Cas client - SAP

Cas client - SAP
Grâce à Brainwave, notre client a pu cartographier, dans
SAP, les personnes et leurs habilitations, mettre en place
de nombreux contrôles de SoD et identifier des problèmes
de qualité des données et les risques associés aux droits
incompatibles.
Quelques chiffres
RH : +100 000 personnes
SAP : +10 000 comptes, +20 000
rôles
Active Directory : +400 000
comptes
30 contrôles de gestion
140 règles de SoD
1 intervenant Brainwave pour
une charge globale de 30 jours
répartis sur 4 mois
Notre client est un grand groupe du domaine de
la santé. Plus de 100 000 personnes y travaillent,
réparties sur plusieurs sites. Le système
d’information est complexe et constitué de
multiples applications : SAP, HR Access, Active
Directory mais aussi des applications spécifiques.
Les réglementations auxquelles notre client doit se
conformer vont toujours croissantes, notamment
en ce qui concerne la protection des données.
L’impact financier en cas de non-conformité est
important : il est donc essentiel de pouvoir faire des
analyses d’audit avant l’arrivée des auditeurs pour
pallier en amont les éventuels problèmes détectés.
Audit sur la zone SAP
Nettoyage des données
Rationalisation des
droits d’accès applicatifs
Dans un contexte d’accroissement des réglementations relatives à la
protection des données et face aux impacts financiers importants en cas
de non-conformité réglementaire, notre client a pris les devants et a fait
appel à Brainwave en 2012 dans le cadre d’une campagne de nettoyage
des données et de rationalisation des droits d’accès applicatifs.
Brainwave a été utilisé pour réaliser un audit sur la zone SAP. Cet audit
avait pour objectif de renforcer le contrôle interne, en particulier sur les
progiciels SAP et HR Access et d’apporter des garanties quant au respect
des règles de gestion, notamment en termes de séparation des tâches
entre ordonnateur et comptable.
Ces contrôles font partie des 22 contrôles qui ont été mis en place sur des
thématiques telles que la qualité des données, l’utilisation des licences, la
gestion des comptes, les règles de séparation des tâches et l’application
des décrets :
-- Comptes
dont les informations ne correspondent pas à celles
contenues dans les autres référentiels
-- Comptes appartenant à des utilisateurs partis et qui sont toujours
actifs, comptes inactifs...
-- Liste des rôles disposant de transactions incompatibles
-- Liste des comptes disposant de transactions incompatibles
-- Liste des ordonnateurs ayant un rôle de comptable
réciproquement)
-- Liste
élevés
(et
des utilisateurs possédant des rôles avec des privilèges
-- Liste des utilisateurs disposant de droits résiduels inutiles
-- ...
Une approche outillée
En 2011, un partenaire conseil de Brainwave a répondu à cette consultation.
Plusieurs autres acteurs se sont positionnés.
L’offre de notre partenaire a été retenue car elle proposait une approche
outillée par un produit complet et robuste qui répondait aux attentes :
-- Prise en charge des applications visées
-- Capacité à analyser de gros volumes de données
-- Fonctions d’analyse avancées (analyse des droits fins, croisement
des référentiels RH et des bases de comptes applicatifs, contrôles
de séparation des taches, …)
Un
travail en plusieurs
étapes pour traiter les
données à différents
niveaux de profondeur
Contrôle de la
cohérence des données
Identification des surallocations de droits
Mise en place des
contrôles de SoD
La première phase du projet a consisté à collecter et formaliser les
règles à contrôler et à réaliser des entretiens techniques pour rédiger les
spécifications des extractions attendues. La solution Brainwave a ensuite
été installée et paramétrée et les données des référentiels SAP, HR Access
et Active Directory ont été importées.
Le premier objectif a été de contrôler la cohérence des données entre le
référentiel HR Access et SAP : Est-ce que tous les comptes appartiennent
bien à des personnes ? Ces personnes sont-elles légitimes par rapport au
compte ? Pour répondre à cette seconde question, nous avons croisé les
données des utilisateurs avec les informations sur les départements dans
lesquels les personnes travaillent. Cela a permis de nettoyer les données
pour préparer la suite du projet.
Notre client a ensuite travaillé plus en profondeur pour identifier les surallocations de droits, par exemple les droits persistants après le départ
ou la mutation d’une personne. Pour cela, il a rapproché les données
présentes dans SAP et les périmètres de droits des sites.
Enfin, il a mis en place environ 130 contrôles de SoD (séparation des droits)
pour identifier les tâches incompatibles : est-ce qu’une personne peut à
la fois passer des commandes et effectuer des déclarations de services
faits ? Ou faire des réceptions de livraison et mettre à jour les états de
stocks ?
Lors
des
contrôles,
notre
client
a
pu
identifier de nombreuses
incohérences : rien
d’étonnant
dans
un
périmètre de plus de
100 000 personnes et de
plus de 20 000 rôles. Pour
traiter ces problèmes, les
fonctionnalités d’analyse de
Brainwave ont été mises à
contribution pour classifier
les problèmes et leurs
impacts afin d’établir une
liste de tâches permettant
d’optimiser
l’efficacité
opérationnelle des actions
de correction (règle des
80/20).
Un retour sur
investissement
immédiat
L’identification des problèmes a permis de déclencher des actions
correctrices et ainsi d’améliorer sensiblement la qualité des données et la
sécurité du Système d’Information. Un état des lieux exhaustif des droits
d’accès a pu être établi. Enfin, de nombreux comptes SAP non utilisés
ont été trouvé et ont donc pu être réattribués : ceci a constitué un levier
d’économie important et a permis un retour sur investissement immédiat.
Brainwave
Brainwave est l’éditeur de logiciels spécialiste du contrôle et de la
gouvernance des droits d’accès sur les systèmes d’information, lauréat du
prix de l’innovation des Assises de la Sécurité 2011, Gartner Cool Vendor
2013. Grâce à sa solution innovante de cartographie et de contrôle des
droits d’accès sur les systèmes d’information, Brainwave se met en place
en quelques jours et vous permet de savoir à chaque instant :
-- Qui travaille dans l’entreprise
-- Quels sont leurs droits d’accès
répertoires, vos données
sur vos applications, vos
-- Ce qu’ils ont fait
Et surtout d’identifier et de corriger automatiquement toutes les situations
à risque.
Ceci est rendu possible grâce à sa technologie d’analyse brevetée et à ses
algorithmes qui mettent en évidence et pilotent la correction des situations
anormales, des situations atypiques et des situations à risque.
Vous êtes ainsi en mesure de réduire significativement vos risques de
fraudes, vos risques de fuite d’information et d’assurer votre conformité
réglementaire à un coût optimal.
BRAINWAVE
38-42 rue Galliéni
92600 Asnières-sur-Seine
Tél. : +33 1 84 19 04 10
Fax. : +33 1 84 19 05 01
[email protected]
www.brainwave.fr