fbpx
skip to Main Content

SAP GRC EAMVous recevez un appel à 2 heures du matin qui vous informe que votre système SAP PGI (ERP) est tombé en panne en raison de conflits logiciels inexpliqués. Un développeur est disponible pour étudier le problème à condition que vous lui accordiez un accès d’urgence au système de production. Devriez-vous lui accorder cet accès ? Oui. Cette décision est simple à prendre. Il existe même un processus standard appelé « Gestion des accès d’urgence de SAP » (SAP EAM). Cependant, donner l’accès d’un système de production à un développeur vous expose potentiellement à des risques en termes de sécurité et de conformité. Résoudre le problème nécessite que la SAP EAM soit traitée dans le cadre des programmes de Gouvernance, Risques et Conformité (GRC). Nous appelons cela le SAP GRC EAM.

Qu’est-ce que le SAP GRC EAM ?

Pour comprendre les risques potentiels liés à la SAP EAM dans le contexte de la GRC, il est d’abord nécessaire de bien comprendre le fonctionnement de l’EAM. La SAP EAM est un ensemble de fonctionnalités, impliquant la plupart du temps des contrôles d’accès à SAP, qui permet aux utilisateurs finaux d’outrepasser leurs rôles traditionnels afin d’effectuer les tâches nécessaires pour résoudre une situation d’urgence. La SAP EAM est conçue pour affecter l’accès d’urgence dans un processus contrôlé et vérifiable. Par exemple, la SAP EAM enregistre toutes les activités de l’utilisateur lors de l’attribution de l’ID temporaire. Un certain nombre de flux de travail et de fonctions découlent du processus d’attribution et de suivi des rôles.

Tcode SAP GRC EAM

Il existe deux méthodes de base pour attribuer un accès d’urgence, également appelée session SAP « Firefighter ». La première méthode consiste à créer un identifiant utilisateur appelé « Firefighter ID » ou « FFID ». L’autre méthode consiste à créer un rôle « Firefighter » ou « FFRole ». De notre point de vue, l’approche FFID vous expose à un risque accru. Cela est dû au fait que les identifiants FFID se lient à des rôles spécifiques, chacun ayant ses propres Tcodes attribués. Si un utilisateur veut utiliser le rôle de manière abusive (c.-à-d, commettre une fraude), il peut alors exécuter des Tcodes à partir de son propre ID utilisateur, puis à partir du FFID. Seule une surveillance extrêmement approfondie permettrait d’attraper cette personne. En revanche, la création d’un FFRole avec les mêmes Tcodes crée un scénario dans lequel chaque action entreprise par l’utilisateur apparaîtra avec son ID utilisateur. Cela facilite la détection des utilisations abusives des informations d’identification d’urgence.

Flux de travail SAP GRC Firefighter

Il est nécessaire d’établir un flux de travail pour attribuer les informations d’identification de Firefighter. Pour cela, quelqu’un doit être propriétaire EAM dans l’organisation informatique. Cette personne, qui devrait être une personne de confiance, reçoit les demandes EAM. Dans un flux de travail typique, le propriétaire EAM est le premier des deux approbateurs de la demande EAM. S’il rejette la demande EAM, le flux de travail est terminé. Toutefois, si le propriétaire EAM approuve la demande, celle-ci devrait ensuite passer par un approbateur de sécurité. Cette personne peut également approuver ou rejeter la demande.

Rapport de journal SAP GRC Firefighter

SAP EAM génère un journal de l’activité d’accès d’urgence, appelé « journal SAP GRC Firefighter Controller ». Ce journal se trouve dans les contrôles d’accès de SAP. Il contient des informations sur les demandes et approbations EAM, ainsi que sur les sessions Firefigher. Il se compose de journaux distincts pour les transactions (STAD), de modifications, d’activités de débogage et de remplacement, de commandes de système d’exploitation et d’un journal d’audit de sécurité. Le système génère un rapport de journal SAP GRC Firefighter. Le problème (parmi plusieurs) est qu’une personne doit analyser le rapport pour avoir une idée du problème.

Problèmes liés à l’utilisation des fonctions EAM intégrées de SAP

L’utilisation d’une SAP EAM native est problématique, car :

  • Le flux de travail d’affectation Firefighter est manuel. Cette action est inefficace.
  • Les gens doivent prendre des décisions et ne disposent parfois pas de toutes les informations dont ils ont besoin.
  • Cette action prend un certain temps. Les personnes doivent réaliser une analyse des enregistrements pour détecter les problèmes de sécurité potentiels.
  • Les risques pour la sécurité peuvent échapper à la détection si les personnes n’effectuent pas une surveillance minutieuse.
  • Le processus peut créer par inadvertance des violations des contrôles de séparation des tâches (SoD) nécessaires au respect de réglementations telles que la loi Sarbanes-Oxley (SOX).

Les entreprises se sont généralement conformées aux exigences de la loi Sarbanes-Oxley en matière de SoD en réduisant les accès aux systèmes de production. Cela est contraire aux exigences d’accès d’urgence. L’utilisation du processus manuel SAP EAM signifie que l’utilisateur qui avait le rôle de « Firefighter » doit contacter la sécurité et se faire retirer son rôle après avoir terminé la tâche requise. Cela est un fardeau pour le personnel de sécurité et cette situation a de grandes chances de ne jamais se produire, rendant ainsi un accès temporaire ouvert en permanence et sujet à des utilisations abusives.

La valeur de l’automatisation du SAP GRC EAM

L’automatisation offre un moyen d’équilibrer les besoins d’accès d’urgence et les politiques en termes de sécurité et de conformité. Notre « Gestionnaire d’accès d’urgence ControlPanelGRC » illustre ce cas d’utilisation. Il fournit automatiquement un accès d’urgence préapprouvé, limitant ainsi les risques grâce à un flux de travail qui suit et consigne les activités des utilisateurs.

Le processus automatisé élimine également les flux de travail liés à la sécurité manuelle afin d’émettre des informations d’identification d’accès d’urgence. Cela libère le personnel de sécurité de cette obligation fastidieuse. De plus, en donnant des autorisations immédiates aux utilisateurs sélectionnés, il est possible d’accorder un accès restant dans les contrôles SoD.

La solution enregistre et suit automatiquement toutes les activités entreprises par l’utilisateur au cours d’une session « Firecall » du SAP. Elle crée une piste d’audit facilement accessible et une documentation détaillée une fois la session d’urgence terminée. De cette manière, le Gestionnaire d’accès d’urgence place votre organisation dans un état de préparation continue en matière d’audits. Cela réduit le travail nécessaire à la préparation de l’audit.

Si vous voulez en savoir plus sur le Gestionnaire d’accès d’urgence et la manière dont il peut vous aider à vous préparer en vue d’un accès d’urgence sans toutefois compromettre la sécurité ou la conformité, contactez nos experts aujourd’hui.

Jon Perry, Sr. SAP Security Consultant

Jon Perry is a Senior SAP Security/GRC Consultant focused on the SAP Security and Controls Practice at Symmetry. With 25+ years of hands-on SAP Security Administration experience, he has focused on implementing and supporting GRC solutions for over 15 years. Starting out as a functional user of SAP, Jon has working knowledge of Material Management, Procurement, Distribution, Human Resources, and Finance and has supported all modules and platforms of SAP including the latest versions of HANA and Fiori (as well as many Java-based SAP solutions). Jon is results driven and always striving to implement the best solutions for clients, meeting deadlines and requirements with a focus on automation and risk reductions.