

Les concepts d'autorisation SAP sont soumis à des changements constants. C'est précisément pour cette raison que les autorisations telles que "SAP_ALL" ou la sécurisation des utilisateurs SAP standard, mais aussi les risques SoD (Segregation of Duties) sont revus chaque année par les auditeurs. La liste des mesures nécessaires est longue, de l'application des patchs de sécurité au contrôle et à la réduction des autorisations critiques.
Souvent, des spécialistes de la sécurité comme Sast Solutions sont alors engagés à court terme pour s'assurer que la liste des trouvailles de l'audit de l'année dernière des auditeurs
a été traité de manière approfondie et qu'aucun risque grave n'est venu s'ajouter depuis le nettoyage, qu'il s'agisse de débogage et de remplacement, de suppression de documents de modification ou de lancement de tous les rapports pour certaines autorisations critiques. L'une des raisons de ces mandats ad hoc est qu'en raison d'un manque de ressources, aucune vérification des nettoyages n'a été effectuée entre-temps après l'audit précédent.
Si l'on se limite à cette approche réactive, le cycle annuel est programmé. Si tous les anciens findings sont éliminés ou mitigés juste avant le prochain audit, l'auditeur ne se contentera pas de les tester, mais effectuera bien sûr d'autres contrôles, établira une nouvelle liste de findings - et le jeu recommencera.
Pour éviter des dommages à court terme, une action basée sur le temps est donc certes nécessaire, mais elle n'est pas porteuse d'avenir. L'état de conformité du système se détériore à nouveau immédiatement par l'attribution de nouvelles autorisations, une réintroduction en douce n'est pas empêchée de manière proactive. Les nouveaux risques ne sont souvent pas identifiés au cours de l'année, mais seulement lorsque le prochain audit est prévu. Il n'y a donc pas de travail continu pour améliorer la situation, ni de contrôle permanent des risques. En effet, chaque audit ne représente qu'un instantané. Une liste de découverte ne montre toujours qu'une petite partie des risques dans un système SAP.
La solution à ce problème est relativement simple : ne pas attendre le prochain audit, mais prendre conscience dès maintenant de ses propres points faibles. C'est la seule façon de garantir la sécurité des systèmes SAP tout au long de l'année et de conserver une capacité de réaction rapide en cas d'anomalies. La manière la plus simple et la plus approfondie d'y parvenir est d'utiliser une solution globale, basée sur des outils, pour la détection des menaces SAP et la gouvernance des accès, comme la Sast Suite. Celle-ci se charge non seulement d'une surveillance complète en temps réel, mais aussi de l'intégration de contrôles cycliques jusqu'à la création d'un plan d'audit avec sa propre politique pour la liste de découverte de l'auditeur.
