Information et éducation par et pour la communauté SAP

Autorisations SAP - La sécurité nécessite une vue d'ensemble

Les entreprises allemandes augmentent depuis des années leurs dépenses en matière de sécurité informatique. Pourtant, de nombreuses entreprises ne remarquent pas les attaques sur leur système SAP. Les cas de détournement et de vol de données sont de plus en plus fréquents. Seule la partie visible de l'iceberg est rendue publique. L'une des clés d'une meilleure sécurité SAP est l'attribution propre et le contrôle permanent des autorisations d'utilisation.
Magazine E-3
22 juin 2015
2015
avatar
Ce texte a été automatiquement traduit en français de l'allemand

L'apprenti passe par tous les services de l'entreprise, obtient sans cesse de nouvelles autorisations SAP et dispose en fin de compte de droits étendus. Cet exemple exagéré n'est pas si éloigné de la réalité dans certaines entreprises.

La cause en est souvent des structures SAP qui se sont développées au fil du temps et sont devenues de plus en plus complexes. Les risques de sécurité qui en découlent restent généralement inaperçus pendant des années. Nordwest Handel, une entreprise commerciale dans le domaine du commerce de liaison de production avec 950 entreprises commerciales de taille moyenne affiliées, voulait prévenir une telle situation.

Outre l'approvisionnement en marchandises et la gestion des stocks/logistique, Nordwest Handel propose également des services pour les finances, la logistique, l'informatique et la distribution. Le système SAP, qui a été introduit au milieu des années 90 et constamment développé, contient des données critiques pour l'entreprise concernant la comptabilité, le contrôle de gestion ainsi que les données de base des clients et des fournisseurs.

Nordwest Handel a décidé de moderniser de fond en comble sa gestion des autorisations SAP. La charge administrative de la gestion devait être réduite. Une meilleure documentation devait permettre d'augmenter la transparence à travers les processus.

Stefan Lendzian, responsable du secteur Informatique/Suivi des systèmes chez Nordwest Handel, déclare

"Dans sa version standard, SAP n'offre que des possibilités très limitées de gérer et de documenter confortablement les rôles et les risques".

Pour se moderniser, une entreprise a, selon elle, trois possibilités :

1. utiliser au mieux le standard SAP, en faisant éventuellement appel à un spécialiste externe, 2. utiliser une solution développée en dehors de SAP, ou 3. utiliser une solution entièrement intégrée dans SAP.

Nordwest Handel a opté pour la troisième solution afin de s'assurer que l'application choisie soit toujours à jour avec le système SAP le plus récent. Après une étude de marché de trois mois, les responsables ont choisi la suite Sast GRC de l'entreprise hambourgeoise Akquinet.

L'abréviation Sast signifie "System Audit and Security Toolkit". Steffen Maltig, chef de projet et consultant senior chez Akquinet, explique :

"Au début, nous constatons la plupart du temps que les autorisations SAP sont trop généreuses et qu'il est donc difficile d'en avoir une vue d'ensemble. Notre objectif est de les attribuer durablement de la manière la plus adaptée possible, sans restreindre la capacité d'action de l'entreprise".

Les souhaits de l'entreprise ont été recueillis au moyen de questionnaires. Les questions clés étaient les suivantes : Quelles données sont particulièrement sensibles ? Qui a accès à ces données ? L'analyse de ces données et des statistiques d'utilisation a permis de déterminer de nouveaux rôles pour chaque poste de travail à l'aide d'un "kit de rôles" composé de 700 modèles.

L'objectif était de créer un modèle d'autorisation de poste de travail global, applicable dans toutes les unités organisationnelles et tenant compte de la propriété des données.

Avec l'aide de Sast, les rôles de travail ont été directement soumis à un contrôle des risques. Le système vérifie si toutes les directives externes sont respectées lors de l'attribution des autorisations et si les séparations de fonctions sont effectuées correctement.

Les différentes organisations d'achat et de vente de Nordwest Handel doivent également être complètement séparées les unes des autres en ce qui concerne l'accès aux données, afin que les accès en lecture et en écriture croisés ne soient plus possibles.

Lors de la nouvelle modélisation, des rôles collectifs liés aux postes de travail ont en outre été introduits. Après une phase de test finale avec des utilisateurs pilotes, au cours de laquelle les dernières lacunes en matière d'autorisation ont été comblées, Nordwest Handel a introduit le nouveau concept d'autorisation dans toute l'entreprise, conformément au calendrier et au budget prévus.

Un processus automatisé de gestion des risques au sein de l'administration des autorisations assure le fonctionnement continu de SAP. Les risques potentiels peuvent être détectés et signalés en temps réel. À l'issue du projet, un auditeur externe a confirmé à Nordwest Handel que la sécurité de la gestion des autorisations SAP répondait sans réserve aux exigences.

"Nous offrons à nos clients, fournisseurs et collaborateurs un maximum de protection des données et de confidentialité à long terme. Au quotidien, nous avons néanmoins peu d'entretien et de documentation à fournir".

dit Lendzian.

avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.