Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 24-09

Finis les concepts d'autorisation qui ont évolué au fil du temps !

Les règles de risque aident à gérer les autorisations complexes et à maintenir la conformité. Comment, en outre, prévenir les cyber-attaques et réduire les coûts grâce à la bonne stratégie.
Christopher Niekamp, IBS Schreiber
29 août 2024
Contenu :
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Tous ceux qui ont déjà fait le ménage dans leur cave le savent : au fil des ans, des choses se sont accumulées, certaines utiles, d'autres superflues, voire dangereuses. Il en va de même dans le paysage informatique de nombreuses entreprises, en particulier lorsqu'il s'agit de concepts d'autorisation SAP. Des structures qui se sont développées au fil du temps et qui sont le résultat d'années d'adaptations, d'extensions et de "solutions de secours".
Les concepts d'autorisation SAP sont complexes. Ils doivent garantir que chaque collaborateur dispose exactement des droits d'accès dont il a besoin pour son travail. Des autorisations trop restrictives peuvent entraver le flux de travail, tandis que des autorisations trop généreuses peuvent présenter des risques pour la sécurité, comme par exemple le conflit de séparation des fonctions "Gérer les données de base du fournisseur ET enregistrer la facture ou l'avoir du fournisseur".

Les manières d'exécuter ce processus dans le système sont multiples et difficiles à vérifier, comme le montrent régulièrement les audits de sécurité SAP et même les projets S/4 actuels. A cela s'ajoute la nécessité de respecter les directives légales et les directives internes de conformité et d'en discuter avec les responsables des domaines spécialisés.

Un ensemble de règles pour le risque

C'est précisément là que les règles de risque entrent en jeu. Comme un expert en nettoyage expérimenté, ils aident à mettre de la clarté dans le chaos. Mais attention : tous les ensembles de règles de risque ne sont pas utiles. Certains négligent les risques, d'autres sont trop rigoureux et suppriment des autorisations utiles. Il est crucial de miser sur un ensemble de règles de risque disposant d'une large expertise et de l'expérience des auditeurs SAP.

Un ensemble précis de règles de risque détecte les écarts les plus fins et détermine les autorisations qui posent problème. En minimisant les alertes d'accès inutiles et les faux positifs, on augmente l'efficacité et on économise des ressources. Un bon ensemble de règles de risque crée des normes communes et améliore la communication entre les départements. Une conception propre des rôles garantit une attribution efficace et précise des autorisations qui répond aux besoins de l'entreprise. Les descriptions des risques et des processus devraient être incluses afin de créer une compréhension sur cette base, en plus de la composante technique. Un ensemble de règles de risque devrait être soumis à des mises à jour constantes afin de répondre à la dynamique du contenu technique.

Option de redémarrage S/4

Le passage à S/4 Hana offre la possibilité de démarrer avec une cave vide. Mais là aussi, des pièges se cachent. La nouvelle architecture, la séparation du front-end et du back-end et l'introduction de SAP Fiori Apps entraînent de nouveaux défis. Les règles de risque peuvent surtout ici aussi aider à garder une vue d'ensemble et à garantir que les autorisations soient maintenues dans le nouveau système de manière nettement plus propre et efficace qu'auparavant. Ainsi, la nouvelle cave est attribuée de manière structurée et sans charges héritées du passé - ce qui a un effet positif sur le contrôle de sécurité SAP.

Les concepts d'autorisation SAP qui se sont développés au fil du temps représentent justement un défi dans le bouquet des nouvelles exigences (techniques, légales et de contenu). Avec la bonne stratégie, les outils adéquats et une équipe expérimentée, ils peuvent toutefois être optimisés efficacement. Celui qui se fixe pour objectif d'exploiter un système SAP sûr et efficace, qui répond aux exigences de conformité et réduit les coûts, s'équipe pour l'avenir.

Toutefois, les entreprises qui n'utilisent pas un ensemble de règles de risque actualisé risquent à l'avenir de devoir supporter des coûts supplémentaires en matière d'autorisations SAP et mettent en péril la sécurité de l'entreprise. Car c'est aussi à cause de ces lacunes que les cyber-attaques se multiplient et peuvent porter durablement atteinte aux entreprises. Au final, une cave bien rangée est un sentiment formidable, non ?

ibs-schreiber.de

avatar
Christopher Niekamp, IBS Schreiber

Christopher Niekamp est directeur des ventes, du marketing et des activités académiques chez IBS Schreiber.


Tous les articles de l'auteur

Écrire un commentaire

Il manque 100.000 professionnels de l'informatique

Étude IBM : Obligation d'avoir des agents IA

SAP se prend une raclée

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.