Autorisations SAP - La sécurité nécessite une vue d'ensemble


L'apprenti passe par tous les services de l'entreprise, obtient sans cesse de nouvelles autorisations SAP et dispose en fin de compte de droits étendus. Cet exemple exagéré n'est pas si éloigné de la réalité dans certaines entreprises.
La cause en est souvent des structures SAP qui se sont développées au fil du temps et sont devenues de plus en plus complexes. Les risques de sécurité qui en découlent restent généralement inaperçus pendant des années. Nordwest Handel, une entreprise commerciale dans le domaine du commerce de liaison de production avec 950 entreprises commerciales de taille moyenne affiliées, voulait prévenir une telle situation.
Outre l'approvisionnement en marchandises et la gestion des stocks/logistique, Nordwest Handel propose également des services pour les finances, la logistique, l'informatique et la distribution. Le système SAP, qui a été introduit au milieu des années 90 et constamment développé, contient des données critiques pour l'entreprise concernant la comptabilité, le contrôle de gestion ainsi que les données de base des clients et des fournisseurs.
Nordwest Handel a décidé de moderniser de fond en comble sa gestion des autorisations SAP. La charge administrative de la gestion devait être réduite. Une meilleure documentation devait permettre d'augmenter la transparence à travers les processus.
Stefan Lendzian, responsable du secteur Informatique/Suivi des systèmes chez Nordwest Handel, déclare
"Dans sa version standard, SAP n'offre que des possibilités très limitées de gérer et de documenter confortablement les rôles et les risques".
Pour se moderniser, une entreprise a, selon elle, trois possibilités :
1. utiliser au mieux le standard SAP, en faisant éventuellement appel à un spécialiste externe, 2. utiliser une solution développée en dehors de SAP, ou 3. utiliser une solution entièrement intégrée dans SAP.
Nordwest Handel a opté pour la troisième solution afin de s'assurer que l'application choisie soit toujours à jour avec le système SAP le plus récent. Après une étude de marché de trois mois, les responsables ont choisi la suite Sast GRC de l'entreprise hambourgeoise Akquinet.
L'abréviation Sast signifie "System Audit and Security Toolkit". Steffen Maltig, chef de projet et consultant senior chez Akquinet, explique :
"Au début, nous constatons la plupart du temps que les autorisations SAP sont trop généreuses et qu'il est donc difficile d'en avoir une vue d'ensemble. Notre objectif est de les attribuer durablement de la manière la plus adaptée possible, sans restreindre la capacité d'action de l'entreprise".
Les souhaits de l'entreprise ont été recueillis au moyen de questionnaires. Les questions clés étaient les suivantes : Quelles données sont particulièrement sensibles ? Qui a accès à ces données ? L'analyse de ces données et des statistiques d'utilisation a permis de déterminer de nouveaux rôles pour chaque poste de travail à l'aide d'un "kit de rôles" composé de 700 modèles.
L'objectif était de créer un modèle d'autorisation de poste de travail global, applicable dans toutes les unités organisationnelles et tenant compte de la propriété des données.
Avec l'aide de Sast, les rôles de travail ont été directement soumis à un contrôle des risques. Le système vérifie si toutes les directives externes sont respectées lors de l'attribution des autorisations et si les séparations de fonctions sont effectuées correctement.
Les différentes organisations d'achat et de vente de Nordwest Handel doivent également être complètement séparées les unes des autres en ce qui concerne l'accès aux données, afin que les accès en lecture et en écriture croisés ne soient plus possibles.
Lors de la nouvelle modélisation, des rôles collectifs liés aux postes de travail ont en outre été introduits. Après une phase de test finale avec des utilisateurs pilotes, au cours de laquelle les dernières lacunes en matière d'autorisation ont été comblées, Nordwest Handel a introduit le nouveau concept d'autorisation dans toute l'entreprise, conformément au calendrier et au budget prévus.
Un processus automatisé de gestion des risques au sein de l'administration des autorisations assure le fonctionnement continu de SAP. Les risques potentiels peuvent être détectés et signalés en temps réel. À l'issue du projet, un auditeur externe a confirmé à Nordwest Handel que la sécurité de la gestion des autorisations SAP répondait sans réserve aux exigences.
"Nous offrons à nos clients, fournisseurs et collaborateurs un maximum de protection des données et de confidentialité à long terme. Au quotidien, nous avons néanmoins peu d'entretien et de documentation à fournir".
dit Lendzian.