LA DOUBLE ADMINISTRATION : LA SÉPARATION DES TÂCHES DANS L’ADMINISTRATION DE SON LOGICIEL
La sécurisation du processus de gestion dans l’entreprise passe par la séparation des tâches. Une séparation généralement appliquée uniquement à la gestion courante et pourtant, il faut l’envisager au-delà de ce périmètre en l’étendant à l’administration du logiciel de gestion. Comment et pour quelles raisons ? Notre expert Sylvain KAM vous en donne tous les détails. La séparation des tâches et l’administration Aujourd’hui, la séparation des tâches prévaut pour les tâches de gestion courantes comme la création ou la modification des fournisseurs, l’émission de règlements ou le suivi des factures. On parle beaucoup plus rarement de séparation des tâches dans l’administration de son logiciel de gestion, que ce soit pour la création d’utilisateurs, la modification de permissions, ou pour toute autre modification de paramétrage. Pourtant, c’est ici aussi que se joue une part importante de la sécurité de ses processus de gestion. La complexité du choix d’un administrateur tout puissant Dans la majorité des applications de gestion, il est possible de gérer finement les permissions de chaque utilisateur. Mais cela suppose un profil administrateur en charge de l’attribution ou de la modification de ces droits. Un profil qui, de facto, a la possibilité de s’accorder à lui-même l’ensemble des permissions sur le logiciel. Le choix de la personne, ou des personnes, à qui attribuer ce profil est donc toujours une question cruciale et difficile. Doit-on plutôt déléguer ce profil au service informatique ? Très disponible mais ne comprenant pas tous les enjeux fonctionnels de l’ouverture de tel ou tel droit. Ou à un responsable hiérarchique ? Qui lui n’aura sans doute pas la disponibilité nécessaire. En qui placer une confiance absolue ? Un choix délicat qui ne doit idéalement pas reposer sur une seule tête. Ces questions se posent de manière encore plus péremptoire dans une application comme Mata I/O Bank Suite, dont l’une des principales fonctionnalités est le contrôle et la sécurisation de la chaine de règlement de l’entreprise. Ne pas faire de la double-administration un casse-tête La double-administration c’est l’obligation d’associer au moins deux utilisateurs à toutes les tâches d’administration logicielle. Elle permet donc de déléguer des tâches de paramétrage tout en assurant la sécurité, car un utilisateur aura besoin de l’aval de l’autre, pour effectuer des modifications de paramétrage. Le défi de ce mode de gestion des permissions utilisateurs, est de conserver un système simple et souple. Il ne faut pas, par exemple, qu’un utilisateur ait à se déplacer, ou communiquer des codes par téléphone, ou e-mail. Exemple : Laure a besoin de paramétrer un nouveau chemin de dépôt des fichiers de règlement sur le réseau. Elle est en double-administration avec Martin pour tout ce concerne le paramétrage du logiciel. Dans un système de double administration classique, Laure va devoir joindre Martin, très peu disponible, pour lui expliquer son besoin. Quant à Martin, dès lors qu’il sera informé, il va devoir se déplacer chez Laure pour taper son mot de passe dans une seconde étape d’authentification. Beaucoup de temps et d’efforts pour un paramétrage assez simple et banal, somme toute. La suite Mata I/O Bank Suite prend en considération ces éventualités et permet d’éviter toute perte de temps inutile. La double-administration dans Mata I/O Bank Suite La double-administration a fait son apparition dans Mata I/O Bank Suite 5.6, c’est une option facultative pour chaque paramétrage sensible de l’application. Elle est souple car elle inclut des notifications e-mail automatisées et la possibilité d’accorder l’accès à distance. En reprenant l’exemple précédent : Laure tente d’accéder au paramétrage des chemins de dépôt des fichiers. Ce paramétrage nécessite que l’accès de Laure soit confirmé par Martin. Lorsque Laure va vouloir accéder à la fonction, Mata I/O va lui afficher un message lui proposant de créer automatiquement une demande d’accès, en exigeant un motif qui sera conservé. Suite à la création de cette demande, un e-mail est automatiquement envoyé à Martin l’invitant à prendre connaissance et à valider la demande d’accès de Laure. Martin a jusqu’à 24h pour valider cette demande. Il peut le faire directement depuis son poste, par exemple dans la version Web de Mata I/O. Dès lors, Laure sera à son tour notifiée du retour de Martin et pourra accéder à la fonction. Une administration sûre qui vous garantit la séparation des tâches tout en conservant l’efficacité et la souplesse nécessaire au bon fonctionnement des services.
ESCROQUERIES AU “FAUX PRÉSIDENT”… LA PJ DE LILLE EXPLIQUE COMMENT S’EN PRÉMUNIR
Après l’escroquerie à 800 000 euros dont a été victime le département du Nord, la Police judiciaire a lancé une campagne de prévention. Ce n’est pas vraiment leur mission, mais face à l’ampleur des sommes volées, il a fallu agir… et surtout prévenir: la brigade financière de la Police judiciaire de Lille met en garde les entreprises, quelle que soit leur taille, contre les escroqueries aux fausses factures et aux faux ordres de virement. C’est ce dont a été victime le département du Nord au mois d’août : un escroc s’est fait passer, vrais documents et informations crédibles à l’appui, pour le comptable d’une société de BTP chargée du contournement nord de Valenciennes et a établi au fil des appels une relation de confiance avant de se faire payer une fausse facture de 800 000 euros. La supercherie n’a été révélée qu’en septembr,e lorsque la véritable entreprise de BTP a fourni la vraie facture. Mais ces escroqueries peuvent aussi concerner des entreprises de toutes tailles. Selon la PJ, elles « ont généré un préjudice global d‘environ 300 millions d’euros pour les faits commis et 500 millions d’euros pour les faits tentés« , ces dernières années. Souvent basés à l’étranger (en Israël dans le cas du département du Nord), les escrocs se renseignent d’abord par mail et par téléphone pour collecter le plus d’informations possibles sur l’entreprise, puis lancent l’opération sur les personnes capables d’opérer ces vrement en prétextant « une opération d’importance capitale et confidentielle, afin d’abuser l’interlocuteur et obtenir un ou plusieurs virements internationaux« . Les policiers en distinguent plusieurs types : Escroqueries au « faux président » : avec la complicité d’un prétendu cabinet d’avocats ou de notaire, l’escroc se fait passer pour un des dirigeants d’une société L’escroquerie au « changement de RIB » : l’escroc prétend être un représentant du bailleur ou un de ses fournisseurs, indique un changement de coordonnées bancaires et demande à ce que le virement soit réalisé vers un autre pays, en prétextant une délocalisation à l’étranger. L’escroquerie « au virement SEPA, à l’informatique » : l’escroc se fait passer pour un technicien et demande à ce qu’on lui confie l’identifiant et le mot de passe pour effectuer des virements tests. Il peut également envoyer un mail accompagné d’une pièce jointe dans laquelle se trouve un logiciel prenant le contrôle de l’ordinateur pour voler ces informations confidentielles. Comment s’en prémunir ? Plusieurs indices doivent vous mettre la puce à l’oreille. La demande est généralement urgente et confidentielle, et l’escroc se montre souvent très affable, utilise la flatterie ou la menace pour manipuler son interlocuteur. Il multiplie également les détails sur l’entreprise, son personnel et son environnement pour brouiller les pistes. Pour ne pas faciliter le travail des escrocs, la PJ recommande : De ne pas communiquer d’informations qui pourraient leur servir, telles que les noms des managers, des chefs de division, des personnes en charge du paiement des fournisseur,s mais aussi les techniques de règlement, la liste des fournisseurs, etc. De sensibiliser le personnel susceptible d’être contacté, mais aussi les partenaire (banque, cabinet d’avocats, fournisseurs… De se renseigner via la presse, la communication des pouvoirs publics ou les associations professionnelles sur l’évolution des pratiques d’escroquerie De faire preuve de bon sens et de faire attention aux demandes inhabituelles ou illogiques, ainsi que de résister aux tentatives d’intimidation. Si le mal a déjà été fait et si le virement est déjà exécuté, de faire un compte-rendu de l’événement à sa hiérarchie, demander à la banque le retour des fonds et déposer plainte en apportant un maximum d’éléments. Source : https://france3-regions.francetvinfo.fr/hauts-de-france/nord-0/lille/escroqueries-aux-fausses-factures-pj-lille-explique-comment-s-premunir-1552932.html Pour en savoir plus, contactez nos services
ALLIANZ – SE PROTÉGER DES CYBERATTAQUES : UN ENJEU VITAL POUR LES ENTREPRISES
Les cyberattaques deviennent de plus en plus complexes avec des répercussions parfois catastrophiques : atteinte à l’image, paralysie des infrastructures, conséquences économiques et financières… Devant la multiplication des attaques, les entreprises prennent conscience de ce risque stratégique, mais certaines sont encore insuffisamment préparées. Une récente étude de PWC a montré que 4.165 cyberattaques ont été détectées en France pour un montant moyen de pertes financières estimé à 1,5 million d’euros. Les principaux cyber risques en entreprise La motivation des cyber attaquants n’est pas seulement financière. Hacker, cracker, militant, fraudeur externe ou interne, espion… Les profils des malfaiteurs sont multiples et les intentions variées. Déstabilisation Prise de contrôle du système d’information, divulgation de données, défiguration de sites : les attaques de déstabilisation visent à nuire à l’image de l’entreprise. Espionnage Conduit par des groupes structurés, l’espionnage a pour but de capter de l’information stratégique. Il est par principe discret et l’entreprise peut s’en rendre compte très tardivement. Sabotage Il vise à rendre inopérant tout ou partie d’un système d’information via une attaque informatique. Il provoque une désorganisation plus ou moins coûteuse à réparer. La cyber criminalité Le « rançongiciel » (ou ransomware) introduit sur l’ordinateur de la victime un logiciel malveillant qui chiffre ses données et demande une rançon en échange du mot de passe de déchiffrement. Surtout ne jamais payer ! Autre technique, le « hameçonnage » (ou phishing) consiste à demander via un courriel d’apparence légitime, les coordonnées bancaires ou les identifiants de connexion à des services financiers, afin de dérober de l’argent… 10 règles simples pour limiter les risques d’attaque informatique Choisir des mots de passe complexes : 12 caractères (composés de majuscules, minuscules, chiffres, caractères spéciaux) sans lien avec ses noms, date de naissance… et différent pour chaque accès Mettre à jour régulièrement logiciels et système d’exploitation : navigateur, antivirus, bureautique, pare-feu Effectuer des sauvegardes fréquentes : quotidiennes de préférence ou hebdomadaires, sur des supports ou systèmes distincts de votre système d’information Se méfier du WI-FI : sécuriser l’accès au WI-FI de l’entreprise et éviter de se connecter au WI-FI public à l’extérieur, non sécurisé Séparer compte « utilisateur » et compte « administrateur » : n’ouvrir que des comptes utilisateurs aux salariés Ne pas mélanger personnel et professionnel : ne pas utiliser de clés USB ou disques durs externes personnels sur un terminal professionnel et inversement Ne jamais ouvrir les mails douteux : ne pas cliquer sur une pièce jointe, liens ou messages d’un expéditeur inconnu sans vérifier sa provenance Naviguer sur des sites officiels : privilégier la saisie de l’adresse du site dans la barre d’adresse du navigateur Rester prudent lors des déplacements : se limiter aux données nécessaires à la mission, surtout à l’étranger Être aussi prudent avec les smartphones, tablettes, objets connectés moins bien sécurisés que les ordinateurs Votre entreprise est victime d’une attaque, comment réagir ? Déconnecter les machines compromises du réseau sans les éteindre Alerter immédiatement le responsable sécurité SI ou le prestataire informatique disposant du label CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) Sauvegarder les fichiers importants sur des supports de données isolés Porter plainte auprès d’un service de Police ou de Gendarmerie Réinstaller entièrement le système d’exploitation et appliquer tous les correctifs de sécurité avant de le reconnecter Source : https://www.allianz.fr/assurances-professionnels-entreprises/allianz-et-moi/conseils-pratiques/cyber-risques/ Pour en savoir plus, contactez nos services