par Sükrü ilkel Birakoglu, Senior Director
La séparation des tâches (SoD) est un processus interne conçu pour prévenir les erreurs et les fraudes en veillant à ce qu’au moins deux personnes soient responsables de parties distinctes d’une tâche.
Dans le cas de tâches qui pourraient raisonnablement être accomplies par une seule personne, SoD implique de décomposer la tâche concernée en plusieurs tâches afin qu’aucune personne ne soit seule responsable d’un système essentiel pour l’entreprise. La gestion des fiches de paie, par exemple, est un domaine administratif dans lequel la fraude et les erreurs constituent des risques élevés. Un exemple courant de séparation des tâches pour la paie est d’avoir un employé responsable de la partie comptable et une autre personne responsable de la signature des chèques.
Bien qu’elle améliore la sécurité, la décomposition des tâches en composants distincts peut avoir un impact négatif sur l’efficacité de l’entreprise et augmenter les coûts, la complexité et les besoins en personnel. C’est pourquoi la plupart des organisations appliquent les principes SoD uniquement aux éléments les plus vulnérables et les plus essentiels de l’entreprise.
L’application d’une bonne séparation des tâches dans les systèmes ERP tels que SAP renforce cette complexité en prenant en compte toutes les tâches opérationnelles qui peuvent être exécutées dans un système SAP. Cela nécessite une surveillance continue des conflits SoD et de l’exécution des processus métiers liés à ces conflits pour prévenir la fraude dans les systèmes SAP.
Lors de la prise en compte des systèmes SAP, une personne ne doit pas superviser plus d’un de ces composants de transaction : Autorisation des transactions, comptabilisation des transactions et gestion des actifs associés. Par exemple, une personne pouvant approuver des bons de commande ne devrait pas être responsable du traitement des paiements.
Pour suivre les principes SoD dans les systèmes SAP, vous devez effectuer 4 processus :
- Conception de SoD
- Implémentation de SoD
- Évaluation de SoD
- Correction de SoD
Dans le processus de conception de SoD, les entreprises doivent mettre en place une structure organisationnelle où les rôles métiers de chaque type d’employé sont décrits. Ces rôles métiers (ex : gestionnaire de compte, acheteur, vendeur) doivent comprendre certaines fonctions telles que la création d’un fournisseur ou d’un client maître, la création d’un ordre de paiement, l’approbation d’un ordre de paiement, etc.
Chacune de ces fonctions peut être associée à des transactions, des services, des appels de fonctions à distance ou d’autres actions et API liées au système dans les systèmes SAP. Pour cette raison, il est important de déterminer quelles actions appartiennent à quelles fonctions et de les appliquer correctement en utilisant les rôles techniques SAP dans le système. La conception de SoD est un processus long et complexe qui ouvre la porte aux erreurs en raison de la nature complexe des processus métiers exécutés sur les systèmes SAP.
Dans le processus d’implémentation de SoD, vous associez vos rôles métiers à des rôles techniques dans les systèmes SAP. Les rôles techniques contiennent les transactions qui peuvent être exécutées dans les systèmes SAP. Vous pouvez ensuite attribuer les rôles techniques aux utilisateurs SAP qui exécuteront les transactions métiers sur les systèmes SAP.
L’évaluation de SoD est le processus le plus complexe, même si les phases de conception et d’implémentation de SoD sont correctement réalisées. Vous devez surveiller vos systèmes SAP pour vérifier si tout le monde respecte ces exigences lors de tout changement. C’est là que les outils SoD entrent en jeu.
Les outils SoD vérifient si les utilisateurs peuvent exécuter des transactions critiques ou leurs combinaisons dans la structure organisationnelle existante car il existe un risque de fraude. Le mot existant indique que la plupart des entreprises n’ont même pas mis en place d’étapes de développement et de mise en œuvre de SoD.
Les outils SoD peuvent s’avérer très pratiques lorsqu’il s’agit d’obtenir la liste des utilisateurs ayant accès à des transactions critiques par défaut, qui existent presque partout (ex : SU01 – transaction utilisateur, SE16 – lecture tableau). Cela permet déjà de gagner beaucoup de temps et de bien comprendre à quel point notre situation avec la gestion des rôles est mauvaise. Si nous constatons que de nombreux utilisateurs dans un système SAP qui peuvent exécuter des transactions essentielles, par ex. SU01, SM59, SE16, les problèmes à l’étape de conception de SoD seront multiples, quels que soient les processus métiers de l’entreprise.
Au deuxième niveau, nous pouvons obtenir une liste d’utilisateurs ayant accès à des combinaisons typiques de transactions essentielles telles que la création d’ordres de paiement et leur approbation. L’évaluation au niveau des processus métier est également une tâche assez compliquée dans les systèmes SAP. Elle nécessite la mise en place d’une solution de surveillance et de reporting continue comme Logpoint BCS for SAP.
Grâce à notre solution d’évaluation et de suivi SoD, il est possible de découvrir les utilisateurs qui ont reçu des rôles conflictuels, c’est-à-dire des problèmes d’autorisation SoD. Nous pouvons également détecter des actions dans les systèmes SAP qui sont susceptibles d’entraîner des conflits SoD.
Sur l’un des tableaux de bord de notre solution, nous montrons les situations de conflit SoD qui peuvent se produire en fonction de l’affectation des rôles actuelle dans le système SAP. Le nombre d’utilisateurs ayant des rôles porteurs de conflits SoD est également indiqué.
Liste des violations SoD dans un système SAP et liste des utilisateurs avec les rôles correspondants entraînant des violations SoD
Sur d’autres tableaux de bord, nous donnons des informations plus détaillées sur l’utilisation réelle des rôles entraînant des conflits SoD. Par exemple, si un utilisateur qui a créé un bon de commande et a également modifié les données de référence de condition liées à ce bon de commande, cette action est capturée en temps réel et affichée dans notre SIEM Logpoint.
Liste des actions entraînant des violations SoD dans un système SAP
Dans la phase de correction SoD, vous corrigez les conflits SoD dans vos systèmes SAP en fonction de vos constations dans la phase d’évaluation SoD. Les solutions Logpoint BCS for SAP vous fournissent de nombreuses informations sur les conflits SoD dans vos systèmes SAP et celles-ci sont utilisées pour la phase de correction SoD.
Si vous avez besoin de plus d’informations sur nos produits BCS for SAP Security and Threat Detection, n’hésitez pas à m’envoyer un e-mail à mon adresse : [email protected]