1er Baromètre Français SAP GRC Access Control Etat des lieux des pratiques et des attentes des entreprises

Groupe de travail GRC

Convention USF Lyon, 7 octobre 2015

Atelier GRC USF - 7 octobre 2015 2

Présentation des intervenants

Benjamin GOURDON

Associé/Partner

M : +33 670 957 026

E: benjamin.gourdon@inventy.com

Philippe THIERRY MIEG

Responsable Contrôle interne et GRC

Direction Financière / AMOA SI

Finance

E: philippe.thierry-mieg@areva.com

Eric BLANC

RSSI

E: eric.blanc@aphp.fr

Atelier GRC USF - 7 octobre 2015 3

Le Groupe de Travail GRC de l’USF

Groupe de travail rattaché à la Commission Organisation et gouvernance de l’USF, lancé en Novembre 2014, avec l’objectif de fédérer les échanges des membres de l’USF autour des sujets GRC et les retours d’expérience sur la mise en œuvre de la solution GRC Access control de SAP • Groupe comptant une 20aine de membres. Principales entreprises représentées :

AREVA, APHP, EDF, ENGIE, SANOFI, L’OREAL, AF-KLM, AIRBUS, SAFRAN, AIR LIQUIDE, FAURECIA, SEPHORA, STEF…

Thèmes abordés • La matrice de risques (Janvier 2015)

• Le reporting autour de AC (Mars)

• La gestion des « super utilisateurs » et la mise en œuvre du module SPM-Firefighter (Mai)

• Le processus de gestion d’accès SAP (Septembre)

Contribution active du groupe au Topic GRC ouvert par SAP en 2015 dans le cadre de son programme Influence • 106 demandes postées, dont 76 qualifiées. Pour en savoir plus :

https://influence.sap.com/GRCAccessControl2015

• Contact USF : Barbara WEISS

Agenda

Atelier GRC USF - 7 octobre 2015 4

Présentation Projet

1er Baromètre SAP GRC

(partie 1)

REX APHP Matrice des

risques 1er Baromètre SAP GRC

(partie 2)

REX AREVA Gestion des

accès

Q & A

Pourquoi ce projet avec Inventy ?

Atelier GRC USF - 7 octobre 2015 5

Livre Blanc sur l’Audit des systèmes SAP

Groupe de Travail SAP GRC

Expertise en Sécurité SAP

L’expérience du livre blanc sur SAP Solution Manager

Approche globale de la sécurité SAP

Pourquoi Inventy ?

Titre présentation 6

MAKING SAP FAST, SAFE & COST-EFFECTIVE

Pourquoi Inventy ?

Titre présentation 7

1 projet – 2 livrables

Atelier GRC USF - 7 octobre 2015 8

1er Baromètre français SAP GRC Access Control

Un recueil de bonnes pratiques

Des points de vigilances et des limites identifiées

Des retours d’expériences concrets de clients

Un benchmark sur un panel représentatif de client SAP

V1, basée sur les réponses des membres du GT, présentée aujourd’hui

Volonté d’étendre le périmètre et pérenniser la démarche

Livre blanc (Printemps USF 2016)

Le livre blanc

Atelier GRC USF - 7 octobre 2015 9

Livre blanc « Sécurité des accès et des données »

Il s’organise autour de 3 grands axes d’études qui seront traités avec une vision opérationnelle, et structurés par la démarche projet (conception / mise en œuvre / maintenance et évolution)

Les risques fondamentaux : séparation de fonctions et critiques

La sécurité des autorisations et des accès

La sécurité des données

Organisation du questionnaire

Atelier GRC USF - 7 octobre 2015 10

QUESTIONNAIRE En ligne

Diffusé aux membres du

Groupe de Travail SAP

GRC AC (20 sociétés

interrogées)

Ouverture à

tous les

membres de

l’USF

Ouverture à toutes les

sociétés utilisatrices de la

solution SAP GRC AC (avec

la collaboration de SAP

France)

1

2 3

Pour répondre au questionnaire : https://docs.google.com/a/inventy-

consulting.com/forms/d/15MPvn2GKUDnsluoDDDfXAJ6XSzHkF-7nUa-fxVprGEQ/viewform

Quelle version de SAP GRC ?

Atelier GRC USF - 7 octobre 2015 11

La solution GRC 5.3 était souvent

mutualisée avec le système SAP

Solution Manager. La version 10.X prend

une réelle place dans le paysage système

des clients.

Environ 1/3 des entreprises françaises

sondées n’ont pas migrées vers la

version 10.X malgré une fin de

maintenance de la version 5.3 en

décembre 2015

Le passage de la version 5.3 à la 10.X

n’est pas un simple upgrade GRC, il faut

prendre en compte des contraintes

d’architectures.

Utilisation des modules GRC AC

Atelier GRC USF - 7 octobre 2015 12

1 entreprise sur 2 n’a mis en place que les modules « principaux » de la suite SAP GRC Access Control pour répondre aux exigences des auditeurs, et n’a connecté GRC qu’aux environnements productifs.

Il est important de contrôler la conformité des autorisations SAP depuis les environnements amonts (développements) afin de prévenir les risques avant le passage en production. Il est préconisé que la plateforme GRC puisse contrôler l’ensemble du paysage système.

Le module Business Role Management, rencontrant de nombreux dysfonctionnement dans les précédentes versions, n’a pas été déployé. Cependant, le retour au socle ABAP ouvre de nouvelles perspectives et possibles opportunités pour les entreprises.

Seulement 40% sont allées plus loin en automatisant la gestion des accès SAP au travers de Access Request Management (ARM) pour prévenir les risques SoD

Adéquation de la solution aux besoins

Atelier GRC USF - 7 octobre 2015 13

89% des entreprises se sont appuyées sur la matrice

des risques SoD proposée par SAP. Cette matrice,

élaborée avec des cabinets d’audit, couvre les

principaux risques de SoD et les décline en fonctions

métiers incluant déjà toutes les transactions standard.

C’est un puissant accélérateur.

Il est recommandé de la revoir en partant des fonctions

présentées pour définir l’ensemble des risques et les

niveaux de criticités associés

Cependant, celle-ci ne peut répondre à l’ensemble des

risques des entreprises, elle sert de référence pour

donner les principes généraux mais doit être revue et

complétée pour s’adapter au contexte et aux enjeux et

risques de chaque entreprise.

Agenda

Atelier GRC USF - 7 octobre 2015 14

Présentation Projet

1er Baromètre SAP GRC

(partie 1)

REX APHP Matrice des

risques 1er Baromètre SAP GRC

(partie 2)

REX AREVA Gestion des

accès

Q & A

APHP : Matrice des risques

Atelier GRC USF - 7 octobre 2015 15

Eric BLANC

RSSI M : +33 148 042 267

E: eric.blanc@aphp.fr

La « robotisation » du contrôle des accès

ARA

EAM

BRM

ARM

La matrice : la base de connaissance du système

La robotisation du contrôle des accès

Communication

Fonctionnelle

Métier

Technique

Audit

Analyse Corriger

Recherche

anomalie

Matrix des risques

Programmation des règles que nous souhaitons que

le système surveille, effectue, alerte, simule et des

périmètres et objets à prendre en compte …

La connaissance dans le système GRC/Access

La robotisation du contrôle des accès

BRM Fabrication des rôles

Métiers (Business Rôles),

Vérification des rôles

existants, simulation des

modifications de rôles….

ARM Workflow habilitations,

vérifications risques, multi

plateformes, alertes,

validations multiples et

parallèles….

EAM Accès super

utilisateurs, traces,

alertes….

ARA Analyses, recherche

anomalies rôles

et/ou utilisateurs

et/ou multi

systèmes….

AVM …

IM…

Bull S. 9

La Matrice une approche gestion des risques

La robotisation du contrôle des accès

Processus métier

Processus d'approvisionnement

Fonction FI04

Gérer des données bancaires de base

Fonction AP01

Paiements de la comptabilité four.

Transactions

FI01 ….

Transactions

F110 ….

Risque

F005

Objets d’autorisatio

ns ….

Objets d’autorisatio

ns F_BKPF_BUK

….

SAP ECC, HRAccess, SAP BI, SAP Campus

Fonctions FA* : Fixed Assets (Immos)

Fonctions FI* : Finance

Fonctions AP*: Comptabilité auxiliaire

fournisseurs(Accounts payable)

Fonctions PR* : Gestion des achats et

approvisionnements (Provisioning)

Fonctions MM* : Gestion des articles(Materials

Management)

Fonctions GL* : Comptabilité générale(General

ledger)

Fonctions AR* : Comptabilité auxiliaire clients

(Accounts receivable)

Fonctions SD* : Sales and Distribution

(Administration des ventes)

Fonctions HR* : gestion RH dossier administratif

Fonctions PY* : gestion RH paie

Risques F* : Risques liés au domaine comptabilité

(Finance )

Risques P* : Risques liés au domaine de la commande

d’achat au paiement (Procure to Pay )

Risques M* : Risques liés à la gestion des articles

(Materials)

Risques S* : Risques liés au domaine de la commande

client à l’encaissement (Order to Cash)

Risques H* : Risques liés au domaine ressources

humaines

GRC AC : Une communication transversale

La robotisation du contrôle des accès

Maintenir la matrice des

risques

Analyser et

Prioriser les

risques liés

aux différents

processus

Construire les plans

d’actions et les

implémenter

Communique

r sur les

changements

Maintenir

Prévenir

Analyser

Prioriser

Construire

Communiquer

INFORMATIQUE

AUDITEURS

FINANCES

CONTROLE INTERNE

☺Un langage que l’on peut

partager pour une objectif

commun ;

☺Des rôles compréhensibles

par tous ;

☺Un système qui doit être

connecté pour remplir sa

fonction d’efficience (en amont

et en aval) ;

☺Faire vivre la connaissance

intégrée pour en améliorer

l’efficacité ;

☺Ne peut pas être fait dans la

précipitation.

Agenda

Atelier GRC USF - 7 octobre 2015 20

Présentation Projet

1er Baromètre SAP GRC

(partie 1)

REX APHP Matrice des

risques 1er Baromètre SAP GRC

(partie 2)

REX AREVA Gestion des

accès

Q & A

Résultats obtenus et implications

Atelier GRC USF - 7 octobre 2015 21

La mise en œuvre de la solution SAP GRC Access

Control et la revue des accès utilisateurs permet de

réduire drastiquement les risques utilisateurs de

plus de 70%.

Le risque « 0 » n’existe (presque) pas, il ne faut pas

vouloir couvrir les risques à tout prix, en « masquant »

par des contrôles compensatoires fictifs des risques

La généralisation des accès étendus comme axe de

remédiation des risques est à manier avec prudence

L’étude des risques au niveau des utilisateurs

représente une charge de travail importante estimée en

30 à 35 JH pour une entité de 100 utilisateurs avec en

générale plus de 20 ateliers de travail.

Agenda

Atelier GRC USF - 7 octobre 2015 22

Présentation Projet

1er Baromètre SAP GRC

(partie 1)

REX APHP Matrice des

risques 1er Baromètre SAP GRC

(partie 2)

REX AREVA Gestion des

accès

Q & A

AREVA : Le processus de gestion des accès utilisateurs SAP

Atelier GRC USF - 7 octobre 2015 23

Philippe THIERRY MIEG

Manager for Training &

Communication + Administration &

Control Dp M : +33 134 961 253

E: philippe.thierry-mieg@areva.com

Areva Segregation of Tasks & Roles OptimizationAreva Segregation of Tasks & Roles Optimization

Le processus de gestion d’accès SAP (avec ARM)

Atelier GRC USF - 7 octobre 2015 24

Les acteurs du processus

Atelier GRC USF - 7 octobre 2015 25

Gestionnaire d'accès

Il est responsable de la gestion des accès SAP (et des rôles et autorisations correspondants) pour un ou plusieurs groupe utilisateurs SAP. Sa mission est de "qualifier" le besoin métier et faire la demande correspondante dans ARM, dans le respect des procédures et règles groupe en matière d'accès SAP. Il a un rôle d'alerte en cas de conflit ASTRO et d'assistance à leur analyse et résolution.

Role Owner (Propriétaire de rôle)

Il est responsable de contrôler l'attribution à bon escient et à des personnes "autorisées" de rôles considérés comme "critiques" ou "sensibles" de par les transactions auxquels ils donnent accès. Sont concernés principalement les domaines suivants : Finance, Achat, IT, Administration des données de base.

SOD Manager

Il est garant du respect des principes de séparation de fonctions dans SAP, et à ce titre doit valider toute demande faisant ressortir un "conflit ASTRO". Sa mission est de s'assurer que cette demande est bien justifiée par les besoins métiers et cohérente avec l'organisation et les procédures de l'entité et du groupe, et que le risque découlant du conflit ASTRO est "acceptable". Il définit le cas échéant les mesures de "contrôle compensatoire" pouvant être mises en place dans l'entité pour limiter le risque.

Manager

Il est le responsable hiérarchique ou fonctionnel de l'utilisateur faisant l'objet de la demande d'accès, qu'il doit donc valider. Les conflits ASTRO dans son périmètre lui sont remontés.

Points clés et bonnes pratiques

ARM est une brique très intéressante de la solution GRC • Son utilisation, couplée à ARA, permet d’embarquer la GRC dans le processus

de gestion d’accès day to day, et donc de prévenir les conflits plutôt que de les remédier a posteriori

• La fonctionnalité de workflow facilite l’intégration des managers et du contrôle interne dans le processus, et permet de les responsabiliser et sensibiliser

• Il apporte des fonctionnalités qui sont des leviers de productivité : provisioning automatique, reset pw

Développer des « business roles » pour faciliter l’appropriation de la solution par les utilisateurs et managers

Connecter ARM au LDAP

Possibilité de développer des « modèles » et des « rôles associés », de faire des « copie »

Différencier environnements de Production / Non prod

Mettre en place une procédure de revue/certification des accès (au moins une fois par an)

Atelier GRC USF - 7 octobre 2015 26

Initiatives et porteurs de projets

Atelier GRC USF - 7 octobre 2015 27

90% des projets de contrôle des principes de

ségrégation des tâches sont dictés par les

recommandations des auditeurs externes

La Communication et l’implication des métiers et du

contrôle interne sont les principaux facteurs de succès

d’un projet GRC

Les projet SAP GRC AC sont principalement à

l’initiative du contrôle interne aidé de la DSI.

Initiatives et porteurs de projets

Atelier GRC USF - 7 octobre 2015 28

44% des projets SAP GRC Access Control ont

nécessité une refonte de la solution autorisations. Il

est plus simple de reconstruire un modèle autorisation

respectant des bonnes pratiques sur la qualité, la

maintenabilité et la sécurité que de vouloir adapter un

existant.

La responsabilité des projet SAP GRC AC sont portés à

40% par les DSI seules. Seulement 25% des projets

sont en responsabilité partagée entre le Contrôle

Interne et la DSI

Q&A

Atelier GRC USF - 7 octobre 2015 29

?

? ?