sap-security-basics-e1465306143729

SAP Security régit les données et les processus auxquels les utilisateurs peuvent accéder dans un environnement SAP. Généralement, les utilisateurs ont uniquement les accès nécessaires à leur travail. Afin de comprendre les bases du fonctionnement de SAP Security, imaginez un entrepôt avec de nombreuses pièces verrouillées. Pour faire une tâche, un utilisateur doit entrer (et avoir accès à) la bonne pièce.

 

Le travail des SAP Security services est de s’assurer que chaque utilisateur n’a que les clés des salles auxquelles il est censé avoir accès. De cette façon, les employés ne peuvent endommager accidentellement les données auxquelles ils ne devraient pas avoir accès (ou potentiellement créer un problème en compromettant des données sensibles). Vous voulez en savoir plus ? Voici un petit guide sur les bases de SAP Security :

 

SAP Security, notions de base – Security comparée à GRC

SAP Security est différent de gouvernance, risque et conformité (GRC). GRC vérifie l’accès des utilisateurs pour identifier les problèmes liés aux privilèges ou au comportement des utilisateurs, puis il met en place un programme de provision conforme, implémenté à l’aide des outils de sécurité SAP.

SAP Security – principes de base du contrôle d’accès

SAP Security attribue des rôles aux utilisateurs. Chaque rôle permet aux utilisateurs d’exécuter certaines transactions (processus dans le système SAP). Lors de l’exécution d’une transaction, l’utilisateur obtient des autorisations pour effectuer des tâches spécifiques.

 

Dans les bonnes pratiques de sécurité SAP, les administrateurs créent un rôle standard pour chaque poste, qui peut ensuite être attribué à toute personne occupant ce poste. Par exemple, une entreprise peut créer un rôle de consultant financier qui permet à chaque consultant d’exécuter un ensemble de transactions liées aux limites de crédit et à d’autres tâches nécessaires pour leur travail. Chaque consultant recevrait l’autorisation de sécurité SAP HANA pour administrer les limites de crédit client, uniquement pour leurs propres clients. Cela permet aux consultants de faire leur travail, tout en minimisant les risques.

 

Pourquoi il est facile de se tromper sur les bases SAP Security

Les paramètres de SAP Security peuvent interagir de manière complexe et involontaire. Les autorisations sont partagées entre les transactions, de sorte que le partage de l’accès à une donnée données peut donner un accès par inadvertance ailleurs. Par exemple, un de nos clients avait précédemment accordé l’accès à un responsable pour voir l’évaluation de performance de son employé, mais il a fait erreur. Par conséquent, le responsable a pu voir leur propre évaluation avant qu’elle ne soit terminée.

 

Se tromper sur les bases de SAP Security peut avoir des effets beaucoup plus dommageables. Par exemple, si un responsable clientèle qui est supposé ne voir que les noms de clients a accidentellement accès à leurs informations de carte bancaire, cela peut entraîner une violation, un vol ou une fraude de PCI. En outre, certains types d’accès, tels que le débogage, permettent aux utilisateurs de contourner entièrement les contrôles d’accès, ce qui crée des risques majeurs s’ils ne sont pas gérés de manière appropriée.

 

Comment les services de SAP Security peuvent échouer au démarrage

De nombreux partenaires d’intégration considèrent SAP Security comme un obstacle. Ils veulent d’abord mettre le système en marche et ne veulent pas avoir à composer avec la création compliquée de rôles. Au lieu de prendre en compte les bases de SAP Security au stade de la planification, ils essaient de maîtriser les contrôles de sécurité une fois le projet construit, avec des résultats potentiellement désastreux.

 

Pour compliquer le problème, la plupart des tests sont effectués dans le système d’assurance qualité (AQ) où l’équipe de gestion de projet SAP a un accès illimité. Ne pas tester correctement en production peut entraîner des risques majeurs pour la sécurité SAP en donnant trop d’accès aux utilisateurs ou en paralysant l’entreprise en ne fournissant pas toutes les autorisations dont les utilisateurs ont besoin pour faire leur travail. Ces erreurs peuvent également augmenter les risques posés par des vulnérabilités de cybersécurité, puisque les pirates peuvent obtenir plus d’accès en détournant un compte.

 

Les contrôles de sécurité SAP sont une fonctionnalité, pas un bogue

Parce que Symmetry prend en charge à la fois la gestion de projet informatique et les services de long terme gérés informatiquement, nous comprenons l’importance d’une planification minutieuse et de tests approfondis. En intégrant des contrôles stricts de sécurité et de conformité dans la phase de planification, nous établissons une base solide pour les services de sécurité SAP à long terme.

 

Nous nous appuyons sur cette base après la mise en service, avec une surveillance 24 heures sur 24 et une réponse aux incidents, ainsi qu’un accès direct à une équipe de support SAP dédiée. Nos clients dorment mieux, sachant qu’en cas d’urgence, ils n’auront jamais à attendre ou à naviguer dans un menu d’aide.

 

Découvrez comment intercepter les vulnérabilités de sécurité SAP avec ControlPanelGRC Security Risk Assesment.