Information et éducation par et pour la communauté SAP

Hana - journalisation conforme à la loi

L'utilisation d'une base de données Hana nécessite une configuration des composants de protocole conforme à la législation. Mais comment établir un concept à cet effet avant l'utilisation productive et comment le mettre en œuvre sur le plan technique ?
Thomas Tiede, IBS
12 juillet 2018
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

En ce qui concerne la journalisation et la conservation des journaux conformément à la loi, les clients SAP peuvent être rassurés dans la pile Abap. Grâce aux documents de modification générés automatiquement, une grande partie des protocoles devant être conservés y sont déjà générés.

Si l'on active encore la journalisation des tables pour le Customizing, associée à un concept d'archivage pour les protocoles, on peut se détendre. Les délais de conservation, tels que ceux prévus par le §257 du Code de commerce allemand, peuvent ainsi être respectés.

Dans la base de données Hana, la situation est différente. Comme c'est généralement le cas avec les bases de données, il n'y a pas de journalisation par défaut (la seule exception est la versionnalisation au sein de l'environnement de développement). Étant donné que Hana n'est pas exploitée comme une simple base de données, mais qu'elle prend en charge des parties de la couche d'application, la journalisation est ici indispensable. Avant l'utilisation productive d'une base de données Hana, il convient d'élaborer un concept de journalisation et de le mettre en œuvre sur le plan technique.

La première étape consiste à déterminer où les journaux doivent être écrits. Outre la possibilité de les écrire dans une table Hana (Sys.Audit_Log), il est également possible d'utiliser le SysLog du serveur Unix.

Cette dernière solution présente l'avantage de permettre une séparation des fonctions entre la configuration des journaux et l'évaluation/l'archivage. L'utilisation d'un serveur SysLog central, vers lequel les protocoles sont transmis et à partir duquel ils sont archivés, est particulièrement indiquée.

L'étape suivante consiste à définir ce qui doit être consigné. Afin de respecter les obligations légales, il devrait s'agir au minimum : d'une gestion des utilisateurs (création/modification/suppression d'utilisateurs et de groupes d'utilisateurs), d'une attribution de droits (attribution/suppression de rôles et de privilèges), de modifications de la configuration des cryptages (données persistantes, clés racines, redo logs), d'une configuration du système (modifications des paramètres du système), d'une configuration des interfaces, de modifications des schémas et des certificats (création, modification, suppression).

Si un SAP ERP ou S/4 Hana est exploité sur la base de données Hana, il peut également être utile de journaliser tout accès à ses données qui ne passe pas par son propriétaire (SAP).

Dans Hana, il est possible de journaliser non seulement les accès en modification, mais aussi les accès en lecture aux données. Cela est particulièrement utile pour les données sensibles du point de vue de la protection des données (par exemple les données des collaborateurs) ainsi que pour les données critiques pour l'entreprise (conditions, données de production).

La journalisation est mise en œuvre techniquement avec le Hana AuditLog. Il est possible d'y définir différentes politiques auxquelles sont attribuées des actions de journalisation. Celles-ci doivent être configurées à l'aide des directives.

Il ne faut pas oublier que ce ne sont pas seulement les systèmes productifs qui sont soumis à l'obligation de journalisation, mais aussi en partie les systèmes de développement. Une fois le journal d'audit mis en place conformément aux directives, l'autorisation de modifier la configuration (System Privilege Audit Admin) ne devrait être utilisée, si possible, que selon le principe des quatre yeux.

Si les journaux sont stockés dans la base de données Hana, l'autorisation de supprimer les journaux (System Privilege Audit Operator) ne doit pas non plus être attribuée.

En outre, Hana AuditLog doit être intégré dans le concept global de journalisation propre à l'entreprise, dans lequel sont réglés des thèmes tels que les consignes de configuration, les responsabilités, les cycles d'évaluation et les périodes de conservation.

Il s'agit notamment des prescriptions légales et des exigences spécifiques à l'entreprise en matière de journalisation, des délais de conservation des différents journaux, des concepts d'archivage pour les journaux, des prescriptions et des responsabilités pour l'évaluation régulière ainsi que des obligations de documentation pour l'évaluation et des niveaux d'escalade en cas de constatations.

L'exploitation de bases de données Hana pose donc de nouveaux défis en matière d'obligations de conservation. Contrairement à la pile Abap, c'est à l'entreprise de mettre en place la journalisation conformément aux directives légales et internes.

avatar
Thomas Tiede, IBS

Thomas Tiede est directeur général d'IBS Schreiber.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.