Tentatives de fraude : quels outils pour mieux sécuriser les systèmes d’information ?

Par Amina Alouani, Lionel Capel et Jérôme Huber.

Une protection nécessaire dans tous les secteurs d’activité

La dernière étude de l'ACFE (Association of Certified Fraud Examiners) révèle qu’en 2022, 69 % des entreprises ont déclaré avoir subi au moins une tentative de fraude. Ce chiffre monte à 91 % pour celles dont le chiffre d'affaires dépasse les 100 millions d'euros. Quelle que soit la taille de l’entreprise, si la gestion des contrôles d'accès aux informations sensibles est insuffisante, elle peut laisser des individus externes manipuler des données financières ou comptables à des fins frauduleuses, sans qu’ils soient détectés. La protection contre les risques de fraude et de non-conformité concerne alors l'ensemble des secteurs d’activité.

Pour répondre à cette problématique, des outils dédiés aux enjeux de GRC (Gouvernance, Risque et Conformité) proposent des fonctionnalités avancées : surveiller en continu l’activité des utilisateurs, identifier de potentiels conflits de séparation des tâches, ou encore attribuer des accès adaptés aux rôles et responsabilités de chaque collaborateur.

Analyser les besoins pour choisir un outil de GRC adapté

Pour choisir une solution de GRC adéquate, chaque entreprise doit prendre le temps d’analyser ses besoins spécifiques. Cette analyse comprend notamment l’identification des processus existants, des lacunes potentielles ou des objectifs à atteindre. Pour que les utilisateurs disposent des droits nécessaires à la réalisation de leurs tâches, il est essentiel de réfléchir en amont à la conception du modèle d’attribution des rôles. Une structure bien pensée sera la garantie que chacun n’accède qu’aux données qui lui sont nécessaires, et réduira ainsi les risques de fraude ou de fuite d’informations sensibles.

Chaque organisation ayant des exigences uniques en termes de Gouvernance, Risques et Conformité, elles doivent déterminer quelles fonctionnalités leur seront les plus utiles : gestion des politiques de conformité, gestion des risques opérationnels, gestion des risques de conformité réglementaire, surveillance de fraudes, ou encore gestion des audits. En fonction des priorités qui seront établies, il existe des solutions de GRC plus ou moins performantes sur différentes typologies de risques. Il est donc important de se renseigner sur les mécanismes, atouts et particularités de ces outils.

Intégrer l’outil aux process existants 

Pour garantir une efficacité optimale et éviter les doublons de données, l’outil de GRC choisi doit pouvoir s’intégrer harmonieusement dans les systèmes et process déjà utilisés au sein de l’entreprise. En effet, alors que les réglementations sur le contrôle interne et la transparence se renforcent, l’utilisation simultanée de plusieurs systèmes ou logiciels peut entraîner des conflits d’informations, mettant alors en péril la sécurité de l’entreprise. C’est ce qu’on appelle la gestion des conflits de séparation des tâches, ou « SoD ». Pour éviter ce type de situation, un bon outil de GRC doit être capable d’analyser et de comprendre les interactions existantes entre les différentes applications : par exemple, identifier les incohérences potentielles entre les autorisations d'un ERP (logiciel de gestion quotidienne) et celles provenant d'autres systèmes.

Optimiser la gestion des conflits de séparation des tâches

Pour que l’outil puisse éviter la totalité des risques de conflit de séparation des tâches, il est important de veiller à ce qu’il permette de gérer toutes les autorisations, quel que soit le type de logiciel utilisé ou son mode d’hébergement : hébergé sur le propre réseau de l’entreprise, hébergé par un éditeur de logiciels externe, ou bien sur un cloud.  Il faut aussi garder en tête que les outils possédant des interfaces intuitives et simples faciliteront grandement ce processus de gestion et d’analyse. Certaines solutions de GRC ont même l’avantage de proposer des ressources de formation, afin de conseiller les équipes sur les pratiques à adopter pour mieux les utiliser.

Enfin, l’intégration de l’intelligence artificielle dans ce type d’outils peut contribuer à renforcer l’efficacité et la précision des processus de gestion : automatisation de l’analyse des données, détection des anomalies en temps réel, ou encore prise de décision proactive grâce à des modèles prédictifs. Autant de nouvelles opportunités qui doivent entrer en ligne de compte dans le choix d’un bon outil de GRC.