Risque. Sécurité. Fraude. Ségrégation des devoirs. La plupart des entreprises placent ces préoccupations au sommet ou près du haut de leurs listes de gestion. Des consultants en sécurité aux audits externes, les entreprises investissent du temps, des efforts et de l’argent pour gérer leurs risques. La formation est obligatoire, l’accès est révisé, et la sécurité est contrôlée et approuvée.
Cependant, en ce qui concerne JD Edwards, l’accès, le risque et la sécurité, presque tout le monde vous dira qu’il y a encore place à l’amélioration. Bien sûr, la prévention devrait être la priorité #1, mais la détection peut aussi être une arme puissante – surtout si elle surveille les risques cachés.
La menace invisible au sein de JDE est souvent l’abus d’un accès valide : quelqu’un a le pouvoir, l’autorité et l’accès à la sécurité, mais il y a peu ou pas de surveillance sur ce qu’ils font réellement dans JD Edwards. Dans cet article de blogue, nous allons explorer quelques exemples concrets de la façon dont cette menace se manifeste dans des scénarios d’affaires réels et mettre en lumière une solution que vous pouvez utiliser pour vous protéger.
Les utilisateurs peuvent-ils modifier leurs propres données?
Disons que vous êtes un employé des RH : une bonne partie de votre travail consiste à modifier les données des employés, à les maintenir à jour et correctes. Cependant, il est très probable que la sécurité ne vous empêche pas d’effectuer ces mêmes mises à jour sur votre propre dossier. Réfléchissez-y :
- Pourrais-tu t’accorder une augmentation sans que personne ne le sache?
- Tu te donnes un bonus?
- Changer ta date de début pour avoir plus de vacances?
Ce genre de scénarios se produit plus souvent qu’on ne le pense. Parfois, ces changements sont le résultat d’accidents, parfois non. Dans tous les cas, tu dois être protégé.
La confiance est-elle votre mécanisme de sécurité?
Ou peut-être avez-vous des analystes d’affaires ou des CNC qui ont un SYSADMIN ou un autre accès libre à la production. Vous savez (et eux le savent) qu’ils ne devraient pas mettre à jour les données de transaction ou de maîtres en production... Mais ils utilisent leurs pouvoirs pour le bien, non?
La réponse est probablement « oui ». Mais malgré tout, pose-toi ces questions :
- Quels mécanismes avez-vous mis en place pour rassurer que l’accès des vérificateurs n’est pas abusé?
- Un utilisateur pourrait-il effectuer des paiements de paie ou de bons sans que personne ne le sache?
- Quelqu’un pourrait-il créer un nouvel utilisateur JDE (faux) sans approbation et se connecter en tant qu’utilisateur pour commettre une fraude?
Même si des incidents comme celui-ci sont rares, ils sont presque toujours découverts après coup, lorsque le mal est fait.
Savez-vous où chercher les failles et comment les trouver?
Le type de fraude le plus courant, selon l’Association of Certified Fraud Examiners, est le détournement d’actifs. Dans un système JDE, cela se traduirait le plus souvent par l’émission de paiements invalides ou non autorisés. Voici des exemples courants de paiements frauduleux :
- Modifications des informations sur le dépôt direct
- Bons délivrés avec un mandat alternatif à la désignation
- Employés réembauchés sans autorisation des RH
Les départements de comptabilité font ce qu’ils peuvent pour se protéger contre ce genre d’activités, mais la fonctionnalité standard de JD Edwards ne fournit pas beaucoup d’outils pour relever ce défi de façon proactive.
C’est là que Syntax intervient.
Syntax EnterpriseCare® Fraud ID – Prévention proactive de la fraude
Pour aider JD Edwards à se protéger contre la fraude, Syntax a développé FraudID. FraudID est alimenté par Syntax EnterpriseCare®, notre système de surveillance ERP Oracle propriétaire, protège contre ces situations et bien d’autres. Il offre des contrôles internes SOD, afin que les auditeurs aient un accès sécurisé à la configuration et aux alertes. L’alerte peut se déclencher en temps réel, envoyant des notifications proactives aux auditeurs pour enquête. Le meilleur, c’est que c’est facile à configurer dès la sortie de la boîte; nous pouvons travailler avec votre auditeur désigné et alerter FraudID en moins de quatre heures.
Prendre de l’avance sur la courbe
Pour plus d’informations sur la prévention et la détection de la fraude ou pour en savoir plus sur la façon de commencer à surveiller de façon proactive l’ensemble de votre solution JD Edwards, consultez notre FraudID et Syntax Pages EnterpriseCare® .
Si vous souhaitez suggérer un scénario ou une amélioration FraudID, ou simplement discuter en tête-à-tête avec l’un de nos experts en prévention de la fraude, contactez-nous et nous prendrons rendez-vous pour un appel.