Controle interne

...

- Sécurité logique

Les principaux points forts relevés en ce qui concerne le domaine de la sécurité logique sont les suivants :

- Chaque personnel de l’entreprise accède uniquement aux ressources nécessaires à sa tâche et ce en utilisation d’un code utilisateur et un mot de passe;

- Il existe une sécurité minimale quant à la configuration des mots de passes et ce notamment à travers son changement après 30 jours, son invisibilité à la saisie et ses huit caractères.

- Les quinze représentants sur la route ont accès à une petite portion de l’application et uniquement en mode lecture ce qui représente une bonne sécurité pour toute personne étrangère qui réussira à infiltrer le système. Celle-ci ne pourra pas affecter les ressources informationnelles de l’entreprise.

Élément de Contrôle

Description de la faiblesse

Impacts et conséquences

Recommandation

Authentifiant unique

Les critères retenus dans la définition et le fonctionnement de l’authentifiant unique ne sont pas davantage renforcés :

- 8 caractères

- Débranchement de l’usager après 5 tentatives

Risque d’accès aux données par des personnes non autorisées avec toutes les conséquences qui s’en suivent (destruction, manipulation, modification…)

- Mot de passe à créer à partir d’une combinaison de caractères spéciaux, de chiffres et de lettres minuscules et majuscules

- Prévoir un débranchement de l’usager après trois tentatives d’accès

Attribution de mot de passe temporaire

-Demande formulée par téléphone (pas de formalisme)

- absence de registre de changement de mot de passe

- la procédure de validation de l’identité du demandeur n’est pas clairement établie

Risque d’usurper les mots de passe par du personnel mal intentionné

- Toute demande de mot de passe doit être formulée par écrit (via un formulaire autorisé)

- tenir un registre de changement de mot de passe et assurer son suivi

Compte des administrateurs

-Partage de mot de passe entre les trois administrateurs

-Limite des tentatives d’accès infructueux

Problème d’imputabilité des conséquences de toute action ou manipulation effectuée dans le système

-Risque d’usurper les mots de passe par du personnel mal intentionné

Chaque administrateur doit posséder, sans divulgation, son propre identifiant et mot de passe, activation du paramètre sur les tentatives d’accès infructueuse et débranchement du systèmes après 3 tentatives

Écran de veille

Les usagers quittent leur poste sans mettre fin à la communication

Risque de manipulation des postes par des tierces personnes

Fermeture de session automatique après un certain temps d’inactivation du poste non utilisé

Séparation des tâches

(création et modification des codes utilisateurs)

France et Hélène chargées de la sécurité (création, modification et mise à jour des codes utilisateurs) sont en même temps du personnel du service informatique

Risque de commettre ou dissimuler des erreurs ou fraudes pouvant porter atteinte à l’intégrité des données et à la sécurité informatique en général

-Nomination d’un responsable de la sécurité informatique indépendant du personnel informatique

SINON

- mettre en place un contrôle de supervision adéquat sur les activités de création et modification des codes utilisateurs à titre de contrôle compensatoire

Désactivation des codes d’utilisateurs des employés congédiés

-le gestionnaire a le choix d’aviser par téléphone le service informatique du congédiement ou de la démission d’un employé

-communication tardive (hebdomadairement) des départs de personnel par les ressources humaines

Risque important de création d’une situation d’anarchie dans la gestion des accès aux ressources informationnelles mettant en péril ces dernières contre toute possibilité de manipulation, destruction, ou utilisation néfaste pour l’entreprise

-Préconiser l’utilisation de formulaire approuvé par le gestionnaire pour les arrivés, départs et mutations d’employés

-communication immédiate par les ressources humaines de toute information sur les arrivés, départs et mutations

Révision périodique des droits d’accès

depuis sa création (il y a 5 ans), l’entreprise n’avait aucune procédure de révision des droits d’accès

La ressource informationnelle n’était pas complètement protégée surtout s’il y avait durant cette période des modifications de responsabilités ou des modifications importantes dans la sensibilité de l’actif informationnel

Validation après étude et appui dans le futur de cette mesure complémentaire essentielle de révision périodique des droits d’accès malgré l’existence d’un processus d’accès sur les arrivés, mutation et départ.

Journalisation

Désactivation de la fonction de journalisation du système

Absence d’historique, de visibilité et d’analyse sur des éléments pouvant constituer un tableau de bord aidant à renforcer la sécurité