Risques inhérents à un système
informatique communal
OFISA Informatique
• Société de services informatiques vaudoise - 43 collaborateurs.
• Spécialisée dans les secteurs des communes et des régies immobilières.
• Active dans les communes depuis 1980.
• A ce jour 225 communes clientes de 50 à 135’000 habitants, dont
180 dans le canton de Vaud.
Les risques (liste non exhaustive)
• Enregistrement de factures fictives.
• Payer plusieurs fois la même facture.
• Encaissements sur des comptes bancaires au nom de la Commune, mais inconnus de celle-ci. Notamment pour les encaissements sans facture émise (subventions, acomptes, allocations, …).
• Méconnaissance des procédures de vérification.
• Connivence entre personnes habilitées à valider ensemble les paiements.
• Erreurs, oublis, maladresses.
• Manipulation des fichiers de paiements.
Processus habituel de paiement
1. Création d’un fichier (DTA) de paiement par le logiciel qui va sélectionner les paiements à effectuer à une échéance donnée.
2. Enregistrement du fichier (DTA) sur le disque du serveur, en format txt.
3. Contrôle du fichier (DTA), qui aura été imprimé, par rapport à la liasse de factures à payer, ou des salaires, par 2 personnes autorisées.
4. Connexion par Internet au télébanking (Banque, Poste) qui va préparer les paiements par chargement du fichier (DTA) déposé sur le serveur.
5. Validation de l’ordre de paiement télébanking, ligne par ligne, en principe par 2 personnes. C’est à ce moment que le contrôle sera définitif. Si l’ordre a été modifié entre les 2 validations sur le télébanking, le système bloquera le paiement.
Processus habituel de paiement - failles
2. Enregistrement du fichier (DTA) sur le disque du serveur, en format txt.
3. Contrôle du fichier (DTA), qui aura été imprimé, par rapport à la liasse de factures à payer, par 2 personnes autorisées.
Modification manuelle du fichier (DTA) sur le serveur.
4. Connexion par Internet au télébanking (Banque, Poste) qui va préparer les paiements par chargement du fichier (DTA) déposé sur le serveur.
Processus habituel de paiement - failles
4. Connexion par Internet au télébanking (Banque, Poste) qui va préparer les paiements par chargement du fichier (DTA) déposé sur le serveur.
Modification manuelle de l’ordre de paiement télébanking.
5. Validation de l’ordre de paiement télébanking, ligne par ligne, en principe par 2 personnes. C’est à ce moment que le contrôle sera définitif. Si l’ordre a été modifié entre les 2 validations sur le télébanking, le système bloquera le paiement.
Recommandations
• Contrôler rigoureusement toutes les lignes de l’ordre de paiement
télébanking avant sa validation ou, tout au moins, tous ceux dépassant un certain montant.
• Ne jamais donner à quelqu’un d’autre son code d’accès ni son mot de passe pour l’accès au télébanking.
• Ne pas accorder à une personne le droit de s’attribuer seule des droits d’accès au télébanking.
• Verrouiller automatiquement l’écran du poste de travail après quelques minutes d’inactivité.
• Notion de «confiance totale» à bannir.