{"id":62041,"date":"2015-06-22T14:51:39","date_gmt":"2015-06-22T12:51:39","guid":{"rendered":"http:\/\/e3mag.com\/?p=62041"},"modified":"2019-08-22T14:55:18","modified_gmt":"2019-08-22T12:55:18","slug":"sap-autorisations-la-securite-a-besoin-dune-vue-densemble","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/sap-berechtigungen-sicherheit-braucht-ueberblick\/","title":{"rendered":"Autorisations SAP - La s\u00e9curit\u00e9 n\u00e9cessite une vue d'ensemble"},"content":{"rendered":"<p>L'apprenti passe par tous les services de l'entreprise, obtient sans cesse de nouvelles autorisations SAP et dispose en fin de compte de droits \u00e9tendus. Cet exemple exag\u00e9r\u00e9 n'est pas si \u00e9loign\u00e9 de la r\u00e9alit\u00e9 dans certaines entreprises.<\/p>\n<p>La cause en est souvent des structures SAP qui se sont d\u00e9velopp\u00e9es au fil du temps et sont devenues de plus en plus complexes. Les risques de s\u00e9curit\u00e9 qui en d\u00e9coulent restent g\u00e9n\u00e9ralement inaper\u00e7us pendant des ann\u00e9es. Nordwest Handel, une entreprise commerciale dans le domaine du commerce de liaison de production avec 950 entreprises commerciales de taille moyenne affili\u00e9es, voulait pr\u00e9venir une telle situation.<\/p>\n<p>Outre l'approvisionnement en marchandises et la gestion des stocks\/logistique, Nordwest Handel propose \u00e9galement des services pour les finances, la logistique, l'informatique et la distribution. Le syst\u00e8me SAP, qui a \u00e9t\u00e9 introduit au milieu des ann\u00e9es 90 et constamment d\u00e9velopp\u00e9, contient des donn\u00e9es critiques pour l'entreprise concernant la comptabilit\u00e9, le contr\u00f4le de gestion ainsi que les donn\u00e9es de base des clients et des fournisseurs.<\/p>\n<p>Nordwest Handel a d\u00e9cid\u00e9 de moderniser de fond en comble sa gestion des autorisations SAP. La charge administrative de la gestion devait \u00eatre r\u00e9duite. Une meilleure documentation devait permettre d'augmenter la transparence \u00e0 travers les processus.<\/p>\n<p>Stefan Lendzian, responsable du secteur Informatique\/Suivi des syst\u00e8mes chez Nordwest Handel, d\u00e9clare<\/p>\n<p><em>\"Dans sa version standard, SAP n'offre que des possibilit\u00e9s tr\u00e8s limit\u00e9es de g\u00e9rer et de documenter confortablement les r\u00f4les et les risques\".<\/em><\/p>\n<p>Pour se moderniser, une entreprise a, selon elle, trois possibilit\u00e9s :<\/p>\n<p>1. utiliser au mieux le standard SAP, en faisant \u00e9ventuellement appel \u00e0 un sp\u00e9cialiste externe, 2. utiliser une solution d\u00e9velopp\u00e9e en dehors de SAP, ou 3. utiliser une solution enti\u00e8rement int\u00e9gr\u00e9e dans SAP.<\/p>\n<p>Nordwest Handel a opt\u00e9 pour la troisi\u00e8me solution afin de s'assurer que l'application choisie soit toujours \u00e0 jour avec le syst\u00e8me SAP le plus r\u00e9cent. Apr\u00e8s une \u00e9tude de march\u00e9 de trois mois, les responsables ont choisi la suite Sast GRC de l'entreprise hambourgeoise Akquinet.<\/p>\n<p>L'abr\u00e9viation Sast signifie \"System Audit and Security Toolkit\". Steffen Maltig, chef de projet et consultant senior chez Akquinet, explique :<\/p>\n<p><em>\"Au d\u00e9but, nous constatons la plupart du temps que les autorisations SAP sont trop g\u00e9n\u00e9reuses et qu'il est donc difficile d'en avoir une vue d'ensemble. Notre objectif est de les attribuer durablement de la mani\u00e8re la plus adapt\u00e9e possible, sans restreindre la capacit\u00e9 d'action de l'entreprise\".<\/em><\/p>\n<p>Les souhaits de l'entreprise ont \u00e9t\u00e9 recueillis au moyen de questionnaires. Les questions cl\u00e9s \u00e9taient les suivantes : Quelles donn\u00e9es sont particuli\u00e8rement sensibles ? Qui a acc\u00e8s \u00e0 ces donn\u00e9es ? L'analyse de ces donn\u00e9es et des statistiques d'utilisation a permis de d\u00e9terminer de nouveaux r\u00f4les pour chaque poste de travail \u00e0 l'aide d'un \"kit de r\u00f4les\" compos\u00e9 de 700 mod\u00e8les.<\/p>\n<p>L'objectif \u00e9tait de cr\u00e9er un mod\u00e8le d'autorisation de poste de travail global, applicable dans toutes les unit\u00e9s organisationnelles et tenant compte de la propri\u00e9t\u00e9 des donn\u00e9es.<\/p>\n<p>Avec l'aide de Sast, les r\u00f4les de travail ont \u00e9t\u00e9 directement soumis \u00e0 un contr\u00f4le des risques. Le syst\u00e8me v\u00e9rifie si toutes les directives externes sont respect\u00e9es lors de l'attribution des autorisations et si les s\u00e9parations de fonctions sont effectu\u00e9es correctement.<\/p>\n<p>Les diff\u00e9rentes organisations d'achat et de vente de Nordwest Handel doivent \u00e9galement \u00eatre compl\u00e8tement s\u00e9par\u00e9es les unes des autres en ce qui concerne l'acc\u00e8s aux donn\u00e9es, afin que les acc\u00e8s en lecture et en \u00e9criture crois\u00e9s ne soient plus possibles.<\/p>\n<p>Lors de la nouvelle mod\u00e9lisation, des r\u00f4les collectifs li\u00e9s aux postes de travail ont en outre \u00e9t\u00e9 introduits. Apr\u00e8s une phase de test finale avec des utilisateurs pilotes, au cours de laquelle les derni\u00e8res lacunes en mati\u00e8re d'autorisation ont \u00e9t\u00e9 combl\u00e9es, Nordwest Handel a introduit le nouveau concept d'autorisation dans toute l'entreprise, conform\u00e9ment au calendrier et au budget pr\u00e9vus.<\/p>\n<p>Un processus automatis\u00e9 de gestion des risques au sein de l'administration des autorisations assure le fonctionnement continu de SAP. Les risques potentiels peuvent \u00eatre d\u00e9tect\u00e9s et signal\u00e9s en temps r\u00e9el. \u00c0 l'issue du projet, un auditeur externe a confirm\u00e9 \u00e0 Nordwest Handel que la s\u00e9curit\u00e9 de la gestion des autorisations SAP r\u00e9pondait sans r\u00e9serve aux exigences.<\/p>\n<p><em>\"Nous offrons \u00e0 nos clients, fournisseurs et collaborateurs un maximum de protection des donn\u00e9es et de confidentialit\u00e9 \u00e0 long terme. Au quotidien, nous avons n\u00e9anmoins peu d'entretien et de documentation \u00e0 fournir\".<\/em><\/p>\n<p>dit Lendzian.<\/p>","protected":false},"excerpt":{"rendered":"<p>Les entreprises allemandes augmentent depuis des ann\u00e9es leurs d\u00e9penses en mati\u00e8re de s\u00e9curit\u00e9 informatique. Pourtant, de nombreuses entreprises ne remarquent pas les attaques sur leur syst\u00e8me SAP. Les cas de d\u00e9tournement et de vol de donn\u00e9es sont de plus en plus fr\u00e9quents. Seule la partie visible de l'iceberg est rendue publique. L'une des cl\u00e9s d'une meilleure s\u00e9curit\u00e9 SAP est l'attribution propre et le contr\u00f4le permanent des autorisations d'utilisation.<\/p>","protected":false},"author":38,"featured_media":61274,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[161,1551],"tags":[35885,369,531,4462],"coauthors":[19920],"class_list":["post-62041","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-szene","category-1551","tag-finanzen","tag-it","tag-logistik","tag-vertrieb","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Deutsche Unternehmen erh\u00f6hen seit Jahren ihre Ausgaben f\u00fcr die IT-Sicherheit. Doch Angriffe auf ihr SAP-System bemerken viele Unternehmen nicht. Es kommt immer h\u00e4ufiger zu Unterschlagungsf\u00e4llen und Datenraub. Nur die Spitze des Eisbergs gelangt an die \u00d6ffentlichkeit. Ein Schl\u00fcssel f\u00fcr mehr SAP-Sicherheit ist die saubere Vergabe und dauerhafte Pr\u00fcfung der Benutzerberechtigungen.<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/fr\/category\/szene\/\" rel=\"category tag\">Szene<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/category\/1506\/\" rel=\"category tag\">MAG 15-06<\/a>","author_info_v2":{"name":"Magazine E-3","url":"https:\/\/e3mag.com\/fr\/author\/e-3-magazin\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/62041","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/38"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=62041"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/62041\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/61274"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=62041"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=62041"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=62041"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=62041"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}