Projet pilote pour la nouvelle Compliance Suite
L'intégrateur de systèmes Ciber a introduit un nouveau concept d'autorisation SAP avec des rôles de tâches uniques chez le gestionnaire de réseau de transport TenneT TSO : Plus de 5000 rôles ont ainsi été réduits à environ 200 rôles de travail.
Cette refonte assure la transparence des autorisations SAP, simplifie et harmonise les processus d'administration des utilisateurs SAP et, associée à la solution maison Ciber Compliance Suite (CCS) de Ciber, garantit le respect permanent des politiques de conformité.
Dans le cadre d'un projet pilote mondial, Ciber a déployé avec succès sa suite de conformité interne chez TenneT TSO. Ciber a déployé successivement deux composants, Ciber Usage Monitor et Ciber Access Control, chez l'opérateur de réseau électrique allemand basé à Bayreuth.
Phase 1 : Refonte du concept d'autorisation SAP
Le vaste projet a débuté en 2013 avec la refonte du concept d'autorisation SAP. Ciber avait remporté l'appel d'offres face à plusieurs concurrents spécialisés.
Le choix de Ciber a été motivé en premier lieu par les références existantes grâce à des projets similaires avec des clients très satisfaits. De plus, l'approche bien structurée proposée par Ciber pour mener à bien le projet de refonte, l'équipe de consultants expérimentés, la présentation du projet au client et la confiance accordée à Ciber en tant que fournisseur de services CMS éprouvé ont également convaincu.
Rouleaux réduits de manière drastique
L'une des principales préoccupations de la refonte était d'adapter les autorisations SAP à la nouvelle organisation, TenneT ayant été créée à partir de E.ON. Les nombreux rôles qui sont apparus par la suite, la transparence insuffisante pour les responsables et l'absence d'autorisations SAP ont nécessité de nouvelles solutions.
Ciber a donc redéfini entièrement les autorisations SAP en utilisant ses propres rôles de bonnes pratiques en avril 2014 sur les systèmes ECC, SRM, BI et HCM.
Pour ce faire, Ciber a étroitement impliqué les utilisateurs clés de TenneT dans la conception des rôles. Grâce à cette approche, ils connaissent très bien leurs rôles respectifs.
Ensemble, ils ont défini pour la première fois les risques de ségrégation des devoirs (SoD), les ont pris en compte dans la conception des rôles et les ont réduits autant que possible. Le CCS de Ciber surveille en permanence ces risques de SoD.
Phase 2 : Déploiement de la Ciber Compliance Suite
En septembre 2014, la société de conseil de Heidelberg a lancé la suite logique du projet, dans le cadre de laquelle elle a implémenté chez TenneT, en collaboration avec Ciber Danemark, sa propre suite Ciber Compliance (CCS) pour contrôler l'utilisation du système et les risques de SoD dans les systèmes ECC et HCM.
La personnalisation des produits CCS a été effectuée progressivement, avant la mise en place du Ciber Usage Monitor pour l'optimisation de la mesure du système SAP.
La dernière étape du projet a consisté en l'implémentation ultérieure de l'outil Ciber Access Control, qui détecte toujours directement les risques SoD dans les autorisations SAP et assure à TenneT une conformité continue.
Comment fonctionne le Ciber Access Control
Une matrice SoD est enregistrée dans le contrôle d'accès de Ciber, un risque SoD étant toujours constitué de la combinaison de deux fonctions SAP, par ex : "F1 - Traiter les commandes" et "F2 - Enregistrer la réception de marchandises". Les transactions SAP, les objets d'autorisation et les valeurs correspondants sont alors enregistrés dans l'outil.
L'audit préventif SoD doit fournir des réponses aux questions suivantes : Quelles sont les nouvelles autorisations inscrites ? Celles-ci génèrent-elles elles-mêmes un risque SoD ? Y a-t-il un risque en combinaison avec des autorisations existantes chez l'utilisateur ou dans des rôles ?
S'il y a des risques, ils apparaissent dans SAP en fonction des paramètres CSS. Trois actions sont désormais possibles : "Afficher le risque uniquement sous forme de déclaration", "Une documentation doit être jointe pour approuver le risque". et "Le changement est bloqué car le risque n'est pas autorisé".
Le reporting SoD en aval examine les utilisateurs SAP ou les rôles SAP pour détecter les risques existants. La matrice SoD enregistrée est comparée aux utilisateurs ou aux rôles SAP et les résultats sont affichés au format Excel.
Examen du risque
Depuis février 2015, le gestionnaire du réseau électrique peut compter sur un contrôle préventif des risques SoD lors de la mise à jour en ligne des utilisateurs et des rôles SAP.
Un contrôle en aval de tous les risques SoD est également effectué chaque trimestre avec la Compliance Suite de Ciber.
"Nous sommes très heureux d'avoir pu mener à bien le projet de suivi de l'introduction de notre Compliance Suite à la satisfaction de notre client.
Il n'est certainement pas évident qu'un projet pilote mondial dans le cadre d'une coopération internationale se déroule aussi bien et avec autant de succès".
explique Mario Hendrich, chef de projet et responsable de l'équipe Compliance Services chez Ciber.
Résultats du projet
La mise en œuvre de ces deux projets a permis à TenneT d'obtenir les résultats suivants :
- Simplification du processus d'administration des utilisateurs SAP en réduisant le nombre de rôles dans le portail de rôles de TenneT de plus de 5 000 à environ 200 rôles de travail.
- Transparence pour les responsables des rôles de TenneT sur le contenu et l'attribution des rôles
- Définition et réduction des risques de ségrégation des droits (SoD) pour TenneT dans les autorisations des utilisateurs SAP
- Assurer la conformité continue des autorisations SAP grâce à l'outil Ciber Access Control
- Optimisation de l'attribution des licences SAP aux utilisateurs SAP grâce à des rôles de tâches structurés et à la surveillance de l'utilisation de SAP via l'outil Ciber Usage Monitor
DE
EN
ES
FR
