Article

Gestion des habilitations au sein des banques : comment répondre aux besoins de sécurité et d’efficacité ?

mars 2024 | Temps de lecture : 6 min

La gestion des habilitations peut se révéler être un vrai casse-tête pour les banques. Le nombre important de collaborateurs et la variété des métiers de la banque, combinés à la multitude d’habilitations nécessaires pour accéder aux applications bancaires ainsi qu'aux mesures de sécurité à respecter peuvent rendre la gestion des habilitations difficile à appréhender. 

Gestion des habilitations banque - EXEIS Conseil

Le système d’habilitation : un indispensable pour gérer les accès des collaborateurs au système d’information (SI) et aux applications 

 

Imaginons que c’est votre premier jour en tant que conseiller en agence dans une banque de détail. Pour travailler, il faut que vous ayez accès au système d’information (SI) de la banque et donc, à un certain nombre d’applications. Pour cela, un identifiant unique va vous être créé dans des annuaires techniques intégrés au SI. Cet identifiant servira à vous identifier et vous authentifier lors de votre connexion au SI. C’est également à cet identifiant que seront rattachés vos droits d’accès au SI, aussi appelés habilitations

 

Dans une banque de détail, beaucoup de collaborateurs occupent la même fonction métier, par exemple : les conseillers en agence ou les conseillers en centre de relation client. Par conséquent, chaque fonction aura, en règle générale, un profil d’habilitation, parfois plus selon les spécificités exercées par certaines équipes. Ces profils contiennent un ensemble de droits donnant accès à des applications du SI. Pour une application donnée, il peut y avoir plusieurs niveaux d’accès étant plus ou moins permissifs pour la réalisation d’actes de gestion. Par exemple, pour une application de virements : 

  • 1er niveau : Consulter des opérations  
  • 2ème niveau : Saisir des opérations  
  • 3ème niveau : Valider des opérations 

 

Cette combinaison de droits rassemblés dans un profil doit vous permettre de réaliser votre travail quotidien

 

Certains collaborateurs, de par leur rôle au sein de la banque, auront besoin d’avoir accès à plus de fonctionnalités que ce qui est leur a été donné dans leur profil d’habilitation comme par exemple, pour accéder à des données clients confidentielles ou pour réaliser une mission ponctuelle. Pour répondre à ce besoin, l’organisation peut octroyer un droit discrétionnaire à l’identifiant de la personne concernée. Si ce besoin est ponctuel, alors il est possible d’accorder le droit pour une période donnée. 

 

Enfin, l’attribution d’un profil se fait de manière automatisée via un calcul (appelé le provisioning) dans les systèmes pour des soucis d’efficience et de sécurité. Concrètement, le provisioning opère de cette façon : lors de votre arrivée dans l’entreprise, votre structure de rattachement (ou unité organisationnelle) ainsi que votre emploi sont renseignés dans les bases informatiques.  Avec ces 2 informations, le système calcule automatiquement le profil à vous attribuer. Si vous êtes promu directeur d’agence, dès que votre nouvel emploi sera renseigné dans les bases, le système calculera automatiquement votre nouveau profil d’habilitation. 

 

Quels sont les principaux enjeux associés à la gestion des habilitations pour une banque ?

 

1️⃣ Utiliser le principe du moindre privilège : Il est crucial de s’assurer que chaque utilisateur a uniquement les droits nécessaires pour réaliser ses activités professionnelles et ainsi limiter le risque de fraude, les fuite de données, l’atteinte à la sécurité. 

 

2️⃣ Mettre en place des revues régulières : Une revue régulière des attributions de profils et droits discrétionnaires doit être menée avec les managers d’équipe, à minima annuellement. Cette revue permet de vérifier que les habilitations attribuées sont toujours justifiées ou qu’elles ont été correctement ajustées ou supprimées en cas de changement de poste ou départ de l’entreprise. En outre, cela réduit les risques opérationnels et répond aux enjeux de conformité, notamment en cas d’audit interne ou de contrôle des régulateurs. 

 

3️⃣ Mettre en place un processus de validation des demandes de droits : Le processus doit permettre une gestion fluide et efficace de l’attribution des droits tout en mettant des étapes de contrôle. Pour les utilisateurs souhaitant des droits discrétionnaires, leur permettant d’accéder à des fonctions sensibles du système ou des applications, il est nécessaire de mettre en place des mécanismes de contrôle sur cette gestion de privilèges afin d’éviter les abus. Avec les solutions de gestion des habilitations, il est possible d’instaurer un workflow de validation, permettant de tracer les demandes et de contrôler les attributions. Ainsi, le collaborateur fait une demande de droit discrétionnaire dans l’outil, cette demande suit un circuit de validation impliquant une ou plusieurs personnes selon la criticité du droit demandé : n+1, n+2, équipe support des habilitations, responsable de l’application. 

 

4️⃣ Répondre au principe de Séparation des Tâches (SoD – Segregation of Duties) : Ce principe vise à prévenir les conflits d’intérêts et les fraudes, en empêchant la réalisation d’un processus de bout en bout par un même acteur. Par exemple, un conseiller en agence bancaire ne doit pas pouvoir réaliser l’ensemble du processus d’entrée en relation d’un client mais seulement certaines étapes. Des étapes indispensables de contrôle réglementaire (KYC, Lutte Contre le Blanchiment et le Financement du Terrorisme) doivent être menées par des équipes spécialisées en back-office. Il convient donc de ne pas attribuer une combinaison de droits à des collaborateurs qui leur permettrait de dérouler un processus sensible en entier. Pour ce faire, un travail d’identification des droits sensibles non attribuables à un même profil doit être réalisé. Dans cette volonté de cloisonnement, les articles 5 et 25 du Règlement Général sur la Protection des Données (RGPD) obligent les entreprises à segmenter l’accès aux données pour protéger les informations de chaque client et s’assurer du juste niveau d’habilitation. Par ailleurs, l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque oblige que « les dirigeants effectifs définissent des procédures permettant de garantir la séparation des tâches et de prévenir les conflits d'intérêts conformément aux orientations de l'organe de surveillance »i. 

 

5️⃣ Sécuriser l’accès aux données et fonctions sensibles : Les banques gèrent une quantité importante de données sensibles, telles que les informations financières et personnelles des clients, les transactions, les identifiants personnels, etc. Il en va de même pour les fonctionnalités sensibles du core banking permettant le traitement et la gestion des opérations bancaires. La gestion des habilitations doit assurer la restriction des accès à ces points sensibles et tracer les accès.  Dans le règlement RGPD, la CNIL établit que « les organisations détentrices des données doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Toute intrusion dans le système ou détournement d’usage pourrait entrainer une perte financière (vol, diminution de valeur), une perte de productivité (indisponibilité de certains applicatifs, bugs) et une fragilisation de la réputation de la banque

 

6️⃣ Sensibiliser et former les collaborateurs : La sensibilisation des collaborateurs à la gestion des habilitations est essentielle pour informer des risques encourus liés à une mauvaise gestion mais aussi pour assurer une fluidité d’exécution des procédures qu’ils seront amenés à utiliser. Pour le premier point, dans le cadre d’une politique de sécurité des données, les collaborateurs doivent être mis en garde quant aux erreurs et abus d’attribution de droits et leurs potentielles conséquences : compromission de données, suppression de données, fuite de données sensibles, fraude, etc. La réputation de la banque serait forcément affectée si une fuite de données était révélée dans la presse. La formation des collaborateurs aux outils de gestion des habilitations est un bon moyen pour prévenir les risques mentionnés auparavant mais également pour acquérir une efficacité opérationnelle. En effet, une maîtrise des procédures et des outils liés à la gestion des habilitations accroit l’efficacité des collaborateurs et enlève la frustration d’une perte de temps. Cela participe également à la responsabilisation des collaborateurs et au développement d’une culture de sécurité où chaque employé reconnait l’importance de la sécurité des données et participe activement à sa protection. 

 

Conclusion 

 

La gestion des habilitations est une tâche complexe mais essentielle pour garantir la sécurité des systèmes d'information et la protection des données.  

 

Une gestion efficace des habilitations repose sur des processus bien définis et maîtrisés par les collaborateurs, des outils de gestion appropriés et une culture de la sécurité ancrée au sein de l'organisation. Elle permet de minimiser les risques de fraude, de fuite de données et de perturbations opérationnelles tout en assurant la conformité aux réglementations en vigueur. 

 

La gestion des habilitations doit être perçue comme un investissement dans la sécurité et la réputation de l'institution bancaire, tout en contribuant à une meilleure efficacité opérationnelle. Elle doit évoluer en réponse aux nouvelles menaces et aux évolutions technologiques pour continuer à protéger les intérêts des clients et de l'entreprise elle-même. 

À propos des auteurs
Alexis PICART Consultant Senior EXEIS Conseil
Alexis PICART Consultant Senior
Contacter Alexis
Envoyer un message à Alexis PICART

Issu d’une formation en management, Alexis intervient depuis 4 ans pour EXEIS Conseil sur des missions de transformation des entreprises du secteur financier.