SAP GRC Access Control - usf.fr · PDF fileOrganisation du questionnaire Atelier GRC USF - 7...
Transcript of SAP GRC Access Control - usf.fr · PDF fileOrganisation du questionnaire Atelier GRC USF - 7...
1er Baromètre Français SAP GRC Access Control Etat des lieux des pratiques et des attentes des entreprises
Groupe de travail GRC
Convention USF Lyon, 7 octobre 2015
Atelier GRC USF - 7 octobre 2015 2
Présentation des intervenants
Benjamin GOURDON
Associé/Partner
M : +33 670 957 026
Philippe THIERRY MIEG
Responsable Contrôle interne et GRC
Direction Financière / AMOA SI
Finance
Eric BLANC
RSSI
Atelier GRC USF - 7 octobre 2015 3
Le Groupe de Travail GRC de l’USF
Groupe de travail rattaché à la Commission Organisation et gouvernance de l’USF, lancé en Novembre 2014, avec l’objectif de fédérer les échanges des membres de l’USF autour des sujets GRC et les retours d’expérience sur la mise en œuvre de la solution GRC Access control de SAP • Groupe comptant une 20aine de membres. Principales entreprises représentées :
AREVA, APHP, EDF, ENGIE, SANOFI, L’OREAL, AF-KLM, AIRBUS, SAFRAN, AIR LIQUIDE, FAURECIA, SEPHORA, STEF…
Thèmes abordés • La matrice de risques (Janvier 2015)
• Le reporting autour de AC (Mars)
• La gestion des « super utilisateurs » et la mise en œuvre du module SPM-Firefighter (Mai)
• Le processus de gestion d’accès SAP (Septembre)
Contribution active du groupe au Topic GRC ouvert par SAP en 2015 dans le cadre de son programme Influence • 106 demandes postées, dont 76 qualifiées. Pour en savoir plus :
https://influence.sap.com/GRCAccessControl2015
• Contact USF : Barbara WEISS
Agenda
Atelier GRC USF - 7 octobre 2015 4
Présentation Projet
1er Baromètre SAP GRC
(partie 1)
REX APHP Matrice des
risques 1er Baromètre SAP GRC
(partie 2)
REX AREVA Gestion des
accès
Q & A
Pourquoi ce projet avec Inventy ?
Atelier GRC USF - 7 octobre 2015 5
Livre Blanc sur l’Audit des systèmes SAP
Groupe de Travail SAP GRC
Expertise en Sécurité SAP
L’expérience du livre blanc sur SAP Solution Manager
Approche globale de la sécurité SAP
Pourquoi Inventy ?
Titre présentation 6
MAKING SAP FAST, SAFE & COST-EFFECTIVE
Pourquoi Inventy ?
Titre présentation 7
1 projet – 2 livrables
Atelier GRC USF - 7 octobre 2015 8
1er Baromètre français SAP GRC Access Control
Un recueil de bonnes pratiques
Des points de vigilances et des limites identifiées
Des retours d’expériences concrets de clients
Un benchmark sur un panel représentatif de client SAP
V1, basée sur les réponses des membres du GT, présentée aujourd’hui
Volonté d’étendre le périmètre et pérenniser la démarche
Livre blanc (Printemps USF 2016)
Le livre blanc
Atelier GRC USF - 7 octobre 2015 9
Livre blanc « Sécurité des accès et des données »
Il s’organise autour de 3 grands axes d’études qui seront traités avec une vision opérationnelle, et structurés par la démarche projet (conception / mise en œuvre / maintenance et évolution)
Les risques fondamentaux : séparation de fonctions et critiques
La sécurité des autorisations et des accès
La sécurité des données
Organisation du questionnaire
Atelier GRC USF - 7 octobre 2015 10
QUESTIONNAIRE En ligne
Diffusé aux membres du
Groupe de Travail SAP
GRC AC (20 sociétés
interrogées)
Ouverture à
tous les
membres de
l’USF
Ouverture à toutes les
sociétés utilisatrices de la
solution SAP GRC AC (avec
la collaboration de SAP
France)
1
2 3
Pour répondre au questionnaire : https://docs.google.com/a/inventy-
consulting.com/forms/d/15MPvn2GKUDnsluoDDDfXAJ6XSzHkF-7nUa-fxVprGEQ/viewform
Quelle version de SAP GRC ?
Atelier GRC USF - 7 octobre 2015 11
La solution GRC 5.3 était souvent
mutualisée avec le système SAP
Solution Manager. La version 10.X prend
une réelle place dans le paysage système
des clients.
Environ 1/3 des entreprises françaises
sondées n’ont pas migrées vers la
version 10.X malgré une fin de
maintenance de la version 5.3 en
décembre 2015
Le passage de la version 5.3 à la 10.X
n’est pas un simple upgrade GRC, il faut
prendre en compte des contraintes
d’architectures.
Utilisation des modules GRC AC
Atelier GRC USF - 7 octobre 2015 12
1 entreprise sur 2 n’a mis en place que les modules « principaux » de la suite SAP GRC Access Control pour répondre aux exigences des auditeurs, et n’a connecté GRC qu’aux environnements productifs.
Il est important de contrôler la conformité des autorisations SAP depuis les environnements amonts (développements) afin de prévenir les risques avant le passage en production. Il est préconisé que la plateforme GRC puisse contrôler l’ensemble du paysage système.
Le module Business Role Management, rencontrant de nombreux dysfonctionnement dans les précédentes versions, n’a pas été déployé. Cependant, le retour au socle ABAP ouvre de nouvelles perspectives et possibles opportunités pour les entreprises.
Seulement 40% sont allées plus loin en automatisant la gestion des accès SAP au travers de Access Request Management (ARM) pour prévenir les risques SoD
Adéquation de la solution aux besoins
Atelier GRC USF - 7 octobre 2015 13
89% des entreprises se sont appuyées sur la matrice
des risques SoD proposée par SAP. Cette matrice,
élaborée avec des cabinets d’audit, couvre les
principaux risques de SoD et les décline en fonctions
métiers incluant déjà toutes les transactions standard.
C’est un puissant accélérateur.
Il est recommandé de la revoir en partant des fonctions
présentées pour définir l’ensemble des risques et les
niveaux de criticités associés
Cependant, celle-ci ne peut répondre à l’ensemble des
risques des entreprises, elle sert de référence pour
donner les principes généraux mais doit être revue et
complétée pour s’adapter au contexte et aux enjeux et
risques de chaque entreprise.
Agenda
Atelier GRC USF - 7 octobre 2015 14
Présentation Projet
1er Baromètre SAP GRC
(partie 1)
REX APHP Matrice des
risques 1er Baromètre SAP GRC
(partie 2)
REX AREVA Gestion des
accès
Q & A
APHP : Matrice des risques
Atelier GRC USF - 7 octobre 2015 15
Eric BLANC
RSSI M : +33 148 042 267
La « robotisation » du contrôle des accès
ARA
EAM
BRM
ARM
La matrice : la base de connaissance du système
La robotisation du contrôle des accès
Communication
Fonctionnelle
Métier
Technique
Audit
Analyse Corriger
Recherche
anomalie
Matrix des risques
Programmation des règles que nous souhaitons que
le système surveille, effectue, alerte, simule et des
périmètres et objets à prendre en compte …
La connaissance dans le système GRC/Access
La robotisation du contrôle des accès
BRM Fabrication des rôles
Métiers (Business Rôles),
Vérification des rôles
existants, simulation des
modifications de rôles….
ARM Workflow habilitations,
vérifications risques, multi
plateformes, alertes,
validations multiples et
parallèles….
EAM Accès super
utilisateurs, traces,
alertes….
ARA Analyses, recherche
anomalies rôles
et/ou utilisateurs
et/ou multi
systèmes….
AVM …
IM…
Bull S. 9
La Matrice une approche gestion des risques
La robotisation du contrôle des accès
Processus métier
Processus d'approvisionnement
Fonction FI04
Gérer des données bancaires de base
Fonction AP01
Paiements de la comptabilité four.
Transactions
FI01 ….
Transactions
F110 ….
Risque
F005
Objets d’autorisatio
ns ….
Objets d’autorisatio
ns F_BKPF_BUK
….
SAP ECC, HRAccess, SAP BI, SAP Campus
Fonctions FA* : Fixed Assets (Immos)
Fonctions FI* : Finance
Fonctions AP*: Comptabilité auxiliaire
fournisseurs(Accounts payable)
Fonctions PR* : Gestion des achats et
approvisionnements (Provisioning)
Fonctions MM* : Gestion des articles(Materials
Management)
Fonctions GL* : Comptabilité générale(General
ledger)
Fonctions AR* : Comptabilité auxiliaire clients
(Accounts receivable)
Fonctions SD* : Sales and Distribution
(Administration des ventes)
Fonctions HR* : gestion RH dossier administratif
Fonctions PY* : gestion RH paie
Risques F* : Risques liés au domaine comptabilité
(Finance )
Risques P* : Risques liés au domaine de la commande
d’achat au paiement (Procure to Pay )
Risques M* : Risques liés à la gestion des articles
(Materials)
Risques S* : Risques liés au domaine de la commande
client à l’encaissement (Order to Cash)
Risques H* : Risques liés au domaine ressources
humaines
GRC AC : Une communication transversale
La robotisation du contrôle des accès
Maintenir la matrice des
risques
Analyser et
Prioriser les
risques liés
aux différents
processus
Construire les plans
d’actions et les
implémenter
Communique
r sur les
changements
Maintenir
Prévenir
Analyser
Prioriser
Construire
Communiquer
INFORMATIQUE
AUDITEURS
FINANCES
CONTROLE INTERNE
☺Un langage que l’on peut
partager pour une objectif
commun ;
☺Des rôles compréhensibles
par tous ;
☺Un système qui doit être
connecté pour remplir sa
fonction d’efficience (en amont
et en aval) ;
☺Faire vivre la connaissance
intégrée pour en améliorer
l’efficacité ;
☺Ne peut pas être fait dans la
précipitation.
Agenda
Atelier GRC USF - 7 octobre 2015 20
Présentation Projet
1er Baromètre SAP GRC
(partie 1)
REX APHP Matrice des
risques 1er Baromètre SAP GRC
(partie 2)
REX AREVA Gestion des
accès
Q & A
Résultats obtenus et implications
Atelier GRC USF - 7 octobre 2015 21
La mise en œuvre de la solution SAP GRC Access
Control et la revue des accès utilisateurs permet de
réduire drastiquement les risques utilisateurs de
plus de 70%.
Le risque « 0 » n’existe (presque) pas, il ne faut pas
vouloir couvrir les risques à tout prix, en « masquant »
par des contrôles compensatoires fictifs des risques
La généralisation des accès étendus comme axe de
remédiation des risques est à manier avec prudence
L’étude des risques au niveau des utilisateurs
représente une charge de travail importante estimée en
30 à 35 JH pour une entité de 100 utilisateurs avec en
générale plus de 20 ateliers de travail.
Agenda
Atelier GRC USF - 7 octobre 2015 22
Présentation Projet
1er Baromètre SAP GRC
(partie 1)
REX APHP Matrice des
risques 1er Baromètre SAP GRC
(partie 2)
REX AREVA Gestion des
accès
Q & A
AREVA : Le processus de gestion des accès utilisateurs SAP
Atelier GRC USF - 7 octobre 2015 23
Philippe THIERRY MIEG
Manager for Training &
Communication + Administration &
Control Dp M : +33 134 961 253
Areva Segregation of Tasks & Roles OptimizationAreva Segregation of Tasks & Roles Optimization
Le processus de gestion d’accès SAP (avec ARM)
Atelier GRC USF - 7 octobre 2015 24
Les acteurs du processus
Atelier GRC USF - 7 octobre 2015 25
Gestionnaire d'accès
Il est responsable de la gestion des accès SAP (et des rôles et autorisations correspondants) pour un ou plusieurs groupe utilisateurs SAP. Sa mission est de "qualifier" le besoin métier et faire la demande correspondante dans ARM, dans le respect des procédures et règles groupe en matière d'accès SAP. Il a un rôle d'alerte en cas de conflit ASTRO et d'assistance à leur analyse et résolution.
Role Owner (Propriétaire de rôle)
Il est responsable de contrôler l'attribution à bon escient et à des personnes "autorisées" de rôles considérés comme "critiques" ou "sensibles" de par les transactions auxquels ils donnent accès. Sont concernés principalement les domaines suivants : Finance, Achat, IT, Administration des données de base.
SOD Manager
Il est garant du respect des principes de séparation de fonctions dans SAP, et à ce titre doit valider toute demande faisant ressortir un "conflit ASTRO". Sa mission est de s'assurer que cette demande est bien justifiée par les besoins métiers et cohérente avec l'organisation et les procédures de l'entité et du groupe, et que le risque découlant du conflit ASTRO est "acceptable". Il définit le cas échéant les mesures de "contrôle compensatoire" pouvant être mises en place dans l'entité pour limiter le risque.
Manager
Il est le responsable hiérarchique ou fonctionnel de l'utilisateur faisant l'objet de la demande d'accès, qu'il doit donc valider. Les conflits ASTRO dans son périmètre lui sont remontés.
Points clés et bonnes pratiques
ARM est une brique très intéressante de la solution GRC • Son utilisation, couplée à ARA, permet d’embarquer la GRC dans le processus
de gestion d’accès day to day, et donc de prévenir les conflits plutôt que de les remédier a posteriori
• La fonctionnalité de workflow facilite l’intégration des managers et du contrôle interne dans le processus, et permet de les responsabiliser et sensibiliser
• Il apporte des fonctionnalités qui sont des leviers de productivité : provisioning automatique, reset pw
Développer des « business roles » pour faciliter l’appropriation de la solution par les utilisateurs et managers
Connecter ARM au LDAP
Possibilité de développer des « modèles » et des « rôles associés », de faire des « copie »
Différencier environnements de Production / Non prod
Mettre en place une procédure de revue/certification des accès (au moins une fois par an)
Atelier GRC USF - 7 octobre 2015 26
Initiatives et porteurs de projets
Atelier GRC USF - 7 octobre 2015 27
90% des projets de contrôle des principes de
ségrégation des tâches sont dictés par les
recommandations des auditeurs externes
La Communication et l’implication des métiers et du
contrôle interne sont les principaux facteurs de succès
d’un projet GRC
Les projet SAP GRC AC sont principalement à
l’initiative du contrôle interne aidé de la DSI.
Initiatives et porteurs de projets
Atelier GRC USF - 7 octobre 2015 28
44% des projets SAP GRC Access Control ont
nécessité une refonte de la solution autorisations. Il
est plus simple de reconstruire un modèle autorisation
respectant des bonnes pratiques sur la qualité, la
maintenabilité et la sécurité que de vouloir adapter un
existant.
La responsabilité des projet SAP GRC AC sont portés à
40% par les DSI seules. Seulement 25% des projets
sont en responsabilité partagée entre le Contrôle
Interne et la DSI
Q&A
Atelier GRC USF - 7 octobre 2015 29
?
? ?