La majorité des composants d’une solution GRC (gestion de la gouvernance, des risques et de la conformité) sont des activités de type back-end, exécutées par les administrateurs de sécurité GRC ou SAP®. Cependant, certaines activités GRC ont un point de contact crucial avec les utilisateurs de cette fonctionnalité, à savoir :
les simulations de risque d’accès SAP (approbation/refus définis par les responsables hiérarchiques))
les révisions des accès utilisateurs
Ces dernières années, une série de réglementations, telles que SOX/JSOX et RGPD, ont contraint les organisations à effectuer des révisions des accès utilisateurs. La réalisation de ces contrôles prend beaucoup de temps et ralentit l’activité principale de votre entreprise.
Dans cet article, je vous présenterais les bonnes pratiques à adopter pour établir un processus de révision des accès utilisateurs fluide.
Voici un exemple de défi auquel l’un de nos clients a dû faire face avant d’investir dans Soterion pour SAP pour gérer ses révisions des accès utilisateurs : il suivait un processus manuel avec des feuilles de calcul pour identifier les nombreux conflits liés aux accès superflus et aux séparations des tâches. En l’absence de ressources ou d’outils GRC, l’extraction des données relatives aux autorisations de rôle lui prenait plusieurs semaines. Au total, il lui a fallu six mois pour réviser des centaines de milliers de lignes afin d’identifier chaque risque de conformité et être prêt pour l’audit. Ce processus n’était pas viable et l’a conduit à utiliser les solutions Soterion.
La première raison est généralement pour des questions d’audit. De nombreuses réglementations en matière d’audit, telles que Sarbanes Oxley (SOX) et JSOX, exigent que les organisations répertoriées exécutent des révisions des accès utilisateurs à intervalles réguliers, généralement une fois par an.
Avant d’aller plus loin, rappelons-nous des objectifs des révisions des accès utilisateurs :
Au cours d’une année donnée, les demandes de modifications d’accès SAP seront simulées à l’aide d’une solution de contrôle d’accès. Les responsables hiérarchiques et les utilisateurs fonctionnels devront réviser les modifications proposées et implémenter les demandes approuvées dans SAP.
La fonction de la révision des accès utilisateurs est de vérifier que l’accès SAP est toujours valide à une date ultérieure. Par exemple, si une personne demande un accès à la transaction Créer des commandes d’achat (ME21N), le rôle approprié sera attribué à l’utilisateur, si celui-ci est approuvé. Si cette attribution a été accordée le 1er janvier 2020, qui peut dire si l’accès sera toujours pertinent pour cet utilisateur au 1er janvier 2021 ?
Par conséquent, la révision des accès utilisateurs donne à l’organisation l’opportunité de réexaminer l’accès d’un utilisateur pour confirmer qu’il est toujours pertinent et applicable (l’utilisateur peut avoir changé de poste ou de rôle depuis l’attribution du rôle). Un des avantages majeurs de la révision des accès utilisateurs est qu’elle limite toute dérive des autorisations SAP.
L’inconvénient pour beaucoup d’organisations est que la révision des accès utilisateurs est exécutée uniquement en vue de passer l’audit. La valeur de cette activité est donc remise en question, en particulier, le niveau d’effort requis par les utilisateurs fonctionnels pour exécuter une révision.
Il est impératif de changer la mentalité des utilisateurs fonctionnels et de passer d’un exercice d’audit « à cocher » à une activité utile permettant de gérer et résoudre les risques d’accès. Cela ne devrait pas être régi par un désir de réassurer les auditeurs, mais plutôt par un engagement envers la gestion des risques d’accès.
Cependant, pour accompagner ce changement de mentalité, les organisations doivent envisager plusieurs changements de processus afin de soutenir l’activité. Il est important que les organisations comprennent les défis auxquels les utilisateurs sont confrontés lorsqu’ils exécutent une révision des accès utilisateurs SAP. Si les utilisateurs estiment que le processus de contrôle d’accès est onéreux ou difficile, ils n’y adhéreront pas et le traiteront comme un exercice « à cocher ». Résultat : l’organisation ne tirera qu’une faible valeur de la révision des accès utilisateurs.
Outre s’assurer du soutien de l’équipe de direction, il est essentiel qu’un certain nombre d’aspects techniques soient pris en compte pour simplifier le processus pour les utilisateurs fonctionnels. Voici quelques éléments à prendre en considération :
Pour simplifier au maximum le processus de révision des accès utilisateurs pour les utilisateurs, il faut s’assurer que la conception des rôles SAP se prête à la simplification du processus. En général, les conceptions de rôles fonctionnels attribuent des noms de rôles plus descriptifs, ce qui permet aux utilisateurs de comprendre facilement le contenu des rôles SAP à réviser. Ils peuvent ainsi prendre une décision éclairée sur le caractère approprié ou non de l’accès pour l’utilisateur.
Rendre la conception de rôles plus descriptive peut, dans les faits, nécessiter une réorganisation complète des rôles. La migration de l’organisation vers S/4HANA peut être une excellente opportunité de réexaminer le cadre de sécurité et de prendre en compte une réorganisation des rôles plus conviviale et simple, afin de réduire l’effort nécessaire à la révision des accès utilisateurs.
Malheureusement, discuter des méthodologies des rôles SAP revient à discuter de religion et de politique. Les personnes se sont habituées à une méthodologie et n’apprécient pas vraiment d’en changer. La plupart des administrateurs de sécurité SAP comprennent une méthodologie des rôles dérivée et ont une compréhension limitée d’une méthodologie des rôles liée à une tâche ou une valeur (fonctionnelle/habilitante).
Ce type de méthodologie permet de distinguer l’accès transactionnel de l’accès au niveau de l’organisation. Cela signifie qu’il est nécessaire de créer moins de rôles et que bien moins de rôles sont attribués aux utilisateurs. Choisir une méthodologie des rôles avec moins d’attributions de rôles réduira l’effort requis par les utilisateurs fonctionnels pour exécuter une révision des accès utilisateurs.
Ce type de méthodologie permet de distinguer l’accès transactionnel de l’accès au niveau de l’organisation. Cela signifie qu’il est nécessaire de créer moins de rôles, mais aussi que bien moins de rôles sont attribués aux utilisateurs. Choisir une méthodologie des rôles avec moins d’attributions de rôles réduira l’effort requis par les utilisateurs fonctionnels pour exécuter une révision des accès utilisateurs.
Les utilisateurs fonctionnels qui exécutent une révision des accès utilisateurs portent plus d’attention aux rôles SAP attribués aux utilisateurs qui contribuent aux risques de violations d’accès. Si l’entreprise a réalisé un projet de personnalisation de l’ensemble de règles, il est probable qu’elle ait défini un ensemble de règles plus adapté et précis.
Une version préliminaire d’ensemble de règles relatives aux risques d’accès est un excellent outil pour conseiller les utilisateurs fonctionnels sur les risques d’accès applicables à leur secteur. En acquérant une meilleure compréhension de chacun des risques d’accès de l’ensemble de règles, les utilisateurs fonctionnels peuvent prendre des décisions plus éclairées lors de la révision des accès utilisateurs, afin de déterminer si un accès est approprié ou non.
Exécuter une révision des accès utilisateurs dans une feuille de calcul s’avère souvent complexe. Même si le réviseur peut voir les rôles attribués aux utilisateurs, les feuilles de calcul manquent souvent d’informations sur les utilisations et les risques. Cela entraîne la suppression de rôles avec des codes de transaction d’un utilisateur (accès requis par l’utilisateur pour accomplir ses tâches). Ce qui provoque l’interruption des opérations et la réattribution de la plupart des accès supprimés à l’utilisateur immédiatement après la révision des accès utilisateurs.
En utilisant une solution «centrée business» pour la révision des accès utilisateurs, les utilisateurs fonctionnels peuvent prendre des décisions plus éclairées à l’aide des informations sur l’utilisation des transactions utilisateurs et les risques d’accès.
L’un des grands avantages d’utiliser un outil pour faciliter la révision des accès utilisateurs est qu’il peut être configuré pour accélérer le processus. Par exemple, une révision des accès utilisateurs peut être créée pour inclure uniquement les rôles qui contribuent aux risques d’accès, en réduisant le nombre d’attributions de rôles à réviser. Autre exemple, la création d’une révision des accès utilisateurs qui marque les rôles « approuvés » précédemment de façon à ce que l’accent soit mis sur les nouvelles attributions effectuées depuis la dernière révision. Afin que les réviseurs exécutent une révision des accès utilisateurs correctement, il est important que la solution convertisse le langage technique des rôles SAP en un langage compréhensible pour les utilisateurs fonctionnels.
Si vous utilisez des rôles composites ou utilisateurs SAP, envisagez de fractionner la révision en une révision des accès utilisateurs et une révision du contenu des rôles.
Révision du contenu des rôles : un propriétaire de rôles révise le contenu du rôle composite ou utilisateur SAP.
Révision des accès utilisateurs : un responsable hiérarchique révise les attributions de rôles au niveau du rôle composite ou utilisateur SAP. Il ne révise pas les rôles individuels SAP sous-jacents mais vérifie simplement si le rôle composite ou utilisateur est approprié pour l’utilisateur.
Au lieu d’exécuter une grande révision annuelle des accès utilisateurs, au cours de laquelle tous les accès utilisateurs sont révisés, voyez s’il est possible de la diviser en révisions itératives plus petites tout au long de l’année. Elle peut être divisée par :
Géographie : révision des accès utilisateurs effectuée par région.
Niveau de risque : révision des accès utilisateurs effectuée par niveau de risque.
Module SAP : révision des accès utilisateurs effectuée par module SAP.
Il est important de garder à l’esprit le défi que représente la lassitude liée aux certifications, lorsque les réviseurs se plaignent du temps et de l’effort requis pour exécuter une révision des accès utilisateurs.
Periodic Review Manager, un produit de la suite Soterion, est une solution conviviale qui permet aux utilisateurs fonctionnels de réviser périodiquement vos risques d’accès utilisateurs SAP dans vos systèmes SAP de façon simple et efficace. Cette procédure vous permet d’améliorer la visibilité de votre environnement GRC et peut être une obligation réglementaire en matière d’audit pour votre organisation.
Si vous souhaitez en savoir plus sur les outils GRC pour SAP de Soterion, consultez les fonctionnalités et témoignages clients ici : https://www.epiuselabs.com/fr/soterion
Pour demander une démonstration avec l’un de nos experts : https://www.epiuselabs.com/request-a-soterion-demo
Soterion est leader sur le marché de la GRC centrée sur l’entreprise. En convertissant le langage technique GRC en un langage compréhensible par les utilisateurs fonctionnels, Soterion simplifie l’adhésion et la responsabilité de l’entreprise. En savoir plus sur la large gamme de solutions GRC de Soterion utilisée
par les marques leader ‒ Endeavor, Aker Solutions et Compass Group pour n’en nommer que quelques-unes ‒ ou demander une démonstration avec l’un de nos experts.