EN | FR
Securité

Concevoir la sécurité dans Dynamics 365 Finance : 10 points à réussir

Alex at FitGap

2 min read
Concevoir la sécurité dans Dynamics 365 Finance : 10 points à réussir

La sécurité ne se résume pas à « qui peut cliquer où ». Ces dix décisions évitent erreurs d’approbation, écarts d’audit et surcoûts de licences.

1) Optimiser les licences (selon l’usage, pas le titre)

Attribuez la licence la plus économique couvrant les actions nécessaires. Distinguez approbateurs/lecteurs des utilisateurs transactionnels quotidiens :

  • Approbateurs / lecteurs / utilisateurs occasionnels : s’ils ne créent ni ne comptabilisent de transactions et se contentent d’examiner/valider, orientez-les vers une licence plus légère (là où c’est permis).
  • Utilisateurs intensifs (transactions au quotidien) : licence complète adaptée à leur périmètre.
  • Postes partagés (magasin, atelier) : envisager une licence “device”.
    Mettez en place une revue trimestrielle pour ajuster les licences à l’usage réel.

Livrable : tableau « persona → rôle(s) → type de licence → coût mensuel » + revue de right-sizing trimestrielle.

2) Décider qui attribue et retire les rôles

Formalisez qui possède chaque rôle, qui peut l’accorder et quand le retirer (arrivées/mobilité/départs). Si vous utilisez des groupes Microsoft Entra ID, planifiez des revues d’accès pour que les gestionnaires re-certifient périodiquement.

Livrable : RACI d’attribution + calendrier de revues d’accès.

3) Construire les rôles depuis les droits et privilèges

Dans Microsoft Dynmaics Finance & Operations : privilèges → droits [duties] → rôles. Composez vos rôles à partir des droits (pas des menus), et gardez la séparation des tâches (SoD) en ligne de mire : c’est plus robuste, plus auditable.

Livrable : fiche « composition du rôle » (droitss/privilèges par rôle).

4) Prendre en compte les flux d’approbation et les délégations

Un approbateur doit avoir les droits pour ouvrir, examiner et valider ; sinon le flux d’approbation échoue. Prévoyez aussi les délégations (qui peut approuver pour qui) et garantissez les droits du délégué pendant la période de délégation.

Livrable : par flux, « rôle(s) requis pour l’approbateur » + « règles de délégation ».

5) Séparer configuration et opérations (moindre privilège)

Séparez nettement les rôles de configuration (paramètres, profils de validation, séquences) et les rôles opérationnels (journaux, factures, paiements). C’est l’application concrète du principe du moindre privilège.

Livrable : deux familles de rôles — Configurer vs Exploiter — sans recouvrement.

6) Définir tôt la séparation des tâches (SoD)

Écrivez des règles explicites (ex. Créer fournisseur ≠ Payer fournisseur) et utilisez la fonctionnalité native de séparation des tâches pour détecter et corriger les conflits avant le go-live. Quand une exception est nécessaire, consignez les contrôles compensatoires.

Livrable : matrice SoD + rapport mensuel « conflits & exceptions ».

7) Tester ce qui est permis et ce qui est interdit

Un test n’est pas terminé parce que l’utilisateur accomplit sa tâche ; il faut aussi montrer qu’il ne peut pas faire ce qui est interdit (ex. comptabiliser dans la mauvaise entité, modifier des données maîtres sans approbation).

Livrable : cas de test positifs et négatifs par rôle clé, intégrés à l’UAT.

8) Protéger l’accès à l’information (volet sécurité)

La lecture n’est pas neutre. Décidez quels rôles peuvent consulter les rapports, dimensions et champs sensibles (salaires, coordonnées bancaires...). Les droits s’appliquent jusqu’au champ : consignez ces choix.

Livrable : registre « données sensibles » (objet → rôles avec lecture → justification).

9) Gérer le cycle de vie des accès (arrivées, mobilité, départs)

Automatisez l’onboarding (rôles minimum), les changements de poste (remplacer les rôles, retirer les anciens) et l’offboarding (retrait immédiat). Appuyez-vous sur des revues d’accès périodiques.

Livrable : processus clair + planning de re-certification.

10) Préparer l’audit : traces, accès d’urgence et preuves

Définissez l’accès d’urgence, sont stockées les preuves (exports SoD, journal des changements de rôles) et comment démontrer « qui a approuvé quoi » dans les flux.

Livrable : dossier d’audit (règles SoD, cartographie des rôles, exports de revue d’accès, preuves d’approbation), mis à jour mensuellement/trimestriellement.

Read more