Les niveaux de contrôle des données du système d’information

Le principe de base d’un système d’information reposant sur un système informatique est de s’appuyer sur ce système pour générer des avantages, concurrentiels souvent, pour des raisons de fiabilisation des données, et généralement pour baisser les couts de gestion grâce à l’automatisation des tâches et l’aide à la saisie.

Cependant les données doivent être contrôlées et ce à divers niveaux. Malgré la sophistication du SI, les contrôles peuvent être détournés.

Les contrôles du système d’information.

L’informatique permet ainsi de mettre en place une aide à la saisie des informations.
Ensuite ces données sont contrôlées de manière interactive lorsqu’elles sont saisies, ou de manière différées lorsque ces données sont traitées.

Si les données sont fiables, tout dépend du contrôle qui est fait et tout contrôle a des failles car il n’est pas exhaustif.
Le test qui est fait sur une donnée avant de l’insérer dans le SI répond à des règles de gestion, des règles métiers.
Dans ces règles, il manque parfois des règles rusées permettant de détecter une fraude. On appelle alors cela une faille.

Faille : Le contrôle n’est pas fait à postériori.
Exemple : du 1er au 30, il ne doit pas avoir plus de nnn.nnn euros de mouvements. le 5 du mois l’utilisateur ajouter quelques mouvements supplémentaires mais avec une date qui concerne les mouvements sur le mois précédent. En fin de mois, le contrôle du mois courant ne contrôle pas les mouvement qui ont été rétroactifs. Il y a donc dans le système d’information, des mouvements qui sont au delà des nnn.nnn euros prévus par la règle.

Le contrôle sur les données implique de pouvoir croiser les règles comme les mailles d’un filet et au delà cela a une incidence sur le SI.

Instances de contrôle

Contrôler le SI signifie qu’il y a des instances de contrôle, voire des SI permettant de contrôler de par leur structure : Le middle office qui contrôle ce que sait le front office avant de passer la main au back office.

Mais lorsqu’une anomalie est rencontrée, il faut l’analyser, la corriger et prendre des mesures de contrôle supplémentaire. Si le SI sait vérifier biens des règles métiers et sophistiquées, il est des règles de cohérence globale et dans le temporelle qui ne sont pas suffisamment élaborées, faute d’avoir le bon tiercé temps budget risque pour les mettre en place. Mais pas seulement, faute aussi d’avoir l’esprit quelques peu malin, voire tordu pour mettre en place des contrôles que des esprits mal tournés veulent contourner.

D’un coté, les besoins métier sont retranscrits dans des règles de gestion métier.

D’un autre coté l’analyse du risque va contrôler que les données sont correctes par rapport aux règles vis à vis du risque principalement règlementaire. Il est plus difficile de mettre en en place un tel contrôle par rapport aux risques internes de fraude, détournement, dépassement de limites.

Ainsi, les risques sont analysés selon plusieurs axes, par rapport aux règles règlementaires, par rapport aux risques clients, et enfin par rapport aux risques internes avec les personnels qui utilisent ou interviennent sur le SI.

A chaque niveau il convient de mettre en place des règles et des outils dont le but est de vérifier que ces règles sont respectées. Pour certaines règles, il faut doubler le contrôle.

Unicité du contrôle

Le risque est dans certains cas peu aisé à analyser, de plus il faut mettre un contrôle en place et dans certains cas il convient de doubler ce contrôle, de le renforcer.
Illustration : Un profil utilisateur a une limite de montant dans tel domaine métier, alors qu’un autre profil ’plus haut hiérarchiquement) a une limite avec des montants supérieurs. Il suffit que le couple login password soit récupéré, pour que le profil soit autorisé à intervenir dans un domaine qui n’est pas le sien.

Un contrôle de profil sur un poste de travail donné devrait ainsi limiter que tel personnel ne puisse se trouver physiquement a un bureau sur lequel il n’a rien à faire. Le découpage en département fonctionnel va dans se sens de séparation des fonctions, mais la connexion à distance à un service d’un autre département permet de faire sauter le verrou.

Mettre des contrôles en place pour assurer une cohérence des données sous contrainte de budget, de temps, de compétences doit se faire au regard des risques qui sont règlementaires, mais aussi spécifiques aux clients et de surcroit respectueux de règles internes dont la caractéristique peut se résumer à la métaphore suivante :

Ce que cela ne fait pas l’intérieur peut se voir à l’extérieur.