Demandez votre évaluation maintenant !
RISK & ACCESS Control ASSESSMENT TELECHARGER LA SUCCESS STORY
Contrôle d’accès dans une entreprise de grande renommée
Quel que soit le contexte, le contrôle d’accès dans SAP est un véritable défi. Le fait d’avoir plusieurs entités partageant le même écosystème SAP a apporté son lot de complications à Saint-Gobain Afrique du Sud en matière de contrôle d’accès.
Dans cet article, découvrez les temps forts de sa mise en conformité avec le processus d’autorisation SAP, en particulier en ce qui concerne la gestion des accès aux différentes divisions.
Contrôle d’accès SAP au sein d’un groupe de sociétés
Le contrôle d’accès au sein d’un groupe de sociétés utilisant SAP pose un certain nombre de problèmes, notamment :
- L’homogénéité des méthodologies en matière de rôles: Les grands groupes comme Saint-Gobain présentent souvent des incohérences dans la façon dont les rôles SAP sont conçus et mis en œuvre. C’est généralement ce qui arrive lorsqu’on fait appel à des prestataires externes et si tout le monde veut apporter son grain de sel.
- Le contrôle des accès transverses: En cas de mobilité interne, les utilisateurs conservent souvent des accès auxquels ils ne devraient plus avoir droit. Les risques ne peuvent pas être traités de manière efficace si les fichiers utilisateurs ne sont pas régulièrement vérifiés afin de limiter ces « glissements » d’autorisation.
Saint-Gobain : un niveau d’exigence traditionnellement élevé
Créé en 1665 comme l’une des 25 manufactures royales de glaces de miroirs, le Groupe Saint-Gobain repose sur plus de 350 ans d’histoire. Avec la révolution industrielle et la demande croissante en verre et autres matériaux de construction qui l’accompagne, Saint-Gobain développe ses activités à travers d’autres produits et d’autres marques. Saint-Gobain compte plus de 180 000 collaborateurs et intervient dans 67 pays.
Un exemple de perméabilité
Quatre entités et des audits à l’improviste
La filiale sud-africaine de Saint-Gobain comporte plusieurs entités. Quatre d’entre elles (Weber, Gyproc, ISOVER et PAM) partagent le même système SAP ECC, avec un accès nécessairement limité à ses propres activités. Avec cette restriction, un collaborateur appartenant à une division ne devrait pas avoir accès aux activités des autres entités.
Engagé à maintenir son haut niveau d’exigences, Saint-Gobain dispose d’un puissant service d’audit interne qui opère à l’échelle du Groupe. Ses auditeurs sont mandatés pour effectuer régulièrement des contrôles à l’improviste, annoncés seulement un mois à l’avance en général. En raison de la nature du Groupe, l’accès des utilisateurs (en particulier à l’échelle du système et en ce qui concerne les accès transverses) est la préoccupation principale lors de ces audits.
Au terme de l’audit, une note est attribuée à l’entité expertisée sur la base des critères suivants :
| Note | Description |
| A | Contrôle en place, efficace et formalisé : les risques sont réduits de manière appropriée. |
| B | Contrôle en place mais pas pleinement efficace et/ou problèmes décelés en matière de formalisation : le système est exposé à certains risques résiduels. |
| C | Contrôle mis en place incomplet : le système est encore vulnérable. |
| D | Contrôle inefficace : le système est encore exposé à un nombre significatif de risques. |
| E | Contrôle inexistant : Tle système est constamment et fortement exposé aux risques. |
Le défi de l’externalisation et le glissement d’autorisations
Depuis l’adoption de SAP en 2001, Saint-Gobain Afrique du Sud a rencontré plusieurs difficultés dues aux échecs répétés de ses audits en matière de contrôle d’accès.
Le premier obstacle a été la méthodologie appliquée au contrôle d’accès qui avait été choisie lors de la mise en œuvre initiale de SAP. Les rôles basés sur des tâches étaient trop larges et accordaient trop de droits d’accès aux utilisateurs.
À l’instar d’un grand nombre d’entreprises qui utilisent SAP, Saint-Gobain Afrique du Sud a également été confronté à un « glissement » d’autorisations, où les utilisateurs héritaient d’un accès supplémentaire lorsqu’ils changeaient de poste ou d’unité opérationnelle au sein du Groupe. En cas de mobilité interne, une période de passation avait lieu durant laquelle l’utilisateur devait avoir accès, temporairement, à son rôle précédent.Cependant, comme aucune solution ne permettait de déceler les risques d’accès, il n’était pas rare que les accès restent en place, ce qui donnait lieu à une certaine forme de perméabilité entre les entités.
La filiale sud-africaine a fait appel à un prestataire externe spécialisé dans les autorisations SAP pour effectuer des opérations techniques, telles que la modification de rôles. Le recours à un sous-traitant a engendré deux complications imprévues :
- Le fournisseur est intervenu en suivant son approche uniquement, sans jamais proposer de bonnes pratiques. Après modification des rôles, une large part des pratiques à risque ont pris racine dans le système.
- Le prestataire externe a modifié les ressources utilisées pour la sécurité plusieurs fois, ce qui a provoqué des incohérences dans les méthodologies employées pour la création de rôles car chaque ressource impliquait une approche privilégiée.
Sans solution pour gérer les risques d’accès, l’entreprise n’avait aucune visibilité sur l’incidence d’une demande de modification d’accès SAP sur ces risques.
Le début de l’aventure GRC
Des fondations solides, comme pour un immeuble
Après évaluation de plusieurs outils consacrés aux risques d’accès SAP (GRC), Saint-Gobain Afrique du Sud a sélectionné et installé la solution Soterion en 2015. Néanmoins, la mise en œuvre d’une solution de gestion des risques d’accès n’a pas été le remède miracle que Saint-Gobain attendait pour sa filiale sud-africaine.
| Saint-Gobain Afrique du Sud ne parvenait toujours pas à réaliser des audits valables en raison d’utilisateurs dotés d’accès transverses malgré la mise en place d’une solution consacrée aux risques d’accès. |
Saint-Gobain Afrique du Sud s’est montré très enthousiaste à l’idée d’instaurer une sécurité SAP efficace. Les équipes ont réalisé qu’un simple outil technique ne suffisait pas pour gérer les risques d’accès. Elles se sont donc tournées vers Soterion dans le but de comprendre et résoudre les problèmes sous-jacents.
Deux obstacles sérieux ont été mis en avant lors de la première consultation avec Soterion :
- L’application de méthodologies variées pour la définition de rôles, ce qui rendait l’attribution des accès trop compliquée ;
- Le grand nombre de rôles dotés d’accès transverses, d’après l’évaluation des risques, ce qui créait une certaine perméabilité entre les différentes divisions.
Un contrôle fiable des accès peut être comparé à un immeuble de plusieurs étages. Pour des fondations solides, il est nécessaire de bien concevoir les rôles, tant techniques qu’opérationnels. L’entreprise bénéficie d’une solution GRC dès lors que des fondations solides sont en place. Après la mise en place d’une conception ferme des rôles et l’application des principes de GRC, la prochaine étape est la gestion d’identités et d’accès (Identity Access Management ou IAM) afin d’encourager et d’assurer un contrôle détaillé des accès.
Un plan d’action pour redresser la GRC
Une nouvelle définition des rôles
Dans les PAS, il existe différentes approches de la conception des rôles, chacune ayant ses propres avantages et inconvénients. Une comparaison a été faite pour Saint-Gobain SA entre une méthodologie de rôle dérivé et une méthodologie de rôle de tâche/valeur. Le résultat suivant a été déterminé sur la base des exigences de Saint-Gobain SA :
| Méthode de création des rôles | Points positifs | Points négatifs |
| Rôles dérivés |
|
|
| Rôles associés à des tâches et des valeurs |
|
|
| Rôles composites |
|
|
L’une des principales exigences de Saint-Gobain Afrique du Sud était de trouver le juste milieu entre flexibilité et contrôle dans la conception de leurs rôles. L’entreprise a décidé de créer des rôles plus petits, basés sur des fonctions ou des tâches (par exemple, le traitement des bons de commande) afin de fournir le degré de flexibilité nécessaire. La méthode de dérivation a été rejetée en raison du grand nombre de rôles qu’elle aurait généré, compte tenu du nombre de valeurs associées aux domaines de contrôle (codes entreprise ou usines, etc.). Plus récemment la méthodologie choisie pour la définition de rôles techniques et opérationnels reposait sur la tâche et la valeur..
En fonction des types de rôles, le projet s’organisait comme suit :
- Rôles utilisateurs finaux opérationnels : À l’aide des journaux de transactions utilisateurs (SM20), les rôles définis via des tâches ont été attribués aux utilisateurs sur la base des données historiques, sous réserve de la validation du supérieur hiérarchique direct. Plusieurs rôles fonctionnels ont été identifiés et appliqués comme rôles opérationnels. Cela permet de faciliter les modifications en cas de besoin. Un accès au niveau organisationnel a été fourni grâce aux rôles définis via des valeurs.
- Rôles techniques (Phase 1) : Les rôles définis de manière appropriée via des tâches et associés à des fonctions techniques (par ex. fondamentaux, administration des autorisations, etc.) ont limité le risque d’accès trop larges octroyés aux équipes d’assistance internes et aux prestataires externes.
- Rôles techniques (Phase 2) : Restriction des objets d’autorisations critiques fondamentaux, avec une attention particulière à la mise en place d’un accès RFC (Remote Function Call) détaillé.
Personnalisation des ensembles de règles
Les ensembles de règles regroupent des règles liées aux risques GRC identifiés. Ils sont créés dans le but de relier les contrôles d’atténuation aux risques associés aux processus métier. L’ensemble de règles standard mis au point par Soterion a dû être adapté pour répondre aux besoins spécifiques de Saint-Gobain.
TLors de sa mise en œuvre, la solution Soterion a été accompagnée d’un ensemble de règles dédié aux risques d’accès, à la poinle du marché.Néanmoins, comme tout autre ensemble de règles standard ou prêt à l’emploi, il est conçu pour être appliqué aux entreprises, indépendamment du secteur d’activité et de l’implantation géographique. Établir un ensemble de règles sur mesure pour Saint-Gobain Afrique du Sud a été une étape importante du parcours afin de garantir l’adhésion de l’entreprise.
Atténuation
Puisqu’il est impossible d’obtenir un risque zéro en matière d’accès, les mesures d’atténuation jouent un rôle vital pour limiter l’exposition au risque du client. Il était important de réduire ces risques, à la fois inévitables et en lien avec l’entreprise. De nombreuses mesures existaient déjà dans cette entité. Ces contrôles ont été identifiés et documentés dans un répertoire central, puis cartographiés en fonction des risques dans l’ensemble de règles personnalisé.
Formation professionnelle
Une partie de la solution a consisté à former les responsables hiérarchiques directs au sujet des risques et des contrôles d’atténuation qui relèvent de leur périmètre afin de favoriser la prise de responsabilité.Les chefs d’unités opérationnelles ont été formés pour comprendre le contenu de leurs vérifications afin qu’ils puissent prendre des décisions éclairées. Cela s’est également traduit par une meilleure conscience du risque au sein de l’entreprise.
Gestion des accès d’urgence
Dans certaines circonstances, les utilisateurs issus des métiers ou des services d’assistance avaient besoin d’un accès temporaire ou ponctuel (d’urgence) pour mener des activités essentielles à l’entreprise.
Saint-Gobain Afrique du Sud a confié la gestion de ses accès sensibles et d’urgence au gestionnaire des droits avancés de Soterion. En cas de besoin, ce module permet aux services d’assistance comme aux équipes métier d’accéder aux fonctions sensibles de façon contrôlée. Les sessions de droits avancés sont sauvegardées et leur activité est envoyée aux propriétaires pour examen.
La suite de l’aventure : les prochaines étapes pour Saint-Gobain Afrique du Sud
L’adoption d’une gestion GRC efficace est un processus continu. Chaque parcours GRC a pour but de mettre en place une gestion flexible et effectivement contrôlée des droits d’accès utilisateurs.
Pour Saint-Gobain Afrique du Sud, les prochaines étapes consistent en :
- l’examen des accès utilisateurs : Mise en œuvre d’une procédure de demande, révision et validation des accès.
- la gestion des identités : pour parfaire son minutieux contrôle d’accès, Saint-Gobain Afrique du Sud envisagera l’acquisition d’une solution de gestion des accès et des identités.
Conclusion
Du fait de sa collaboration avec Soterion, Saint-Gobain Afrique du Sud a adopté une nouvelle définition des rôles qui lui a permis de mener à bien ses audits. Grâce à une meilleure compréhension des risques métier et à un contrôle des accès plus poussé, les propriétaires de processus métier ont gagné en responsabilité dans leur domaine. Grâce à la solution Soterion, les chefs d’unités opérationnelles bénéficient de plus de visibilité, d’un meilleur contrôle et de l’adhésion des cadres.
Leave a Comment: