Autorisations auto-ajustables

Avec Self-Adjusting Authorizations, les entreprises disposent d'un outil et des informations d'utilisation nécessaires et peuvent aborder les problèmes : Les transactions inutilisées sont supprimées automatiquement, ce qui augmente la conformité ainsi que la protection contre l'utilisation abusive des données tout en économisant des frais administratifs.

Gestion des affaires courantes et des autorisations

L'idée du développement est venue de Frank Schröder, DSI du fabricant d'engrenages Renk, une filiale de MAN. Il cherchait un moyen de maintenir automatiquement la propreté de la gestion des autorisations pendant les activités quotidiennes. Il a trouvé en Akquinet le partenaire idéal pour cette tâche.

Ensemble, nous avons entamé la phase pilote. Après quinze mois, l'outil dynamique et auto-aligné Self-Adjusting Authorizations est sur le point d'être commercialisé. En interaction avec la suite Sast, le logiciel GRC est le premier sur le marché à fournir des indicateurs fiables sur l'utilisation réelle des rôles dans SAP.

Comme l'outil mise sur l'automatisation - les transactions ne restent activées que lorsque l'utilisateur en a besoin -, il est particulièrement utile aux petites et moyennes entreprises qui disposent généralement de peu de personnel spécialisé dans l'environnement de sécurité et de conformité.

Mais même les grandes entreprises peuvent ainsi maintenir leurs nombreuses autorisations à jour en permanence. La phase pilote chez Renk montre que le besoin de cet outil existe sur le marché : environ 75% des autorisations attribuées ne sont pas utilisées par les utilisateurs.

Ils existent d'une part parce que les systèmes SAP des entreprises grandissent au fil des ans et d'autre part parce que les administrateurs ont tendance à distribuer trop de transactions aux utilisateurs plutôt que trop peu.

Mais ces autorisations inutilisées ne font pas que dégrader considérablement la clarté et la maintenabilité, elles augmentent aussi le potentiel de conflits de séparation de fonctions ainsi que les coûts plus élevés dans le domaine des licences SAP.

Bien que ces points faibles soient connus, de nombreux responsables informatiques ne s'attaquent pas encore à l'optimisation des droits d'accès des utilisateurs. En effet, celle-ci nécessite un travail manuel important et mobilise donc des coûts et des ressources.

Les Self-Adjusting Authorizations y remédient et réduisent la charge de travail interne, car elles ne laissent dans un rôle, après une phase d'observation, que les transactions qui sont vraiment nécessaires à l'exécution d'un processus commercial - les transactions non utilisées sont supprimées en toute sécurité. C'est ainsi que Renk utilise également cet outil pour la gestion permanente des utilisateurs.

Optimisation

En résumé, l'utilisation des Self-Adjusting Authorizations présente de nombreux avantages : les entreprises peuvent ainsi obtenir un aperçu clair de l'étendue de l'utilisation des rôles actuels de leurs collaborateurs et optimiser ensuite le découpage.

Tous les cycles d'itération issus de la phase d'observation sont en outre compréhensibles à tout moment, car ils sont documentés en détail. On peut ainsi voir ce que le collaborateur avait le droit de faire ou non à chaque moment, ce qui est important par exemple lors d'un audit.

Les autorisations épurées signifient moins de travail d'administration et un risque de sécurité réduit grâce à la diminution des conflits de séparation des fonctions.

Si l'on voulait résumer la démarche en une formule, celle-ci serait la suivante : Automatiser plutôt que de tout faire soi-même. Enfin, l'optimisation des droits d'accès des utilisateurs peut également permettre de réaliser des économies sur les licences SAP. Ainsi préparés, les décideurs informatiques pourront à l'avenir envisager sereinement un contrôle par l'audit interne ou par des audits externes.