Cas d’usage
Les audits SAP
Suivre les recommandations d’audit SAP et le prouver aux auditeurs
Audit SAP : Contrôler en continu les droits d’accès
Dès la création de l’utilisateur dans SWAWE, la proposition des droits ou Business profiles à assigner à l’utilisateur est limitée via son rattachement à une organisation.
Un filtre sur les propositions de rôles est donc déjà mis en place en phase amont (SWAWE IAM).
Lire plus
Ensuite, toujours dans la phase de création de l’utilisateur, une analyse SOD peut être réalisée ou demandée afin de mettre en évidence les risques de séparation de tâches (SWAWE RISK).
Ces analyses SoD peuvent d’ailleurs être réalisées à chaque demande de nouvelles assignations de droits à l’utilisateur.
Par la suite, pour s’assurer que les utilisateurs disposent bien des droits appropriés par rapport à leur fonction métier, il est recommandé d’effectuer une revue des droits utilisateurs de façon périodique.
SWAWE CCM permet de programmer de façon périodique ces contrôles, en indiquant quelle organisation effectue le contrôle et qui la valide, de quelle façon (procédure décrite et détaillée), et sur quelle périodicité.
La preuve du contrôle est renseignée dans le CCM et les informations sont tracées et disponibles en permanence (Auditable).
Des tableaux de bord permettent de suivre en temps réel l’état d’avancement des contrôles liés à ces revues (SWAWE REPORT).
Démontrer la conformité des droits d’accès
Comme expliqué ci-dessus, SWAWE CCM stocke tous les contrôles. Il est par conséquent possible de retrouver sous forme de listes ou tableaux de bord toutes les revues liées aux droits des utilisateurs.
On pourra ainsi démontrer à tout moment qui a effectué le contrôle, qui l’a validé, quelle est la procédure qui a été suivie pour le faire ainsi que la preuve du contrôle.
Communiquer sur les remédiations effectuées
Dans le cadre d’un projet de refonte des droits utilisateurs, le nombre de risques SoD diminue au fur et à mesure de l’avancée du projet. C’est SWAWE RISK qui permet de mettre en évidence cette diminution. Pour historiser/tracer l’évolution de ces risques, on utilisera SWAWE CCM où on pourra trouver à chaque date de revue le détail des risques par métier, par organisation sous forme de graphes/tableaux… On pourra aussi utiliser SWAWE Report pour montrer l’évolution du nombre de risques dans le temps.
Contenus relatifs à ce cas d’usage
Cas client
Le Groupe Adova, premier groupe industriel français de literie, sièges et canapés, est né dans les années 1990. Il détient des marques à forte notoriété (Simmons, Treca, Bliss, Steiner…) vendues en France comme à l’international.
À la suite d’un audit effectué en 2020 et qui a révélé un nombre important d’utilisateurs avec des droits étendus et un risque de fraude élevé, ADOVA Group a décidé d’entreprendre une démarche d’optimisation de la gestion des droits SAP
Solution CCM
Les auditeurs pointent régulièrement des lacunes dans la réalisation et le suivi des contrôles ITGC dans les 4 catégories : Accès aux systèmes, Accès aux données, Gestion des changements et développements, Exploitation.
L’un des principaux enjeux des contrôles ITGC concerne la parfaite maîtrise du processus de gestion des utilisateurs : avoir la capacité de prouver que ce processus est clairement décrit dans les procédures idoines, respecté et tracé !
Nous contacter
Une démonstration vaut mieux qu’un long discours…