Diagnostic SoD SAP – Évaluez votre maturité | SWAWE
Diagnostic SoD · SWAWE

Évaluez votre maturité
SoD dans SAP

Répondez à 19 questions (Oui / Partiel / Non) et obtenez un score de maturité personnalisé avec les priorités à traiter.

0 / 38 pts
0 % de maturité
0
Diagnostic préalable — Gouvernance & maturité actuelle
Évaluation du point de départ avant toute démarche SoD
Q1 Disposez-vous d'une matrice SoD documentée et à jour ?
✅ Bonne base. Vérifiez qu'elle est validée par les équipes métiers (pas uniquement IT) et révisée à chaque évolution majeure du système.
⚠️ Une matrice partielle est mieux que rien — mais les processus non couverts constituent des angles morts complets pour votre audit.
❌ C'est le point de départ prioritaire. Sans matrice, toutes vos analyses SoD reposent sur des bases instables et inopposables à un auditeur.
Q2 Votre dernière revue des droits d'accès date de moins de 6 mois ?
✅ Bonne cadence. Pour les organisations soumises à SOX ou Sapin II, une revue trimestrielle voire continue est recommandée.
⚠️ Une revue partielle laisse des périmètres entiers sans contrôle. Les départs et changements de poste non reflétés créent des risques réels.
❌ Au-delà de 6 mois, les mouvements de personnel rendent les résultats non fiables. Votre situation actuelle est probablement très différente de votre dernière analyse.
Q3 Un propriétaire de risque est-il identifié pour chaque processus métier (Finance, Achats, RH…) ?
✅ Excellent. Un ownership clair est la condition sine qua non pour que les remédiations aboutissent réellement.
⚠️ Les processus sans propriétaire identifié ne seront jamais remédiés efficacement — les conflits y persistent indéfiniment.
❌ Sans ownership, aucune remédiation n'aboutit. La gouvernance SoD doit être portée par les métiers, pas uniquement par l'IT.
1
Construction de la matrice SoD
Qualité et profondeur du référentiel d'incompatibilités
Q4 Votre matrice SoD couvre-t-elle les processus Achats, Ventes, Comptabilité et Ressources humaines / Paie gérés dans SAP ?
✅ Les domaines prioritaires sont couverts. Notez que certains processus (comme la RH/Paie) sont parfois gérés hors SAP — vérifiez bien le périmètre réel de votre analyse.
⚠️ Les processus non couverts sont des angles morts. Attention : si certains processus (ex. RH/Paie) ne sont pas dans SAP, il faut l'identifier explicitement plutôt que de laisser la question sans réponse.
❌ Achats, Ventes et Comptabilité concentrent la majorité des risques de fraude. Commencez par ces domaines — et vérifiez si RH/Paie est géré dans SAP ou dans un autre système.
Q5 Vos règles SoD descendent-elles au niveau des objets d'autorisation SAP (au-delà des simples t-codes) ?
✅ C'est le niveau d'analyse le plus précis. Vos résultats sont probablement bien moins pollués par les faux positifs.
⚠️ Une analyse t-code seulement génère 40 à 60 % de faux positifs. Votre équipe passe du temps à traiter des conflits qui n'en sont pas réellement.
❌ Sans analyse au niveau des objets d'autorisation (ACTVT, BUKRS…), vos résultats contiennent probablement entre 40 et 60 % de faux positifs — ce qui nuit à la crédibilité de toute votre démarche GRC.
Q6 Chaque règle SoD dispose-t-elle d'un niveau de criticité (Haute / Moyenne / Basse) ?
✅ La priorisation est la clé d'une démarche efficace. Vos équipes peuvent concentrer l'effort là où le risque est réel.
⚠️ Sans priorisation complète, certains conflits critiques risquent d'être traités avec la même urgence que des conflits mineurs.
❌ Sans priorisation, les équipes traitent tous les conflits avec la même urgence — et s'épuisent sur des risques mineurs au détriment des vrais enjeux.
Q7 La matrice a-t-elle été co-validée par les équipes métiers ET le contrôle interne (pas uniquement l'IT) ?
✅ Une matrice co-signée par les métiers est indiscutable lors d'un audit. C'est votre meilleure protection.
⚠️ Une validation partielle fragilise votre position. Les auditeurs externes vérifieront systématiquement qui a approuvé quoi.
❌ Une matrice validée uniquement par l'IT sera contestée lors d'un audit externe. Les propriétaires de processus (DAF, Responsable Achats, DRH…) doivent impérativement co-signer.
2
Analyse des accès SoD dans SAP
Qualité et profondeur de la détection des conflits
Q8 Vos comptes utilisateurs désactivés ont-ils bien été archivés et leurs droits d'accès supprimés dans SAP ?
✅ Bonne hygiène des identités. Un compte désactivé sans droits retirés reste un vecteur d'accès potentiel — vous avez bien traité ce risque.
⚠️ Des comptes désactivés avec des droits encore actifs signalent un processus d'archivage incomplet. C'est un risque réel d'accès non autorisé à corriger.
❌ Un compte désactivé dont les droits n'ont pas été supprimés reste exploitable. Cela révèle un problème dans votre procédure de départ/changement de poste — à corriger en priorité.
Q9 Croisez-vous les habilitations théoriques avec les transactions réellement exécutées (logs SAP) ?
✅ Vous distinguez les risques dormants des risques actifs. Votre priorisation des remédiations est bien plus efficace.
⚠️ Un croisement partiel laisse des zones d'ombre. Certains risques avérés peuvent passer inaperçus.
❌ Sans croisement avec les logs (SM20, STAD), vous traitez tous les conflits théoriques avec la même urgence — y compris ceux qui n'ont jamais été exercés depuis des années.
Q10 Simulez-vous l'impact d'un changement de rôle avant de le déployer en production ?
✅ Zéro surprise post-déploiement. Vous anticipez les effets de bord avant qu'ils ne surviennent.
⚠️ Chaque déploiement sans simulation complète est un risque de créer de nouveaux conflits sans le savoir.
❌ Chaque remédiation non simulée peut créer de nouveaux conflits. Vous risquez de traiter un problème en en créant trois autres.
Q11 Vos rapports SoD sont-ils directement lisibles et exploitables par les managers métiers, sans intermédiaire IT ?
✅ Vos managers peuvent prendre des décisions de remédiation sans dépendre de l'IT. C'est un facteur clé de rapidité.
⚠️ Chaque passage par l'IT pour interpréter les résultats ralentit les décisions et crée des goulots d'étranglement.
❌ Des rapports incompréhensibles pour les métiers = des remédiations qui tardent. La gouvernance SoD doit parler le langage du risque, pas de la technique SAP.
3
Industrialisation & pilotage continu
Automatisation, traçabilité et maturité opérationnelle
Q12 Vos analyses SoD sont-elles automatisées (sans extraction manuelle Excel / SUIM) ?
✅ Vous avez éliminé le risque d'erreur humaine sur les grands volumes. Vos analyses sont reproductibles et fiables.
⚠️ L'automatisation partielle laisse des périmètres exposés aux erreurs manuelles — souvent précisément là où les risques sont les plus élevés.
❌ Les extractions Excel de plus de 50 000 lignes génèrent systématiquement des erreurs. Un seul fichier corrompu peut invalider tout un audit externe.
Q13 Une alerte se déclenche-t-elle automatiquement à chaque création ou modification de rôle SAP ?
✅ Vous détectez les nouveaux conflits avant qu'ils ne soient exploités. C'est le niveau de maturité le plus avancé.
⚠️ Sans alerte systématique, certaines modifications de rôles passent sous les radars entre deux revues — parfois pendant des mois.
❌ Détecter après coup, c'est déjà trop tard. Les nouveaux conflits créés entre deux revues peuvent rester actifs pendant des mois sans être détectés.
Q14 Toutes vos actions correctives sont-elles tracées avec date, responsable et justification ?
✅ Vous êtes prêt à tout moment pour un audit. Votre traçabilité est votre meilleure preuve de contrôle.
⚠️ Une traçabilité incomplète fragilise votre position lors d'un audit — même si les remédiations ont été effectuées.
❌ Un auditeur demandera systématiquement la preuve que les risques ont été traités — par qui, quand, pour quelle raison. Sans traçabilité, votre démarche n'est pas opposable.
Q15 Disposez-vous d'un processus formalisé de dérogation avec contrôle compensatoire pour les conflits inévitables ?
✅ Votre approche est mature et réaliste. Les conflits inévitables sont encadrés sans paralyser l'activité opérationnelle.
⚠️ Un processus de dérogation incomplet laisse des conflits sans encadrement — ni remédiation, ni contrôle compensatoire documenté.
❌ Certains conflits sont inévitables (petites structures, postes cumulés). L'inaction silencieuse n'est jamais acceptable. Une dérogation documentée + contrôle compensatoire est la bonne réponse.
Q16 Couvrez-vous l'ensemble de vos systèmes SAP dans l'analyse (ECC, S/4HANA, BW, SRM…) ?
✅ Couverture complète. Les conflits inter-systèmes — souvent les plus dangereux — sont inclus dans votre périmètre d'analyse.
⚠️ Les systèmes non couverts sont des angles morts. Un utilisateur peut cumuler des droits dangereux sur deux systèmes différents sans que cela ne soit détecté.
❌ Les conflits inter-systèmes sont les plus souvent ignorés et les plus dangereux. Un périmètre limité à un seul système SAP laisse des risques majeurs non détectés.
Q17 Pouvez-vous produire un rapport de conformité SoD à tout moment, sans délai de préparation ?
✅ Vous abordez les audits avec sérénité. La preuve de contrôle est disponible à tout moment, sans stress de dernière minute.
⚠️ Un rapport de conformité partiel fragilise votre position face aux auditeurs et aux instances de direction.
❌ L'objectif final n'est pas de survivre à l'audit, mais de l'aborder avec confiance. Un reporting continu est la seule façon d'y parvenir.
Q18 Votre organisation dispose-t-elle d'une vision continue et actualisée de ses risques SoD (pas uniquement lors des audits) ?
✅ Félicitations — c'est le niveau de maturité le plus avancé. Votre gouvernance SoD est un pilier actif de votre stratégie GRC.
⚠️ Une vision discontinue laisse des fenêtres d'exposition entre les revues. Les risques peuvent s'accumuler sans être détectés pendant des mois.
❌ Une analyse uniquement lors des audits, c'est naviguer à vue 90 % du temps. La détection continue est la seule approche compatible avec les exigences réglementaires modernes.
Q19 Vos comptes de service et comptes RFC font-ils l'objet d'une analyse SoD spécifique et d'une politique de sécurité dédiée ?
✅ Excellent. Les comptes de service sont parmi les plus exposés — les analyser et les encadrer avec une politique dédiée démontre une maturité SoD avancée.
⚠️ Une couverture partielle laisse des comptes techniques sans encadrement. Un compte RFC sans politique de mot de passe ni analyse SoD est une porte d'entrée très exposée.
❌ Les comptes de service et RFC sont les plus dangereux : souvent dotés de droits très étendus, sans MFA, sans politique de mot de passe stricte, et rarement revus. Ils doivent absolument être inclus dans vos analyses SoD.
0 / 38 pts
0
réponses
Oui
0
réponses
Partielles
0
réponses
Non

Vos priorités d'action

    Discutons de votre situation

    Nos experts SWAWE analysent vos résultats et vous proposent un plan d'action personnalisé.

    Demander une démo →
    Pourquoi SWAWE

    Ce que SWAWE change concrètement sur votre SoD

    Évaluez votre solution actuelle — chaque "non" est un risque non couvert

    🎯
    Analyse à l'objet d'autorisation
    Le niveau le plus fin de SAP — élimine les 40 à 60 % de faux positifs que les analyses t-code classiques génèrent en masse.
    Simulation en temps réel
    Visualiser l'impact d'un changement de rôle avant de l'appliquer — zéro surprise post-déploiement.
    📊
    Tableaux de bord métiers
    Rapports lisibles par Finance, Achats, RH — sans passer par l'équipe IT pour interpréter les résultats.
    🔄
    Détection continue
    Chaque modification de rôle déclenche automatiquement une vérification SoD. Fini les angles morts entre deux revues annuelles.
    +7 000
    analyses de risques réalisées
    +29 000
    utilisateurs SAP sous contrôle
    −74 %
    de risques SoD constatés

    Prêt à aller plus loin ?

    Nos experts analysent vos résultats et vous proposent un plan d'action personnalisé.

    Demander une démo →

    © SWAWE · swawe.fr · En partenariat avec Secureway