Contrôle et Sécurité

Kyriba Live 2013 – Contrôle et Sécurité
24 septembre 2013 | Olivier ILLOUZE, Philippe GERARD, Cyril FANDARD
© 2013 Kyriba Corporation. All rights reserved. PRIVILEGED & CONFIDENTIAL.
Source : Baromètre Phi, 2013
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
2
Préambule
Risque de fraude représente entre 3 et 5% du chiffre d’affaires d’une entreprise
IBM Survey - This study is based on conversations with more than 1,900 Chief Financial Officers worldwide
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
3
Les enjeux
• Assurer la liquidité de son entreprise et
participer ainsi à son développement et à sa
pérennité
•
Informer et communiquer sur la situation
financière de son entreprise en donnant la
visibilité nécessaire à sa direction
•
Assurer la sécurité des données financières
et des échanges Banque/Entreprise
•
Contribuer à la création de valeur dans
l’entreprise à travers la réduction des coûts et
des risques financiers
•
Accompagner le développement de son
entreprise (financements, réglementations, …)
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
Contrôle
&
Sécurité
4
Un contexte nouveau
Source Federal Deposit Insurance Corporation :
http://www.fdic.gov/bank/individual/failed/banklist.html
© 2013 Kyriba Corporation. All rights reserved.
Evolution cours EUR/USD Juin 2012 > Juin 2013
PRIVILEGED & CONFIDENTIAL.
5
La fraude en plein essor
L’arnaque aux virements!
AFTE (Association Française des Trésoriers d’Entreprise)
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
6
Typologies de risques
• Risques spécifiques
•
•
•
Risques réglementaires (SEPA, SOX, etc.)
Risques opérationnels (perte ou non accès aux données, etc.)
Risques de fraudes
• Risques systémiques
•
•
•
•
•
Risques de change
Risques de taux d'intérêt
Risques sur les matières premières
Risques de contrepartie
Risques de liquidité
Plus l’approche sera globale, plus elle sera efficace
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
7
Les principaux leviers
• Adapter son organisation
• Définir les processus répondant à ses besoins et son contexte
• Mettre en place des outils supports
Exemple de processus sur les paiements
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
8
Les risques réglementaires
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
9
Réglementation
SEPA – Single Euro Payment Area - objectifs de créer un espace harmonisé des paiements
(virements, prélèvements, cartes bancaires).
1 février 2014 = date limite fixée pour les entreprises françaises afin d’être
en conformité avec la réglementation SEPA -
J-129
Source : SepaFrance.fr
There is only Plan A: get ready for SEPA by 1 February 2014
EPC Newsletter Issue 18 April 2013
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
10
Certification
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
11
Procédures
Plateforme
Ressources Humaines
Support
Solution
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
12
A suivre !
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
13
Audits et certifications
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
14
Les risques de fraude
&
opérationnels
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
15
Sécurité des données et confidentialité
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
16
Best Practices
Implémentez les restrictions d'IP dans Kyriba (IP Filtering)
Renforcez les stratégies de mot de passe
Envisagez une authentification à deux facteurs (One Time Password)
Restreindre les jours/horaires d'accès de vos utilisateurs
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
17
Best Practices
Identifiez un contact sécurité principal
Faire une revue périodique des utilisateurs habilités à se connecter à la
plateforme
Mettre en place la fonction Dual Administration
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
18
Des fonctions métiers dédiées à la sécurité et aux contrôles
Module Kyriba Control Center
• Contrôle des échanges de fichiers avec les
ERPs et les banques
• Workflow d’escalade des validations en
attente
• Publication automatique des modifications
de paramétrage
• Moniteur des tâches multi-utilisateurs
• Audit trail détaillé sur toutes les actions
dans l’application
© 2013 Kyriba Corporation. All rights reserved.
Gestion des Profils –
Définition au plus fin des
accès aux
données/actions
PRIVILEGED & CONFIDENTIAL.
19
Des fonctions métiers dédiées à la sécurité et aux contrôles
Workflow – Paramétrables et sécurisés
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
20
“
Schneider Electric a été victime d'une "fraude" comptable
d'un de ses employés en France qui a amputé ses bénéfices
de 27 millions d'euros en 2012. Cela était dû à une fraude
en France où un employé a en fait manipulé des
documents. La fraude comptable a été identifiée à la suite
d’une revue spécifique du contrôle interne d'une entité"
l'an dernier et la personne incriminée est désormais "un exemployé".
Emmanuel Babeau, Directeur Financier Schneider Electric
21
Banking channels - industry
practices
Web channels
File-based channels
Entitlement management
Personal signatures
Token authentication
User authentication
Identity and mandate management
Entitlement management
?
Personal signatures
Token authentication
Entity authentication
22
The 5 levels of practice & mandate management services
5
Full integration & STP
4
File-based channels
Centralisation of account and entitlement
management (ISO 20022)
Association of entitlements and
thresholds to authorised individuals
3
Use of personal signatures to
approve at individual level
2
Use of personal signatures to approve
on behalf of the corporate
1
Authentication/authorisation
using a corporate entity seal
Identity and mandate management
23
Foundations to enable interoperability
D
Multi-bank personal signatures
Bank
Multi-bank connectivity
B
+
?
=
Bank
Corporate
Treasury payments
50 K max
A
Application
Accounts receivables
100 K max
Bank
Full STP
Supplier payments
250 K max
C
E
ISO 20022 ( eBAM, MX…)
CGI
Identity and mandate management
User entitlements
Centralised
mandate
management
24
Multi-bank personal signatures
Bank
Multi-bank connectivity
+
?
=
Bank
Corporate
Treasury payments
50 K max
Application
Bank
Full STP
Accounts receivables
100 K max
Supplier payments
250 K max
C
ISO 20022 ( eBAM, MX…)
CGI
Identity and mandate management
User entitlements
Centralised
mandate
management
25
3SKey
Multi-bank, multi-channel solution for financial transactions
FileAct
Web portals
Rose Smith
corp1234567
Treasury payments
Signatory A
Threshold 100 K max
Internal signatory profile
Proprietary / domestic protocols
Rose Smith
corp1234567
Treasury payments
Signatory A
Threshold 100 K max
Bank signatory profile
[email protected]
27
Témoignage Client
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
28
Kyriba – Sécurité
• Kyriba depuis 2009
• Equipe centrale : Front-Office 3 personnes / Middle-Back Office 2
personnes / 1 chef de projet
• Problématiques : 140 sociétés dans 30 pays, double administration,
double signature, limites de signature par collège et type de
transaction, …
• Modules utilisés : Banque, Paiements, Comptabilité, Rapprochement
comptable, Trésorerie (filiales uniquement à ce jour)
• Projets en cours : Risk (FX), Netting, Fondés de pouvoirs
Best Practices Kyriba
• Restriction IP : en production (l'accès n'est possible que depuis un site
du Groupe)
• Stratégie de mot de passe : longueur minimale de 8 caractères dont au
moins une majuscule et un chiffre, impossibilité de réutiliser les 5
derniers mots de passe. Modification obligatoire tous les 90 jours.
• Authentification à deux facteurs (deuxième facteur = SMS, token ou
certificat) : cette option n'a pas été activée sachant que les fichiers de
paiements sont signés avec un token (3SKey). Elle est paramétrable par
utilisateur ou pour l'ensemble du Groupe. Dans le deuxième cas, il est
possible de désactiver la fonction sur des plages IP "sûres" (filiales par
exemple). L'activation oblige les utilisateurs à se connecter avec un mot
de passe + un code temporaire envoyé par SMS ou un token.
Best Practices Kyriba
• Restriction d'accès (jours et heures) : non activée car les utilisateurs
doivent se connecter depuis un site du Groupe.
• Identifier un contact sécurité principal : notre administration est
centrale avec un contact unique (chef de projet).
• Revue périodique des utilisateurs : toute création / modification d'un
utilisateur est faite par les administrateurs centraux puis validée par les
valideurs centraux. Tout changement est reporté dans la revue
mensuelle des paiements. L'audit interne effectue en outre des
contrôles semestriels (échantillons).
• Administration double : activée sur les fonctions clefs du référentiel
(utilisateurs, droits d'accès, comptes bancaires, sociétés, pouvoirs
bancaires, règles de mot de passe, ...)
Control Center
• Contrôle des échanges de fichiers : paramétré sur les imports manuels.
• Workflow d'escalade des validations en attente : email de relance aux
signataires (à une fréquence à déterminer). Nous ne souhaitons pas noyer les
signataires sous les emails automatiques. Le tableau de bord des paiements
permet d'afficher tous les statuts intermédiaires et est utilisé par les
comptables pour suivre les validations en attente.
• Publication automatique des modifications de paramétrage : il est possible de
lancer la piste d'audit à une fréquence pré-définie. Aujourd'hui nous le faisons
mensuellement sur les données sensibles (droits d'accès, utilisateurs, comptes)
dans le reporting des paiements.
• Moniteur des tâches : affichage de toutes les actions lancées par un utilisateur
donné. Sert principalement pour des raisons de support.
• Piste d'audit : utilisée périodiquement sur les fonctions clefs du référentiel
(reporting mensuel + audit semestriel)
Autres points
• Suivi des cautions bancaires : en veille commerciale chez Kyriba. Pas une
priorité 2013.
• Audit et conformité SOC : certification SSAE16, test du BCP par Deloitte, tests
d’intrusion
• Swift 3SKey : niveau 4 / 5 en matière de sécurité sur le contrôle des pouvoirs
bancaires
• eBam (gestion électronique des procurations bancaires) : client pilote avec
recette sur la mise à jour des pouvoirs électroniques prévue pour juillet 2014
• Alertes « temps réel » : un reporting quotidien allégé a été inclus dans les prérequis du reporting des paiements Cognos. Il s’agira d’envoyer au front office
tous les matins le détail :
Des paiements fractionnés
Des tiers créés sur un pays « à risque »
Des comptes bancaires de tiers ayant un pays différent de la domiciliation
du tiers
Les risques systémiques
© 2013 Kyriba Corporation. All rights reserved.
PRIVILEGED & CONFIDENTIAL.
34
La couverture des risques financiers
Une approche complète Front-to-back-to-Accounting….
Tenue de position
Valorisation
Comptabilité de
couverture
Comptabilisation
des transactions
financières
… et une couverture multi-domaines
Financements
Placements
© 2013 Kyriba Corporation. All rights reserved.
Dérivés de
Change
Dérivés de
Taux
PRIVILEGED & CONFIDENTIAL.
Dérivés de
Matière
Premières
35
Merci
[email protected]
kyriba.fr
twitter.com/kyribacorp
linkedin.com/company/kyriba-france
© 2013 Kyriba Corporation. All rights reserved. PRIVILEGED & CONFIDENTIAL.
36

Download Report