RISK & ACCESS Control ASSESSMENT TELECHARGER LA SUCCESS STORY
Quel que soit le contexte, le contrôle d’accès dans SAP est un véritable défi. Le fait d’avoir plusieurs entités partageant le même écosystème SAP a apporté son lot de complications à Saint-Gobain Afrique du Sud en matière de contrôle d’accès.
Dans cet article, découvrez les temps forts de sa mise en conformité avec le processus d’autorisation SAP, en particulier en ce qui concerne la gestion des accès aux différentes divisions.
Le contrôle d’accès au sein d’un groupe de sociétés utilisant SAP pose un certain nombre de problèmes, notamment :
Créé en 1665 comme l’une des 25 manufactures royales de glaces de miroirs, le Groupe Saint-Gobain repose sur plus de 350 ans d’histoire. Avec la révolution industrielle et la demande croissante en verre et autres matériaux de construction qui l’accompagne, Saint-Gobain développe ses activités à travers d’autres produits et d’autres marques. Saint-Gobain compte plus de 180 000 collaborateurs et intervient dans 67 pays.
La filiale sud-africaine de Saint-Gobain comporte plusieurs entités. Quatre d’entre elles (Weber, Gyproc, ISOVER et PAM) partagent le même système SAP ECC, avec un accès nécessairement limité à ses propres activités. Avec cette restriction, un collaborateur appartenant à une division ne devrait pas avoir accès aux activités des autres entités.
Engagé à maintenir son haut niveau d’exigences, Saint-Gobain dispose d’un puissant service d’audit interne qui opère à l’échelle du Groupe. Ses auditeurs sont mandatés pour effectuer régulièrement des contrôles à l’improviste, annoncés seulement un mois à l’avance en général. En raison de la nature du Groupe, l’accès des utilisateurs (en particulier à l’échelle du système et en ce qui concerne les accès transverses) est la préoccupation principale lors de ces audits.
Au terme de l’audit, une note est attribuée à l’entité expertisée sur la base des critères suivants :
Note | Description |
A | Contrôle en place, efficace et formalisé : les risques sont réduits de manière appropriée. |
B | Contrôle en place mais pas pleinement efficace et/ou problèmes décelés en matière de formalisation : le système est exposé à certains risques résiduels. |
C | Contrôle mis en place incomplet : le système est encore vulnérable. |
D | Contrôle inefficace : le système est encore exposé à un nombre significatif de risques. |
E | Contrôle inexistant : Tle système est constamment et fortement exposé aux risques. |
Depuis l’adoption de SAP en 2001, Saint-Gobain Afrique du Sud a rencontré plusieurs difficultés dues aux échecs répétés de ses audits en matière de contrôle d’accès.
Le premier obstacle a été la méthodologie appliquée au contrôle d’accès qui avait été choisie lors de la mise en œuvre initiale de SAP. Les rôles basés sur des tâches étaient trop larges et accordaient trop de droits d’accès aux utilisateurs.
À l’instar d’un grand nombre d’entreprises qui utilisent SAP, Saint-Gobain Afrique du Sud a également été confronté à un « glissement » d’autorisations, où les utilisateurs héritaient d’un accès supplémentaire lorsqu’ils changeaient de poste ou d’unité opérationnelle au sein du Groupe. En cas de mobilité interne, une période de passation avait lieu durant laquelle l’utilisateur devait avoir accès, temporairement, à son rôle précédent.Cependant, comme aucune solution ne permettait de déceler les risques d’accès, il n’était pas rare que les accès restent en place, ce qui donnait lieu à une certaine forme de perméabilité entre les entités.
La filiale sud-africaine a fait appel à un prestataire externe spécialisé dans les autorisations SAP pour effectuer des opérations techniques, telles que la modification de rôles. Le recours à un sous-traitant a engendré deux complications imprévues :
Sans solution pour gérer les risques d’accès, l’entreprise n’avait aucune visibilité sur l’incidence d’une demande de modification d’accès SAP sur ces risques.
Après évaluation de plusieurs outils consacrés aux risques d’accès SAP (GRC), Saint-Gobain Afrique du Sud a sélectionné et installé la solution Soterion en 2015. Néanmoins, la mise en œuvre d’une solution de gestion des risques d’accès n’a pas été le remède miracle que Saint-Gobain attendait pour sa filiale sud-africaine.
Saint-Gobain Afrique du Sud ne parvenait toujours pas à réaliser des audits valables en raison d’utilisateurs dotés d’accès transverses malgré la mise en place d’une solution consacrée aux risques d’accès. |
Saint-Gobain Afrique du Sud s’est montré très enthousiaste à l’idée d’instaurer une sécurité SAP efficace. Les équipes ont réalisé qu’un simple outil technique ne suffisait pas pour gérer les risques d’accès. Elles se sont donc tournées vers Soterion dans le but de comprendre et résoudre les problèmes sous-jacents.
Deux obstacles sérieux ont été mis en avant lors de la première consultation avec Soterion :
Un contrôle fiable des accès peut être comparé à un immeuble de plusieurs étages. Pour des fondations solides, il est nécessaire de bien concevoir les rôles, tant techniques qu’opérationnels. L’entreprise bénéficie d’une solution GRC dès lors que des fondations solides sont en place. Après la mise en place d’une conception ferme des rôles et l’application des principes de GRC, la prochaine étape est la gestion d’identités et d’accès (Identity Access Management ou IAM) afin d’encourager et d’assurer un contrôle détaillé des accès.
Dans les PAS, il existe différentes approches de la conception des rôles, chacune ayant ses propres avantages et inconvénients. Une comparaison a été faite pour Saint-Gobain SA entre une méthodologie de rôle dérivé et une méthodologie de rôle de tâche/valeur. Le résultat suivant a été déterminé sur la base des exigences de Saint-Gobain SA :
Méthode de création des rôles | Points positifs | Points négatifs |
Rôles dérivés |
|
|
Rôles associés à des tâches et des valeurs |
|
|
Rôles composites |
|
|
L’une des principales exigences de Saint-Gobain Afrique du Sud était de trouver le juste milieu entre flexibilité et contrôle dans la conception de leurs rôles. L’entreprise a décidé de créer des rôles plus petits, basés sur des fonctions ou des tâches (par exemple, le traitement des bons de commande) afin de fournir le degré de flexibilité nécessaire. La méthode de dérivation a été rejetée en raison du grand nombre de rôles qu’elle aurait généré, compte tenu du nombre de valeurs associées aux domaines de contrôle (codes entreprise ou usines, etc.). Plus récemment la méthodologie choisie pour la définition de rôles techniques et opérationnels reposait sur la tâche et la valeur..
En fonction des types de rôles, le projet s’organisait comme suit :
Les ensembles de règles regroupent des règles liées aux risques GRC identifiés. Ils sont créés dans le but de relier les contrôles d’atténuation aux risques associés aux processus métier. L’ensemble de règles standard mis au point par Soterion a dû être adapté pour répondre aux besoins spécifiques de Saint-Gobain.
TLors de sa mise en œuvre, la solution Soterion a été accompagnée d’un ensemble de règles dédié aux risques d’accès, à la poinle du marché.Néanmoins, comme tout autre ensemble de règles standard ou prêt à l’emploi, il est conçu pour être appliqué aux entreprises, indépendamment du secteur d’activité et de l’implantation géographique. Établir un ensemble de règles sur mesure pour Saint-Gobain Afrique du Sud a été une étape importante du parcours afin de garantir l’adhésion de l’entreprise.
Puisqu’il est impossible d’obtenir un risque zéro en matière d’accès, les mesures d’atténuation jouent un rôle vital pour limiter l’exposition au risque du client. Il était important de réduire ces risques, à la fois inévitables et en lien avec l’entreprise. De nombreuses mesures existaient déjà dans cette entité. Ces contrôles ont été identifiés et documentés dans un répertoire central, puis cartographiés en fonction des risques dans l’ensemble de règles personnalisé.
Une partie de la solution a consisté à former les responsables hiérarchiques directs au sujet des risques et des contrôles d’atténuation qui relèvent de leur périmètre afin de favoriser la prise de responsabilité.Les chefs d’unités opérationnelles ont été formés pour comprendre le contenu de leurs vérifications afin qu’ils puissent prendre des décisions éclairées. Cela s’est également traduit par une meilleure conscience du risque au sein de l’entreprise.
Dans certaines circonstances, les utilisateurs issus des métiers ou des services d’assistance avaient besoin d’un accès temporaire ou ponctuel (d’urgence) pour mener des activités essentielles à l’entreprise.
Saint-Gobain Afrique du Sud a confié la gestion de ses accès sensibles et d’urgence au gestionnaire des droits avancés de Soterion. En cas de besoin, ce module permet aux services d’assistance comme aux équipes métier d’accéder aux fonctions sensibles de façon contrôlée. Les sessions de droits avancés sont sauvegardées et leur activité est envoyée aux propriétaires pour examen.
L’adoption d’une gestion GRC efficace est un processus continu. Chaque parcours GRC a pour but de mettre en place une gestion flexible et effectivement contrôlée des droits d’accès utilisateurs.
Pour Saint-Gobain Afrique du Sud, les prochaines étapes consistent en :
Du fait de sa collaboration avec Soterion, Saint-Gobain Afrique du Sud a adopté une nouvelle définition des rôles qui lui a permis de mener à bien ses audits. Grâce à une meilleure compréhension des risques métier et à un contrôle des accès plus poussé, les propriétaires de processus métier ont gagné en responsabilité dans leur domaine. Grâce à la solution Soterion, les chefs d’unités opérationnelles bénéficient de plus de visibilité, d’un meilleur contrôle et de l’adhésion des cadres.