Gérez la confidentialité, la sécurité et les risques liés à vos données SAP

Répondre au droit d'accès/de retrait dans les systèmes de Production

Que vous adhériez au PDPA en Thaïlande, à l'une des lois des États américains ou au RGPD en Europe, vous êtes tenu de fournir une réponse au droit d'accès et de suppression des données à caractère personnel de votre environnement.

Le droit à la suppression n'annule pas vos autres exigences légales et de conformité, telles que la conservation de documents pour un contrôle fiscal. Vous devez maintenant trouver un moyen de valider si les données sont nécessaires pour toute autre raison légale, et si ce n'est pas le cas, supprimer les données sensibles de votre système.

SAP présente un défi en matière de suppression des données : en tant que base de données relationnelle, les données sensibles sont intrinsèquement liées à vos transactions commerciales. Les méthodes traditionnelles d'archivage ou de suppression signifient donc que vous devez supprimer complètement vos transactions et vos données master.

EPI-USE Labs propose une alternative avec Data Redact, qui supprime les IPI des enregistrements tout en préservant l'intégrité référentielle de la solution. Enfin, Data Disclose fournit une cartographie efficace des IPI dans un fichier PDF, ce qui permet un processus efficace pour répondre au droit d'accès.

Masquer les données dans les systèmes non productifs

Chaque entreprise a besoin de tester ses processus, qu'il s'agisse des mises à jour annuelles de l'impôt sur les salaires, de la mise à niveau du service pack ou de nouvelles customisations. Vous ne voudriez pas découvrir que vous avez un problème avec les nouveaux processus en Production ; c'est pourquoi la plupart des entreprises prendront une copie de leurs systèmes de Production et créeront des environnements de test.

Le nombre d'environnements de test varie en fonction de l'entreprise, mais une configuration typique consisterait à avoir

• Développement avec peu ou pas de données réelles
• Qualité une copie réduite des données de la Production
• Pré-production une copie complète de la base de données de Production.

Les nouvelles lois sur la confidentialité stipulent que vous devez obtenir un consentement éclairé et explicite pour l'utilisation des données relatives aux personnes concernées. D'après notre expérience, la plupart des entreprises ne disposent pas de ce consentement pour l'utilisation des données à des fins de test. Même si vous disposiez d'un processus de consentement, il est difficile de comprendre ce qu'il faut faire en cas de non-consentement de la part d'une personne concernée.

Nous recommandons l'anonymisation des données avec Data Secure, qui fournit une anonymisation directe des données sur place, ou la possibilité de masquer les données à la sortie lorsque la solution est liée à Client Sync, qui fait partie de la Data Sync Manager Suite.

Comprendre les risques liés à la confidentialité & à la sécurité des données

Pour résoudre un problème, il faut d'abord le comprendre. En ce qui concerne la confidentialité et la sécurité des données, vous devez comprendre les risques liés à vos processus d'entreprise et à votre infrastructure IT.

Considérez vos processus d'entreprise et vos risques de sécurité. Par exemple, vos collègues du front office ou des RH prennent-ils des notes pendant les appels ? Si c'est le cas, quel est le processus de sécurité pour ces notes ? Respectez-vous les bonnes pratiques en matière de sécurité des données dans l'ensemble de votre entreprise ? 

En ce qui concerne votre parc informatique, les trois principales considérations sont :

• Menace externe : Sécurité du réseau et de l'infrastructure, comme les pare-feu ou la protection VPN.
• Menace interne : Le risque d'accès aux données dans le réseau/système SAP.
• Risque de conformité : Où se trouvent vos IPI et comment sont-elles gérées ?

Notre service complet d'évaluation de la confidentialité des données SAP offre une transparence sur les risques internes et de conformité pour votre entreprise.

GRC centré sur l'entreprise pour SAP

Les solutions de gouvernance, de risque et de conformité (GRC) prennent en compte de nombreux aspects des risques d'accès. Nous sommes partenaires de Soterion, qui offre une analyse rapide et efficace de vos risques GRC avec des ensembles de règles standards à couvrir :

• Segregation of Duties (SoD)
• Confidentialité : utilisateurs accédant à des données sensibles
• Accès aux données entre juridictions
• Risque des transactions critiques.

Ces solutions peuvent s'intégrer entre SAP et les applications cloud (telles que SAP SuccessFactors) afin de fournir une vision holistique de votre risque d'accès.

Soterion propose également une évaluation de vos licences système, des processus d’accès "firefighter" et bien plus encore.

Minimiser la surface d'attaque de SAP

Pour protéger les données sensibles, envisagez de réduire la « surface d'attaque » de votre environnement SAP, c'est-à-dire la topographie des systèmes et des données susceptibles d'être attaqués. Le masquage des données permet de conserver l'intégrité référentielle et la fonctionnalité des données de vos systèmes de test, de formation, de sandbox et de développement sans rendre les personnes concernées identifiables ni laisser les champs de données sensibles exposés.

Data Secure, qui fait partie de la suite Data Sync Manager (DSM) d'EPI-USE Labs, est une solution complète de protection des données qui masque les données SAP pour protéger les informations sensibles. Il permet aux données de fonctionner correctement grâce à des centaines de règles de masquage prédéfinies. De nouvelles règles peuvent être créées en partant de zéro, les règles existantes peuvent être étendues ou le contenu peut être téléchargé à partir d'autres utilisateurs de la communauté sur notre plateforme collaborative, Client Central. Il en résulte une protection des données en temps réel.

De nombreuses entreprises ont intégré des paysages SAP avec des données distribuées dans des environnements ERP, CRM, SRM et externes. Data Secure anonymise les objets de données intégrés de manière cohérente sur différents systèmes.

Besoin de masquer des données en dehors de SAP ? Notre équipe de développement personnalisé peut mettre au point une solution qui masque les données et qui étend Data Secure aux systèmes non SAP.