Comment gérer la délégation de pouvoir sur vos services bancaires en ligne ?

L’accès aux services bancaires par votre entreprise doit être strictement encadré. La mise en place d’une procédure de gestion des « droits utilisateurs » est en effet essentielle pour réduire les risques de fraude ou de malversations. Quelles sont les bonnes pratiques ? Les pièges à éviter ? Etat des lieux.
En tant que dirigeant d’entreprise, ou responsable de sa gestion, Vous avez donné à certains de vos collaborateurs la possibilité de consulter ou d’exécuter certaines opérations sur vos comptes bancaires. Une délégation souvent nécessaire et ce d’autant plus que la taille de votre entreprise est importante pour fluidifier et optimiser vos processus décisionnels. Mais cette délégation a-t-elle été effectuée selon des règles de gestion et sécurité adéquates ? Si tel n’est pas le cas, vous vous exposez non seulement à une déperdition dans l’efficacité opérationnelle de votre entreprise, mais également à des risques de fraudes ou de malversations.
Qu'est-ce que la gestion des « droits utilisateurs » sur vos services bancaires en ligne ?
La gestion des droits utilisateurs service bancaire en ligne consiste à attribuer, contrôler et superviser les accès et les permissions dont disposent les collaborateurs d’une entreprise sur les différents services bancaires en ligne. La plupart des banques et des institutions financières permettent de gérer ces droits utilisateurs depuis les services bancaires en ligne, lesquels peuvent également être mis en place avec son conseiller. Le plus souvent, ces outils permettent de :
- Créer et de modifier des profils utilisateurs. Ils permettent ainsi d’attribuer des rôles spécifiques à chaque collaborateur habilité, en fonction de ses responsabilités au sein de l’entreprise.
- Définir des niveaux d'autorisation. Il est ainsi possible, par exemple, d’autoriser certains utilisateurs à initier de manière autonome des transactions. Tandis que d’autres utilisateurs auront besoin d’une approbation supplémentaire pour finaliser une transaction.
- Mettre en place des contrôles de sécurité. Ces outils permettent par exemple d’activer des niveaux d’autorisations multiples pour les transactions sensibles, via des procédures d’authentification à deux facteurs ou de validation par plusieurs parties (double signature).
Quelle procédure mettre en place pour assurer la sécurité et l’efficacité de la gestion des droits utilisateurs ?
La mise en place d'une politique claire de délégation est primordiale. Cela implique la rédaction de délégations de pouvoirs précises, définissant les limites de chacune des autorisations accordées.
-
Avant toute délégation, il est important de réaliser un inventaire précis des droits utilisateurs nécessaires à chaque fonction (ex : un comptable n’aura pas les mêmes droits que le directeur financier), ce qui permet de s’assurer que les autorisations accordées seront limitées au strict nécessaire (principe du moindre privilège). Les droits seront donc attribués en fonction des responsabilités et des compétences de chaque collaborateur.
- Exemple : un directeur financier peut avoir des droits étendus, incluant la gestion et l'approbation des transactions importantes, tandis qu'un comptable pourrait se voir attribuer des droits limités à la consultation des soldes et à la préparation des paiements, sans pouvoir les valider.
- Chaque utilisateur doit disposer d’un accès nominatif unique, lié à un rôle parfaitement défini. Cela permet une traçabilité complète des actions effectuées, facilitant ainsi l’audit et la détection d’anomalies éventuelles.
-
Chaque nouvelle délégation doit être documentée au sein de votre organisation. Ce document détaillera les droits accordés, la durée de la délégation, les responsables de la demande et de la validation. Lorsqu'un utilisateur reçoit de nouveaux droits, une procédure de validation croisée(1) doit être appliquée. Il s’agit également d’éviter le risque qu’une seule personne cumule des responsabilités comme l'initiation et l'approbation des paiements (principe de segmentation des tâches)
- Exemple : La demande de délégation est initiée par le responsable direct du collaborateur. Cette demande est validée par un second niveau d’approbation, tel qu’un contrôleur interne ou un dirigeant.
- Certains droits, notamment ceux liés à l'administration, nécessitent une vigilance particulière en raison de leur nature sensible. En effet, ces droits peuvent donner lieu à des actions ayant des conséquences significatives, tant sur le plan juridique que financier. Une attention accrue est donc essentielle pour garantir une gestion appropriée et éviter des risques potentiels pour votre organisation.
Quelles bonnes pratiques mettre en œuvre ?
Les bonnes pratiques en matière de gestion des droits utilisateurs ont été formalisées par l’ANSSI(2), qui s’intéresse à tous les risques de fraude informatique. Outre les principes du « moindre privilège » et de « segmentation des tâches » déjà abordés, voici quelques-unes de ses autres recommandations.
- Sensibiliser et former les utilisateurs. Il est essentiel de former les collaborateurs afin de s'assurer qu'ils comprennent l'importance de respecter les procédures établies (ex : choisir un "bon" mot de passe, bien lire les notifications avant toute validation). Ces collaborateurs doivent aussi être en mesure d’alerter lorsqu’ils constatent des anomalies ou des tentatives d’accès frauduleux (ex : une tentative de changement de coordonnées bancaires, ou d’usurpation d’identité…)
- Procéder régulièrement à un audit et à une mise à jour des droits. Cette pratique consiste à mettre en place des revues périodiques des droits utilisateurs, permettant notamment de supprimer des droits obsolètes, lors du départ ou du changement de fonction d’un collaborateur par exemple. L’ANSSI recommande l’utilisation d'outils centralisés pour automatiser ces audits et conserver des historiques détaillés des droits.
-
Bannir le partage d’accès entre collaborateurs. Interdire le partage d’accès à des comptes ou des plateformes entre collaborateurs est une mesure essentielle pour renforcer la sécurité numérique et prévenir la fraude. Le partage d’identifiants expose les systèmes d’information à des utilisateurs non autorisés, augmentant les risques de manipulation frauduleuse et d’activités malveillantes difficiles à tracer.
L’ANSSI met régulièrement à jour ses recommandations. Nous vous encourageons donc à consulter fréquemment leurs publications pour rester informé des dernières évolutions.
(1) Procédure consistant à impliquer au moins deux personnes indépendantes dans le processus de validation d'un virement : l'une initie la transaction, et l'autre la vérifie et l'approuve.
(2) Créée en 2009, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) est l'autorité nationale en matière de cybersécurité. Sa mission est de comprendre, prévenir et répondre au risque cyber.