Produits

Plate-forme Archer de gestion intégrée des risques (IRM)

Conversion de la sécurité de S/4 Hana

Sécurité SAP

Soutien

Une plateforme SAP sécurisée est un élément clé pour garantir le bon fonctionnement des processus d’entreprise supportés par le système et la sécurité des données qui y sont stockées et traitées. Notre approche consiste à examiner la sécurité SAP sous plusieurs angles : le module BASIS(audit de sécurité SAP), les processus d’entreprise(contrôles automatiques, configurables et intégrés), le niveau correct d’accès des utilisateurs(révision des privilèges et utilisation d’outils de type GRC). Nous proposons également des cours de formation et des ateliers dédiés aux employés de l’entreprise afin d’améliorer leurs connaissances des meilleures pratiques liées à la sécurité du système SAP. Grâce à nos nombreuses années d’expérience dans le domaine de la sécurité SAP, nous sommes en mesure de soutenir nos clients dans tous les aspects de ce domaine.

Conversion de la sécurité de S/4 Hana

Pendant la transition de SAP ECC à S/4HANA, l’architecture sous-jacente et les modèles de données changent de manière significative. Cela peut affecter la façon dont l’accès et les autorisations des utilisateurs sont gérés dans le nouveau système. Il est donc important de revoir et de mettre à jour la sécurité et les autorisations pendant le processus de conversion vers S/4 Hana afin qu’elles soient compatibles avec la nouvelle architecture du système et qu’elles répondent aux exigences de votre organisation.

S/4HANA introduit de nouvelles fonctionnalités et capacités qui nécessitent de définir de nouvelles autorisations. Par exemple, les nouvelles applications Fiori peuvent nécessiter des autorisations pour des rôles d’utilisateur spécifiques. Il est donc important de revoir et de mettre à jour les autorisations dans le contexte des nouvelles capacités du système. Lors de la conversion vers S/4HANA, il y a plusieurs questions clés de sécurité et d’autorisation à prendre en compte :

  • Examiner et mettre à jour les rôles et autorisations des utilisateurs : S/4HANA introduit de nouvelles fonctionnalités et capacités qui nécessitent la définition de nouvelles autorisations. Il est donc important de revoir et de mettre à jour les rôles et les autorisations des utilisateurs dans le contexte des nouvelles fonctionnalités du système. Cela permettra de s’assurer que les utilisateurs disposent de l’accès nécessaire pour accomplir leurs tâches, tout en minimisant le risque d’accès non autorisé.
  • Examiner et mettre à jour les contrôles de séparation des tâches (SoD) : S/4HANA peut introduire de nouveaux processus d’entreprise et de nouvelles transactions qui nécessitent la mise en œuvre de nouveaux contrôles SoD. Il est donc important de revoir et de mettre à jour les contrôles SoD dans le contexte des nouvelles capacités du système.
  • Former les utilisateurs aux nouvelles fonctionnalités de sécurité et d’autorisation : Les utilisateurs peuvent avoir besoin d’une formation sur les nouvelles fonctionnalités de sécurité et d’autorisation dans S/4HANA, telles que l’utilisation de l’application Fiori et les nouvelles autorisations. Il est important de s’assurer que les utilisateurs sont conscients des changements apportés aux paramètres de sécurité et d’autorisation et de la façon dont ils les affectent.

Les étapes techniques requises pour convertir une autorisation vers S/4HANA peuvent varier en fonction de l’architecture système et des exigences spécifiques de votre organisation. Néanmoins, voici quelques étapes que vous pouvez suivre pendant le processus de conversion :

  • Avant d’entamer le processus de conversion vers S4/Hana, il est important d’analyser soigneusement les concepts actuels en matière de rôles et d’autorisations. Cette analyse doit permettre d’identifier les conflits potentiels, les redondances ou les inefficacités des concepts d’autorisation existants. Il est utile d’examiner l’utilisation des transactions et des programmes personnalisés correspondants pour identifier les transactions qui ne sont plus utilisées et qui devraient être retirées du système afin d’éviter leur transfert vers le nouveau S/4 Han. Un exemple est la restriction de l’accès à un objet spécifique dans la plupart des rôles tout en accordant un accès illimité au même objet dans un autre domaine d’activité, lorsque l’administrateur des autorisations ou le projet dédié n’était pas au courant des restrictions.
  • Ensuite, évaluez l’impact du processus de conversion vers S/4HANA sur les concepts d’autorisation, les rôles et les profils existants. À ce stade, il est utile d’identifier les rôles et les profils qui doivent être adaptés dans PFCG à l’aide du mode expert.
  • Sur la base de l’analyse effectuée avant le processus de conversion et de l’évaluation de l’impact de S/4HANA, un plan de conversion doit être élaboré. Ce plan doit identifier les rôles et les profils qui doivent être adaptés, les nouvelles autorisations qui doivent être définies et tout autre changement qui doit être effectué pour faire correspondre les concepts d’autorisation existants avec la nouvelle architecture du système.
  • Personnaliser les rôles et les profils – dans le système S/4HANA, cela peut inclure la suppression des redondances, l’optimisation des attributions d’autorisations et la définition de nouveaux rôles et profils. Avant la personnalisation, il est important de nettoyer (mettre à jour) les liens entre les transactions et les programmes à l’aide des transactions SU25 et des étapes de processus individuelles 2a, 2b et 2c. Veillez à mettre à jour la définition technique de la matrice de séparation des tâches SoD actuelle pour refléter les changements résultant de la transformation de la sécurité et des autorisations dans S/4HANA.
  • Ensuite, définissez de nouvelles autorisations – à mesure que S/4HANA introduit de nouvelles caractéristiques et fonctionnalités, il est nécessaire de définir de nouvelles autorisations dans le modèle de rôle actuel et dans la matrice SoD qui protège votre concept d’autorisation.
  • Tester les nouveaux droits – une fois que vous avez défini les nouveaux droits, testez-les minutieusement pour vous assurer qu’ils fonctionnent comme prévu et qu’ils répondent aux exigences de l’entreprise. Veillez à ce que vos rapports SOD définissent les risques SOD actuels, qui incluent les changements résultant de la conversion à S/4 HANA.
  • Formation des utilisateurs : Les utilisateurs doivent être formés aux nouveaux concepts de permissions, de rôles et de profils afin de s’assurer qu’ils comprennent les changements et la manière dont ils sont affectés par ceux-ci.
gh/hana

Notre service de conversion de la sécurité et des permissions S/4 aide les organisations à optimiser les paramètres de sécurité et l’accès des utilisateurs au cours du processus de conversion vers S/4HANA. Il comprend une analyse complète avant la conversion, une évaluation de l’impact S/4HANA, le développement d’un plan de conversion, la personnalisation des rôles et des profils, la définition de nouvelles permissions, les tests et la formation des utilisateurs. Notre équipe possède une vaste expérience dans la conversion des permissions vers S/4HANA et est au fait des dernières fonctionnalités et des meilleures pratiques en matière de sécurité. Nous avons réalisé plus d’une douzaine de projets de ce type à ce jour et serions heureux d’organiser une réunion avec nos clients pour discuter des détails.

Contactez-nous dès aujourd’hui pour en savoir plus sur la façon dont notre service de conversion de la sécurité et des droits S/4 peut aider votre organisation dans sa transformation numérique.

Sécurité SAP

Une approche globale de la sécurité SAP nécessite une vision holistique des processus d’une organisation. La base est toujours la création d’une stratégie de sécurité appropriée, fournissant des lignes directrices de haut niveau qui permettent la construction de processus de gestion des accès cohérents et, par conséquent, la structuration des activités opérationnelles et d’autorisation dans le système SAP.

Audit des droits

Une partie importante de l’évaluation de la sécurité consiste à vérifier et à déterminer l’état actuel du système. La vérification des droits des utilisateurs actuels sur le système est fondamentale pour une telle évaluation. Ce processus peut concerner aussi bien les utilisateurs professionnels que les employés des services informatiques et les sous-traitants.

L’audit est effectué sur la base de matrices deséparation des tâches prédéfinies fournies par notre société. Nous recommandons toutefois d’adapter ces matrices aux circonstances spécifiques de l’entreprise. Selon la situation, l’analyse est effectuée hors ligne ou en ligne, sur la base des données d’autorisation collectées à partir des systèmes SAP. Le résultat de l’audit est un rapport résumant le nombre actuel de conflits réels et d’accès critiques dans le système, ainsi que des recommandations pour améliorer la situation actuelle.

Audit de configuration

Une partie importante de l’évaluation de l’état actuel du système consiste à examiner la configuration de la sécurité pour les domaines BASIS clés et les paramètres SAP. Cela est essentiel pour diagnostiquer le niveau de sécurité SAP et pour identifier et traiter les vulnérabilités potentielles du système. En identifiant et en éliminant ces éléments par nos experts, l’organisation sera parfaitement prête pour tout audit de sécurité, qu’il soit dédié ou réalisé à des fins d’audit.

Création de rôles et d’autorisations dans SAP

S’appuyant sur des compétences en matière d’audit et sur les connaissances des consultants en modules, notre société propose des services dans le domaine du redéveloppement des rôles et des autorisations dans SAP – depuis l’élaboration d’un concept commercial pour les rôles en tenant compte des matrices SoD (Segregation of Duties) jusqu’à l’implémentation technique des rôles dans les systèmes SAP et l’assistance après l’implémentation. Notre proposition se distingue par une approche globale qui tient compte à la fois des exigences internes de l’ entreprise et des réglementations externes.

Cette approche permet à l’organisation d’atteindre les objectifs commerciaux du projet et de se conformer aux exigences légales. La prise en compte de ces deux aspects permet de réduire considérablement le coût de la maintenance du catalogue des rôles, tout en minimisant les risques juridiques et financiers liés à la non-conformité aux réglementations en vigueur.

Examen et certification des droits

L’un des plus grands défis auxquels sont actuellement confrontés les responsables des autorisations dans les systèmes SAP est la question de la révision et de la certification des autorisations. La nature spécifique de l’autorisation dans SAP et le nombre souvent élevé d’utilisateurs dans le système signifient que le temps d’une telle révision et la charge de travail nécessaire pour l’effectuer sont très souvent inacceptables. Dans les cas extrêmes, le processus n’est pas exécuté dans sa totalité ou pas du tout. Grâce à notre expérience, nous sommes en mesure d’optimiser les processus d’examen des droits et de les automatiser à l’aide d’outils de classe GRC (SAP GRC, smartGRC). La révision et la certification des droits étant des processus répétitifs, l’optimisation dans ce domaine peut se traduire par des économies significatives dans l’utilisation des ressources internes – tant de la part de l’IT qui prépare la révision que de la part des départements commerciaux, qui sont souvent responsables de la vérification des droits.

Soutien

Le renforcement de la sécurité et des autorisations SAP sont des processus directement influencés par les audits, la mise en œuvre de nouvelles fonctionnalités ou les changements dans l’environnement juridique. L’adaptation d’une organisation à de nouvelles exigences est une activité qui nécessite une connaissance approfondie du domaine et des meilleures pratiques du marché.

En réponse à ces défis, nous offrons un service pour soutenir les équipes de sécurité de SAP:

  • Création et autorisation de rôles SAP – analyse et conception de catalogues de rôles, mise en œuvre technique des rôles, aide au test des rôles, assistance après la mise en œuvre.
  • Soutien à la mise en œuvre de nouvelles exigences pour le catalogue de rôles actuel – par exemple, restriction de l’accès aux données personnelles, mise en œuvre de la séparation des tâches (SoD), suppression de l’accès critique.
  • Soutien à la migration vers S/4HANA – adaptation des catalogues de rôles existants aux exigences de S/4HANA, évaluation et mise en œuvre des changements apportés aux matrices de séparation des tâches (SoD).
  • Mise en œuvre et soutien d’ outils GRC tels que smartGRC, SAP GRC et autres – mise en œuvre de fonctionnalités et de domaines supplémentaires, traitement des erreurs, soutien aux utilisateurs.
  • Élaboration et modification des matrices deséparation des tâches (SoD) – analyse de la situation actuelle et des exigences du client, cartographie des transactions, mise en œuvre des modifications de la matrice, tests.
  • Soutien aux utilisateurs – traitement des tickets, préparation de rapports et d’analyses, soutien pendant les analyses de la SoD, examen et certification des autorisations.

Formes de coopération

Embauche de consultants

Dans ce modèle de coopération, le consultant travaille à temps plein sous la direction du client et exécute les tâches que ce dernier lui confie. L’embauche de consultants est une option idéale pour les entreprises qui :

  • Elles ont des problèmes de personnel et ont besoin de travailleurs temporaires pour la période de recrutement.
  • Ils ne peuvent pas traiter tous les processus en raison de la concentration accrue des ressources sur les priorités de l’organisation.
  • Ils ne disposent pas des connaissances appropriées pour mener à bien les tâches qui leur sont confiées.

Soutien à la demande

Exécuté sur une base temps-matériel , ou sous forme de forfaits journaliers. Ce type de collaboration fonctionne bien lorsqu’une entreprise a besoin de résoudre des problèmes continus de GRC/autorisation et qu’elle ne souhaite pas engager des consultants permanents. Cette approche permet de réduire les coûts liés au recrutement et au développement d’une équipe.

SAP GRC

SAP Security & Authorizations

SAP GRC

Sécurité et autorisations SAP