Politique 2.3.1 : Accès aux systèmes de gestion (SAP)

Entrée en vigueur : Le 1er avril 2000
Responsabilité : Vice-président et chef de la direction financière

OBJECTIF

La présente politique définit :

  • les lignes directrices à appliquer pour accorder, modifier ou désactiver l’accès au système SAP par les utilisateurs;
  • les lignes directrices à appliquer pour examiner chaque année les droits d’accès par les utilisateurs;
  • les rôles et responsabilités des personnes participant au processus de gestion de l’accès.

CHAMP D’APPLICATION

La présente politique s’applique à la sécurité des accès à l’environnement de production de SAP à CBC/Radio-Canada. Elle ne concerne pas les autres systèmes de soutien, comme OnAir, Business Warehouse ou Cognos.

ÉNONCÉ

L’accès aux systèmes de données et d’information est accordé aux utilisateurs en fonction de leurs tâches professionnelles et des besoins opérationnels.

Les demandes d’accès pour de nouveaux utilisateurs ou les demandes de modification d’accès sont présentées par le personnel autorisé, puis examinées, approuvées et accordées par l’agent de sécurité délégué.

Avant d’accorder ou de modifier les droits d’accès des utilisateurs, l’agent de sécurité délégué s’assure que des moyens sont en place pour séparer adéquatement les tâches incompatibles et que les droits d’accès accordés aux utilisateurs sont conformes aux délégations de pouvoirs financiers et de signature (DPF/DPS) qui leur sont attribuées ou aux responsabilités qui leur incombent.

Un niveau adéquat de sécurité (par gestion des mots de passe et des accès) est mis en place et maintenu, en conformité avec les politiques générales en matière de sécurité des TI et les processus de gestion de l’identité des RH en vigueur.

L’agent de sécurité délégué examine annuellement les accès au système afin de vérifier que les utilisateurs disposent des droits d’accès appropriés.

Les droits d’accès d’un utilisateur qui quitte ses fonctions doivent être supprimés rapidement, ou modifiés en conséquence s’il change de poste.

Les demandes d’accès ou de modification d’accès des utilisateurs doivent être traitées en temps opportun.

Les demandes d’accès des utilisateurs doivent respecter les restrictions et conditions des accords de licence qui s’appliquent et faire l’objet d’une surveillance exercée par l’agent de sécurité délégué au moyen des rapports produits par SAP.

ANTÉCÉDENTS

  • Cette politique a été mise à jour le 15 décembre 2012.
  • Cette politique a également été mise à jour en novembre 2003.
  • La présente politique remplace les lignes directrices et procédures nationales no 102.10-A, Accès aux systèmes de gestion.

RÉFÉRENCES

Politique 2.5.1 : Sécurité des technologies de l’information (TI) et utilisation par les employés des biens TI
Politique 2.3.8 : Délégation des pouvoirs financiers
Politique 2.9.3 : Délégation du pouvoir de signature

PERSONNE RESPONSABLE DE L'INTERPRÉTATION ET DE L'APPLICATION

Pour toute question concernant l'interprétation ou l'application de la présente politique, s'adresser au directeur, Politiques et contrôles internes.
L’interprétation de la présente politique incombe en dernier ressort au premier directeur et contrôleur national.

SERVICE RESPONSABLE DE LA MISE À JOUR DE LA PRÉSENTE PAGE WEB

Secrétariat général

ANNEXE A
PROCÉDURES ET LIGNES DIRECTRICES
PROCÉDURE DE DEMANDE D’ACCÈS AU SYSTÈME

Toutes les demandes d'accès au système SAP doivent respecter les règles suivantes :

  • Le superviseur de l’employé nécessitant un accès au système SAP doit présenter une demande au Centre de services des Technologies de l'information (CSTI), qui transmet la demande par le système Remedy à l’agent de sécurité délégué faisant partie du groupe des Systèmes financiers.
  • L'agent de sécurité délégué examine les exigences d’accès et résout les éventuels problèmes avec les personnes concernées, selon les circonstances, notamment le superviseur du demandeur.
  • Si la demande est approuvée, l'agent de sécurité délégué :
    • attribue à l'utilisateur le ou les rôles adéquats;
    • confirme le droit d'accès accordé avec l'utilisateur et son superviseur.
  • Pour permettre le suivi et la vérification, la demande adressée au CSTI et la confirmation du droit d’accès doivent être transmises par courriel.

RÔLES ET RESPONSABILITÉS

UTILISATEURS

  • Les demandeurs à qui on accorde l'accès au système SAP doivent se conformer à toutes les politiques, procédures et lignes directrices de la Société.
  • Les utilisateurs ont la responsabilité de s'assurer que personne d'autre n'a accès au système au moyen du compte qui leur attribué. Le titulaire d’un compte est entièrement responsable de celui-ci et de l'utilisation qui en est faite.
  • Le mot de passe de l’utilisateur doit être changé périodiquement, notamment lorsqu'on craint une violation de la sécurité ou lorsque le système le demande après 90 jours.

SUPERVISEURS IMMÉDIATS

  • Chaque superviseur doit évaluer de façon critique et justifier l’accès nécessaire ou supplémentaire requis pour les demandeurs actuels et futurs.
  • En cas de mutation ou de cessation d'emploi d'un utilisateur possédant un compte d’accès au système, le superviseur immédiat doit aviser le CSTI qui informe l’agent de sécurité délégué par Remedy. Si le superviseur immédiat néglige d'envoyer cet avis, il sera tenu responsable de toute violation de sécurité qui pourrait survenir par la suite.

RESSOURCES HUMAINES

  • Les Ressources humaines aux Services partagés doivent signaler toute cessation d'emploi au bureau local des Finances et de l'Administration, lequel informera ensuite l'agent de sécurité délégué afin qu'il annule le compte de l'utilisateur concerné.
  • Une personne désignée au sein du groupe Technologies des RH aura la responsabilité d’approuver les demandes d’accès concernant les modules des RH dans SAP.

AGENT DE SÉCURITÉ DÉLÉGUÉ

L’agent de sécurité délégué a la responsabilité de s'assurer de l'intégrité, de la cohérence et de l'uniformité de la conception des rôles et de tenir à jour la documentation relative aux accès accordés aux utilisateurs.

  • L’agent de sécurité délégué a le droit de refuser toute demande d’accès.
  • L’agent de sécurité délégué a les responsabilités suivantes :
    • s'assurer que tous les changements apportés au rôle d'un utilisateur sont conformes aux politiques, aux procédures et aux lignes directrices et, au besoin, consulter le premier agent financier afin d'obtenir son approbation;
    • réaliser périodiquement, au moins une fois l’an, un examen documenté de la liste des utilisateurs et de leur droit d’accès pour s’assurer du respect des objectifs établis dans la présente politique;
    • déterminer le rôle approprié pour chaque utilisateur autorisé;
    • mettre à jour les rôles des utilisateurs lorsque des changements sont apportés à leur statut ou à leur description d’emploi, soit en réponse à un avis transmis par le superviseur de l’employé soit par une alerte envoyée par courriel par le système de gestion de l’identité;
    • retirer ou supprimer dans les plus brefs délais les privilèges d'accès d’un utilisateur qui est muté ou quitte la Société;
    • modifier les mots de passe conformément aux normes établies;
    • assurer la gestion et le contrôle du nombre de licences en vigueur et veiller au respect des conditions fixées dans les accords de licence du logiciel;
    • surveiller les rapports d’événements pour déceler les incidents critiques, tels qu'ils sont définis par la direction.

EXCEPTIONS

  • Les demandes d’exception à la présente politique doivent être motivées par une raison valable sur le plan opérationnel, documentées et approuvées par l’agent de sécurité délégué.
  • L’agent de sécurité délégué se réserve le droit de rejeter toute demande d’exception à la présente politique.

Outil de soulignement de texte