Maîtriser le risque de fraude à l’aide de la traçabilité de l’information

La traçabilité est le fait de pouvoir connaître l’origine et de suivre le parcours d’un produit. Les numéros de lot, numéros de série permettent de suivre des produits agricoles, pharmaceutiques, électroniques… lors de chaque étape de leur fabrication et éventuellement de les rappeler après leur commercialisation. Dans un système d’information, la traçabilité consiste à ce que chacune des étapes de traitement de l’information (collecte, uniformisation, calcul, extraction, modification, suppression…) s’accompagne de l’enregistrement de la source de l’information (un numéro de facture par exemple…) facilitant ainsi la remontée de la piste d’audit et de l’identifiant de l’utilisateur à l’origine de l’action facilitant la mise en lumière ultérieure des responsabilités.

La traçabilité est un moyen complémentaire aux méthodes habituelles contribuant à la protection de l’intégrité des données du système d’information. La traçabilité va de pair avec la sécurisation des accès aux données et aux processus à l’aide d’identifiants et de la séparation des pouvoirs. La traçabilité est un allié fort lors de la recherche de fraude. En effet, la détection des transactions litigieuses en fonction d’indicateurs (issus des règles fonctionnement du système d’information) mettra en évidence leurs auteurs. Il en est de même avec les erreurs, le traçage du processus décisionnel (autorisation de l’engagement des dépenses, du paiement des factures…) ressortant automatiquement le responsable.

L’accès aux données (saisie, modification, effacement…) génère l’enregistrement de l’identifiant de l’utilisateur et l’horodatage de l’évènement dans un journal (ou log). La difficulté réside dans l’hétérogénéité des applications composant le système informatique constituant généralement chacune leur propre fichier de journalisation. La mise en oeuvre d’un schéma de traçabilité implique la dématérialisation de l’information et des flux. En effet, les documents papiers sont plus facilement falsifiables et leur contrôle systématique moins rapide que le contrôle de données informatiques. Par ailleurs, la traçabilité des transactions informatiques va de pair avec une gestion sécurisée des accès des utilisateurs au système informatique (identifiants et mots de passe infalsifiables) et un suivi en temps réel des accréditations (par exemple radiation des identifiants d’un salarié ayant quitté l’entreprise) afin d’enregistrer avec la plus grande fiabilité les identifiants du responsable d’une transaction et de garantir la piste d’audit. En responsabilisant les différents intervenants, la traçabilité contribue à la sécurisation du processus de traitement de l’information et de prise de décision.