Publicité en cours de chargement...
Au 8ème jour, il créa les commissaires aux comptes
09 nov. 2015 - 10:10,
Tribune - Cédric Cartau
Je n’ai pas honte de le dire : oui, j’aime mon commissaire aux comptes.
Et pourtant, notre relation n’a pas démarré de la meilleure façon. Nous nous sommes en effet rencontrés la toute première fois lors d’une réunion de travail. Chacun à un bout de la table, nous nous observions du coin de l’œil, quelle est cette personne qui me parle de choses étranges, d’où vient-elle que fait-elle, quelle attitude inhabituelle. On s’est regardés, on s’est jaugés, on s’est observés.
Cette personne me parlait de choses compliquées de sa voix douce : séparation des rôles d’habilitation GEF, gestionnaire et ordonnateur, contrôle de l’intégrité des flux de facturation. Fut-ce alors la lumière douce du soleil qui tombait sur la salle de travail, fut-ce alors cette ambiance feutrée de la réunion et la torpeur de l’après-midi qui s’achevait ? Je ne sais dire aujourd’hui, mais tout à coup de fut le choc : je vis la beauté dans les paroles, je vis la lumière derrière la technique.
Et je compris alors que nous étions faits l’un pour l’autre. Je n’arrivais pas, depuis des années, à imposer une séparation entre les comptes admin génériques et les comptes admin individuels. Elle tendit une main, attrapa la mienne et d’un seul geste nous envoyâmes à la DSI l’injonction de faire, car Dieu (et la réglementation CICF) les y obligeait. Je ne parvenais pas à retirer les droits d’UPDATE en direct sur les bases ORACLE à la MOA : elle le fit pour moi. J’avais depuis longtemps échoué à imposer une revue annuelle des comptes utilisateurs fonctionnels : là encore, les yeux brillants d’admiration, j’observais la courbe de son bras se tendre vers le rapport, y taper les mots qui portent, les mots qui marquent.
Nous allons bientôt nous quitter, car cette personne doit voguer vers d’autres missions, d’autres clients, d’autres rivages. Mais nous nous reverrons dans un an, et il me tarde déjà. Je rêve déjà, avec cette personne, d’une traçabilité des actions administrateur, d’audit des pratiques d’habilitations fonctionnelles, de séparation entre la définition des rôles et leurs attributions opérationnelles.
Oui vraiment, j’aime mon commissaire aux comptes.
Avez-vous apprécié ce contenu ?
A lire également.
Démarche ISO 27001 : la lettre et l’esprit
15 déc. 2020 - 08:56,
Tribune
- Cédric CartauAprès les dernières attaques cyber touchant le monde de la santé, on ne peut manquer de s’interroger sur les dispositions prises dans les établissements publics ou privés pour sécuriser les accès distants des fournisseurs (celui des agents est un autre sujet). Comptes d’accès jamais clôturés, accès ...
Cadrer les opérations des admins sur les systèmes
30 nov. 2020 - 16:17,
Tribune
- Cédric CartauLes administrateurs systèmes (adminsys) disposent – par définition – de droits techniques étendus et, de ce fait, peuvent tout voir, tout surveiller, tout modifier : c’est même la raison pour laquelle on les paye. Dans l’immense majorité des cas, il n’en résulte aucune espèce de problème, mais cela ...
Sécuriser son AD, une mission presque divine
26 nov. 2019 - 16:02,
Tribune
- Cédric CartauLe CHU de Rouen a subit l’attaque informatique que l’on sait, et bon nombre d’entre nous sommes en train de colmater autant de brèches que l’on peut avant que cela soit notre tour. Mais par quel bout commencer ? L’AD bien entendu, ce n’est rien de moins que le composant le plus sensible du SI (et pa...
CICF an 2 : alors là, poussez-vous tout le monde
19 juil. 2016 - 12:13,
Tribune
- Cédric CartauL’année dernière, à l’occasion de la première édition de l’audit de certification des comptes, je m’étais fendu d’un article dithyrambique[1] sur son impact – positif – pour les RSSI dont je suis.
