Les fondations : l’élément incontournable

Beaucoup d’entreprises sous environnement SAP en sont à l’étape de projet ou à l’étape de planification dans leur transition vers S/4HANA.
Bon nombre d’entre elles ont compris que cette transition est l’occasion idéale de renforcer leur sécurité SAP. Pour ce faire, elles se tournent naturellement vers les outils de gestion GRC et IAM. Or, ces outils GRC et IAM ne répondront pas aux attentes de l’entreprise et se révèleront décevants s’ils ne tiennent pas compte des enjeux sous-jacents liés à la définition des rôles SAP.

Beaucoup d’entreprises présentent une définition des rôles obsolète, où les droits d’accès ne sont pas ou plus adaptés aux fonctions effectives des utilisateurs. Ces mêmes entreprises supposent à tort que pour traiter les questions relatives à la sécurité SAP, il suffit de disposer de produits et d’outils comme des solutions de contrôle des accès ou de gestion d’identités et d’accès (IAM).Bien qu’utiles, ces outils voient leurs capacités sensiblement réduites si le modèle qui sous-tend la définition des rôles SAP est obsolète ou inadapté. Par conséquent, votre entreprise ne tirera pas profit de son investissement en raison de la piètre qualité de la définition des rôles SAP.

Étudions les conséquences d’un modèle inadapté en matière de définition des rôles SAP, qui accorde des droits d’accès bien trop vastes, tant sur le plan de la GRC que de l’IAM.

1. Solution de contrôle des accès
La solution de contrôle des accès révèle un si grand nombre de violations en matière de risques d’accès que les utilisateurs métier chargés d’évaluer les risques ne savent pas par où commencer. Il se peut qu’ils commencent par approuver toutes les demandes de modification d’accès SAP sans trop se soucier des conséquences, compte tenu du nombre colossal de violations en matière de risques d’accès. En d’autres termes, les capacités de la solution de gestion des risques d’accès s’en trouvent affaiblies.

2. Solution de gestion d’identités et d’accès (IAM)
La solution de gestion d’identités et d’accès permet d’optimiser les différents processus (ajout, suppression et transfert). Cependant, comme elle attribuera des droits d’accès inadaptés, le bilan sera très lourd en matière de risques d’accès. Cette situation est précaire et contreproductive à l’égard de la stratégie S/4 des entreprises, d’autant que ces dernières prêtent une attention croissante aux questions de sécurité.

Quelles sont les conséquences concrètes de ce constat ? Vous disposez d’un système GRC et vous souhaitez profiter de la transition de votre entreprise vers S/4HANA pour accroître votre niveau de sécurité. Néanmoins, vous pensez que votre modèle sous-jacent de définition des rôles SAP est obsolète. Que devez-vous faire pour remédier à la situation ? Il existe deux solutions pour remédier à un dispositif inadapté en matière de définition des rôles SAP : soit un nettoyage des rôles SAP, soit une nouvelle définition des rôles SAP. Examinons ces deux options dans le détail.

 

Nettoyage des rôles SAP

Le nettoyage des rôles SAP est généralement possible lorsque le modèle sous-jacent de définition des rôles SAP reste relativement efficace, c’est-à-dire que les rôles individuels SAP sont bien conçus.

Néanmoins, l’enjeu majeur est que ces rôles ont été attribués de manière excessive au fil des années en raison des « glissements » d’autorisation. Vous remarquerez sûrement que peu de rôles imposent des changements de contenu (séparation des rôles, etc.).

Généralement, les entreprises préfèrent procéder à un nettoyage des rôles SAP car cette méthode est plus rapide et moins onéreuse.De plus, elle perturbe moins l’activité de l’entreprise elle pose moins de problèmes d’autorisation et requiert moins de tests sur les utilisateurs finaux qu’ un projet de redéfinition.

 

Redéfinition des rôles SAP

Il est conseillé de procéder à la redéfinition des rôles dans le cas où, comparativement, le nettoyage de la solution SAP représenterait une tâche plus laborieuse. En d’autres termes, cela signifie que la solution SAP s’est détériorée de manière irréversible.

La redéfinition des rôles SAP est généralement plus longue et plus coûteuse qu’un simple nettoyage des rôles. En outre, elle requiert un engagement plus fort de l’entreprise et perturbe davantage l’activité. Néanmoins, cette solution présente plusieurs avantages clés.

En premier lieu, si votre entreprise n’a pas procédé à une redéfinition des rôles depuis plusieurs années, ses exigences de contrôle sont susceptibles d’avoir évolué au fil du temps. Par exemple, il se peut que, dix ans plus tôt, les codes mouvement ou les numéros d’entrepôt ne revêtaient pas une grande importance. Or, la redéfinition des rôles permet d’instaurer ces nouveaux éléments de contrôle.

SAP a développé de nouvelles autorisations de contrôle au fil des ans, notamment un contrôle plus approfondi des accès aux tables par nom de table (S_TABU_NAM) par rapport à un niveau élargi des groupes d’autorisation (S_TABU_DIS). Bon nombre des nouvelles réglementations relatives à la confidentialité des données ont une incidence sur les entreprises.
C’est la raison pour laquelle un contrôle plus approfondi est aujourd’hui indispensable et rendu possible par la redéfinition des rôles. La prise en compte du respect de la vie privée dès la conception est un principe fondateur de la plupart des réglementations en la matière. La mise en œuvre de ce principe sera, en toute logique, plus aisée dans le cadre d’une redéfinition des rôles que lors d’un nettoyage.

En somme, la sécurité d’un environnement SAP dépend d’une bonne définition des rôles SAP. C’est la clé de voûte de tout ce qui relève de la GRC. Si votre entreprise ne voit l’importance d’instaurer une juste définition des rôles SAP, elle ne tirera jamais profit des avantages octroyés par ses solutions GRC et IAM. Investir dans la définition des rôles SAP est un choix judicieux pour l’avenir.

 

Pour en savoir plus, veuillez nous contacter à l’adresse [email protected]

  • Partager

Retour à la liste des dernières nouvelles