Controle interne
Par Ninoka • 5 Janvier 2018 • 2 626 Mots (11 Pages) • 526 Vues
...
- Sécurité logique
Les principaux points forts relevés en ce qui concerne le domaine de la sécurité logique sont les suivants :
- Chaque personnel de l’entreprise accède uniquement aux ressources nécessaires à sa tâche et ce en utilisation d’un code utilisateur et un mot de passe;
- Il existe une sécurité minimale quant à la configuration des mots de passes et ce notamment à travers son changement après 30 jours, son invisibilité à la saisie et ses huit caractères.
- Les quinze représentants sur la route ont accès à une petite portion de l’application et uniquement en mode lecture ce qui représente une bonne sécurité pour toute personne étrangère qui réussira à infiltrer le système. Celle-ci ne pourra pas affecter les ressources informationnelles de l’entreprise.
Élément de Contrôle
Description de la faiblesse
Impacts et conséquences
Recommandation
Authentifiant unique
Les critères retenus dans la définition et le fonctionnement de l’authentifiant unique ne sont pas davantage renforcés :
- 8 caractères
- Débranchement de l’usager après 5 tentatives
Risque d’accès aux données par des personnes non autorisées avec toutes les conséquences qui s’en suivent (destruction, manipulation, modification…)
- Mot de passe à créer à partir d’une combinaison de caractères spéciaux, de chiffres et de lettres minuscules et majuscules
- Prévoir un débranchement de l’usager après trois tentatives d’accès
Attribution de mot de passe temporaire
-Demande formulée par téléphone (pas de formalisme)
- absence de registre de changement de mot de passe
- la procédure de validation de l’identité du demandeur n’est pas clairement établie
Risque d’usurper les mots de passe par du personnel mal intentionné
- Toute demande de mot de passe doit être formulée par écrit (via un formulaire autorisé)
- tenir un registre de changement de mot de passe et assurer son suivi
Compte des administrateurs
-Partage de mot de passe entre les trois administrateurs
-Limite des tentatives d’accès infructueux
Problème d’imputabilité des conséquences de toute action ou manipulation effectuée dans le système
-Risque d’usurper les mots de passe par du personnel mal intentionné
Chaque administrateur doit posséder, sans divulgation, son propre identifiant et mot de passe, activation du paramètre sur les tentatives d’accès infructueuse et débranchement du systèmes après 3 tentatives
Écran de veille
Les usagers quittent leur poste sans mettre fin à la communication
Risque de manipulation des postes par des tierces personnes
Fermeture de session automatique après un certain temps d’inactivation du poste non utilisé
Séparation des tâches
(création et modification des codes utilisateurs)
France et Hélène chargées de la sécurité (création, modification et mise à jour des codes utilisateurs) sont en même temps du personnel du service informatique
Risque de commettre ou dissimuler des erreurs ou fraudes pouvant porter atteinte à l’intégrité des données et à la sécurité informatique en général
-Nomination d’un responsable de la sécurité informatique indépendant du personnel informatique
SINON
- mettre en place un contrôle de supervision adéquat sur les activités de création et modification des codes utilisateurs à titre de contrôle compensatoire
Désactivation des codes d’utilisateurs des employés congédiés
-le gestionnaire a le choix d’aviser par téléphone le service informatique du congédiement ou de la démission d’un employé
-communication tardive (hebdomadairement) des départs de personnel par les ressources humaines
Risque important de création d’une situation d’anarchie dans la gestion des accès aux ressources informationnelles mettant en péril ces dernières contre toute possibilité de manipulation, destruction, ou utilisation néfaste pour l’entreprise
-Préconiser l’utilisation de formulaire approuvé par le gestionnaire pour les arrivés, départs et mutations d’employés
-communication immédiate par les ressources humaines de toute information sur les arrivés, départs et mutations
Révision périodique des droits d’accès
depuis sa création (il y a 5 ans), l’entreprise n’avait aucune procédure de révision des droits d’accès
La ressource informationnelle n’était pas complètement protégée surtout s’il y avait durant cette période des modifications de responsabilités ou des modifications importantes dans la sensibilité de l’actif informationnel
Validation après étude et appui dans le futur de cette mesure complémentaire essentielle de révision périodique des droits d’accès malgré l’existence d’un processus d’accès sur les arrivés, mutation et départ.
Journalisation
Désactivation de la fonction de journalisation du système
Absence d’historique, de visibilité et d’analyse sur des éléments pouvant constituer un tableau de bord aidant à renforcer la sécurité
...