessite donc une vigilance redoublée de la part des administrateurs et appelle nécessairement une politique SoD ambitieuse.
Une SoD pleinement intégrée au SI d’une organisation constitue une plus-value immédiate pour la gestion des risques opérationnels : ceux-ci sont gérés en amont grâce à la définition des couples rôles-autorisations pour chaque profil d’utilisateur. Une SoD finement ajustable permet aussi de cibler les points faibles d’une organisation en dispensant un contrôle supplémentaire si une carence se fait sentir : en raison de leur criticité, les clôtures comptables ou les réconciliations bancaires font par exemple l’objet de contrôles particulièrement assidus. Quand la séparation des tâches est bien incorporée au SI, elle permet également de réduire les coûts de contrôle et d’audit internes, charges lourdes pesant sur les Directions Administratives et Financières. Une SoD bien pilotée par le SI facilitera les pistes d’audit et optimisera le temps des auditeurs : moins de tests pour plus de recommandations à haute valeur ajoutée. En proposant les reportings adéquats, elle réduira les pratiques manuelles – et donc laborieuses - de revue des droits d’accès.