Hana - journalisation conforme à la loi

En ce qui concerne la journalisation et la conservation des journaux conformément à la loi, les clients SAP peuvent être rassurés dans la pile Abap. Grâce aux documents de modification générés automatiquement, une grande partie des protocoles devant être conservés y sont déjà générés.

Si l'on active encore la journalisation des tables pour le Customizing, associée à un concept d'archivage pour les protocoles, on peut se détendre. Les délais de conservation, tels que ceux prévus par le §257 du Code de commerce allemand, peuvent ainsi être respectés.

Dans la base de données Hana, la situation est différente. Comme c'est généralement le cas avec les bases de données, il n'y a pas de journalisation par défaut (la seule exception est la versionnalisation au sein de l'environnement de développement). Étant donné que Hana n'est pas exploitée comme une simple base de données, mais qu'elle prend en charge des parties de la couche d'application, la journalisation est ici indispensable. Avant l'utilisation productive d'une base de données Hana, il convient d'élaborer un concept de journalisation et de le mettre en œuvre sur le plan technique.

La première étape consiste à déterminer où les journaux doivent être écrits. Outre la possibilité de les écrire dans une table Hana (Sys.Audit_Log), il est également possible d'utiliser le SysLog du serveur Unix.

Cette dernière solution présente l'avantage de permettre une séparation des fonctions entre la configuration des journaux et l'évaluation/l'archivage. L'utilisation d'un serveur SysLog central, vers lequel les protocoles sont transmis et à partir duquel ils sont archivés, est particulièrement indiquée.

L'étape suivante consiste à définir ce qui doit être consigné. Afin de respecter les obligations légales, il devrait s'agir au minimum : d'une gestion des utilisateurs (création/modification/suppression d'utilisateurs et de groupes d'utilisateurs), d'une attribution de droits (attribution/suppression de rôles et de privilèges), de modifications de la configuration des cryptages (données persistantes, clés racines, redo logs), d'une configuration du système (modifications des paramètres du système), d'une configuration des interfaces, de modifications des schémas et des certificats (création, modification, suppression).

Si un SAP ERP ou S/4 Hana est exploité sur la base de données Hana, il peut également être utile de journaliser tout accès à ses données qui ne passe pas par son propriétaire (SAP).

Dans Hana, il est possible de journaliser non seulement les accès en modification, mais aussi les accès en lecture aux données. Cela est particulièrement utile pour les données sensibles du point de vue de la protection des données (par exemple les données des collaborateurs) ainsi que pour les données critiques pour l'entreprise (conditions, données de production).

La journalisation est mise en œuvre techniquement avec le Hana AuditLog. Il est possible d'y définir différentes politiques auxquelles sont attribuées des actions de journalisation. Celles-ci doivent être configurées à l'aide des directives.

Il ne faut pas oublier que ce ne sont pas seulement les systèmes productifs qui sont soumis à l'obligation de journalisation, mais aussi en partie les systèmes de développement. Une fois le journal d'audit mis en place conformément aux directives, l'autorisation de modifier la configuration (System Privilege Audit Admin) ne devrait être utilisée, si possible, que selon le principe des quatre yeux.

Si les journaux sont stockés dans la base de données Hana, l'autorisation de supprimer les journaux (System Privilege Audit Operator) ne doit pas non plus être attribuée.

En outre, Hana AuditLog doit être intégré dans le concept global de journalisation propre à l'entreprise, dans lequel sont réglés des thèmes tels que les consignes de configuration, les responsabilités, les cycles d'évaluation et les périodes de conservation.

Il s'agit notamment des prescriptions légales et des exigences spécifiques à l'entreprise en matière de journalisation, des délais de conservation des différents journaux, des concepts d'archivage pour les journaux, des prescriptions et des responsabilités pour l'évaluation régulière ainsi que des obligations de documentation pour l'évaluation et des niveaux d'escalade en cas de constatations.

L'exploitation de bases de données Hana pose donc de nouveaux défis en matière d'obligations de conservation. Contrairement à la pile Abap, c'est à l'entreprise de mettre en place la journalisation conformément aux directives légales et internes.