Le guide définitif de la sécurité SAP
Le Système SAP-ERP prend en charge toutes les opérations de votre entreprise. Il comprend les fonctions de comptabilité, de gestion de la relation client et de ressources humaines.
Les données que votre implémentation accumulera au cours des opérations normales comprennent des informations sur votre catalogue de produits, des données sur vos clients et fournisseurs, ainsi que des informations sur vos employés.
Le base de données qui se trouve au cœur de votre système SAP contient des informations sur vos opérations, telles que les prix, la marge bénéficiaire et la liste des clients. Ces données seraient utiles à vos concurrents commerciaux. Cependant, les données de votre système qui concernent les individus sont appelées « informations personnellement identifiables » (PII). Ces données intéressent les hackers et peuvent être revendues sur le Dark Web.
Informations personnelles et secrets commerciaux besoin d'être protégé; la perte de l’un ou l’autre pourrait nuire à la rentabilité de votre entreprise. Les normes industrielles et la législation gouvernementale guident la protection des informations personnelles. Selon l'endroit où votre entreprise opère et le secteur industriel dans lequel elle est impliquée, vous devrez vous conformer à de nombreuses normes de sécurité.
Sécurité SAP
SAP a intégré des mesures de sécurité dans son progiciel. Cette sécurité concerne à la fois l’accès des administrateurs en coulisses et les comptes d’utilisateurs frontaux. Par conséquent, vous n'avez pas besoin d'acheter des systèmes tiers pour sécuriser votre implémentation SAP, et il vous suffit de gérer correctement les contrôles d'accès fournis dans le package SAP.
Vous devrez acheter des logiciels et des services spécialisés pour assurer la gouvernance générale des données de sécurité de votre système.
La sécurité SAP est compliquée car de nombreux éléments différents doivent être sécurisés. Pour expliquer les nombreux points du système ERP où la sécurité doit être gérée, SAP a produit un graphique appelé le Carte des opérations sécurisées , réalisé ci-dessous.
Le Couches de carte sont organisés de manière à placer les facteurs liés à la mise en œuvre en bas de la pile et les questions de planification en haut.
Le nombre de personnes impliquées dans la mise en œuvre de la sécurité SAP dans une organisation dépend de la taille de l'entreprise. En fin de compte, le Administrateur du système et le DBA mettra en œuvre la stratégie de sécurité SAP .
Sécurité SAP et sécurité du système
Lorsque vous examinerez la carte des opérations sécurisées, vous remarquerez sans doute que bon nombre de ces couches concernent sécurité du système . Bien que la sécurité du système couvre SAP ainsi que toutes les autres installations et applications, ce ne sont pas des étapes qui seront uniquement déclenchées par votre projet de sécurisation de SAP. Vous effectuerez ces tâches de toute façon.
La Secure Operations Map est le moyen utilisé par SAP pour fournir aux clients de l'ERP un itinéraire à suivre en décomposant les tâches de sécurité SAP et en s'assurant que tous les facteurs sont couverts. Le Organisation et Processus les couches de la carte contiennent des tâches de stratégie. Le Environnement niveau et la plupart des Système couche de la carte sont des problèmes généraux du système plutôt que des problèmes spécifiques à la sécurité SAP.
Le Application La couche dans Secure Operations Map concerne spécifiquement la sécurité SAP. Par conséquent, il utilise des mesures de sécurité natives sur lesquelles nous nous concentrerons lorsque nous discuterons de la sécurité SAP plutôt que de la sécurité des opérations informatiques.
Sécurité de l’organisation et des processus
Les deux niveaux supérieurs de la Secure Operations Map concernent une stratégie d'entreprise en matière d'obligations de gestion des risques et de protection des données qui sont appliquées en externe.
Le Organisation La couche contient les sujets nécessaires pour protéger les meilleurs intérêts de l’entreprise, en protégeant l’organisation contre la perte de données opérationnelles. Finalement, le Processus Layer explique les systèmes qui peuvent mettre en œuvre les obligations de l’entreprise exigées par les normes industrielles et les lois nationales.
Les tâches et systèmes exprimés dans ces deux couches sont généralement exprimés sous le titre GRC. Cela représente Gouvernance, risque et conformité . Il s'agit de fonctions à l'échelle de l'entreprise et non spécifiques à SAP, bien que SAP produise des systèmes qui fonctionnent dans la sphère GRC.
Vous n’implémenterez pas GRC pour votre système SAP de manière isolée : cela doit être effectué dans l’ensemble du contexte commercial. Pour comprendre les problèmes impliqués dans GRC et les types de systèmes disponibles pour le prendre en charge, jetez un œil au Meilleurs outils GRC .
Systèmes de sécurité tiers
Si vous souhaitez essayer des packages de sécurité produits par d'autres sociétés, votre meilleure option serait de sélectionner un outil SIEM ou un autre service de détection des menaces à l'échelle du système qui surveillera l'activité dans d'autres applications ainsi que dans SAP.
Logpoint (ACCÈS DÉMO GRATUIT)
Un exemple d'outil SIEM approprié estPoint de connexion. C'est un basé sur le cloud service qui collecte les messages de journal et utilise également des intégrations pour collecter des données d'activité à partir des applications. L'un des systèmes avec lesquels Logpoint peut s'interfacer est SÈVE .
Le service Logpoint est capable de s'interfacer avec les outils de sécurité sur site, tels que les gestionnaires de droits d'accès et les pare-feu, pour arrêter automatiquement les activités suspectes qu'il détecte.
Logpoint Inscrivez-vous pour une démo GRATUITE
Sécurité des applications SAP
Les quatre catégories de sécurité au Application couche de Carte des opérations sécurisées sont:
- Gestion des utilisateurs et des identités
- Authentification et authentification unique
- Rôles et autorisations
- Sécurité du code personnalisé
En bas au Système couche, une catégorie de sécurité supplémentaire est directement liée à SAP. C'est-à-dire:
- Code logiciel SAP sécurisé
Une grande partie du travail que vous devez effectuer pour configurer la sécurité dans l'application SAP est guidée. Il existe des exigences spécifiques pour un enregistrement de compte, il existe donc certaines informations que vous ne pouvez pas éviter de saisir. Le précis structure de vos comptes utilisateurs sera dicté par le planification que vous et vos collègues effectuez lorsque vous travaillez sur les définitions de sécurité organisationnelle dans le Organisation et Processus couches de la Secure Operations Map.
Les cinq catégories se répartissent en deux divisions :
- Sécurité liée à l'utilisateur
- Sécurité des codes
La responsabilité de ces deux domaines peut être attribuée à deux membres différents de l'équipe de support informatique, mais dans les petites entreprises, une seule personne pourrait être chargée de mettre en œuvre les deux.
Sécurité SAP liée à l'utilisateur
Avec un système ERP, le processus de création de compte utilisateur implique plusieurs niveaux de tâches d'attribution. Ceci s’exprime dans les trois catégories :
- Gestion des utilisateurs et des identités
- Authentification et authentification unique
- Rôles et autorisations
Ces trois tâches de création d'utilisateurs expriment ce que nom l'utilisateur a dans le système, quels écrans cet utilisateur peut accéder et quoi Actions l'utilisateur peut effectuer sur chaque écran.
La maintenance des comptes utilisateur dans SAP n'est pas différente. Par exemple, il s’agit des stratégies que vous utilisez déjà pour d’autres applications professionnelles et pour l’accès général au réseau ou aux appareils. Création identités de groupe Il est courant de faire la distinction entre les utilisateurs du système et les administrateurs système. Cependant, les systèmes ERP, tels que SAP, nécessitent également l'identification des Groupes d'utilisateurs puis les types d'utilisateurs au sein de chaque département.
Gestion des utilisateurs et des identités
La principale distinction entre les utilisateurs dans la fonction de gestion des utilisateurs et des identités de la sécurité SAP réside dans la catégorisation intégrée entre les utilisateurs de l'application et les techniciens. L'accès backend autorisé au personnel de support informatique offre une vue très différente du système SAP par rapport à celle autorisée aux utilisateurs des applications.
Pour un utilisateur d'application , la tâche principale consiste à fournir un nom d'utilisateur et un mot de passe. Après cela, toutes les autres considérations sont prises en compte dans la création de rôles et de niveaux d'autorisation.
Authentification et authentification unique
La principale méthode d'authentification dans un environnement SAP est le compte utilisateur mot de passe . Cela doit être géré par l'utilisateur pour garantir que les administrateurs système ne contrôlent pas les mots de passe des comptes d'utilisateurs.
La décision d'autoriser un authentification unique L'environnement au sein de l'organisation déplace la gestion des comptes utilisateur en dehors de l'environnement d'administration SAP. SAP fournit un système appelé « connecteurs .» Permettre aux fonctions de gestion des droits d'accès du système SAP d'être dictées par les paramètres conservés dans les systèmes externes, tels qu'Active Directory.
Avec le Connecteur AD configuré et opérationnel, vous pouvez compter sur Active Directory pour la gestion de vos comptes utilisateurs SAP, même pour la création ou la suppression de comptes. Cette stratégie centralisée en dehors de l'application SAP permet de mettre en œuvre une stratégie d'authentification unique et d'intégrer la sécurité SAP pour les comptes d'utilisateurs avec le reste de votre stratégie de gestion des utilisateurs et des identités.
Rôles et autorisations
La carte des opérations de sécurité regroupe les rôles et les autorisations en un seul sujet. Cependant, ce sont deux sujets énormes qui prendront la majeure partie de votre temps lors de la mise en place de votre implémentation SAP. Ces deux sujets sont encore compliqués par le concept d'approbations, qui n'est pas mentionné explicitement dans la littérature SAP mais s'inscrit dans le cadre du Rôles et autorisation catégorie.
Exécution les rôles , profils , autorisations , et approbations sont des tâches d'administration SAP spécifiques. Cependant, la planification qui prend en compte toutes les exigences relatives à ces sujets devrait venir d'en haut et faire partie des fonctions GRC mises en œuvre dans le cadre du projet. Organisation et Processus couches de la Secure Operations Map.
Fondamentalement, lors de la planification et de la mise en œuvre de rôles et d'autorisations, vous protégez les données du système en limitant l'accès aux écrans qui accèdent à ces sources de données. Ainsi, par exemple, un utilisateur qui ne peut pas accéder à la liste des clients ne peut pas la voler.
UN rôle est un groupe d'utilisateurs. Vous créez des rôles liés aux départements – RH, Finances, Ventes, etc. Les écrans disponibles pour chaque utilisateur peuvent être hérités du rôle. Cette attribution d’écrans aux rôles est signifiée par « autorisations .» L'allocation héritée peut être affinée au niveau de l'utilisateur, et ces allocations de fonctions de niveau inférieur remplacent les autorisations héritées. Cette allocation d'autorisations au niveau de l'utilisateur est appelée profil .
Approbations relatif au pouvoir de chaque utilisateur de gérer un budget. Certaines actions, telles que les achats, nécessitent l'autorisation d'un deuxième utilisateur, généralement un responsable. Les capacités d'approbation de chaque utilisateur sont définies dans le hiérarchie , qui fait partie du système RH du package SAP.
Sécurité du code SAP
SAP est un système très rigide et les créateurs de l'ERP ont essayé de décourager les personnalisations autant que possible. Au lieu de cela, les entreprises sont encouragées à adopter le système SAP en sélectionnant parmi les paramètres disponibles plutôt qu'en réécrivant les écrans et les fonctions.
Sécurité du code personnalisé
La personnalisation de SAP peut être effectuée de deux manières : en insérant de nouvelles fonctions dans le système ou en écrivant des utilitaires secondaires en dehors du système. L’attitude de SAP à l’égard de l’une ou l’autre de ces deux approches est simple : ne le fais pas .
Si vous apportez des modifications au sein du système , ils pourraient être effacés avec la mise à jour logicielle suivante et devront être réintégrés. De plus, si vous créez des systèmes externe à l'environnement SAP qui accèdent aux données de la base de données, vous ouvrez la possibilité de contourner la sécurité du système SAP qui est structurée pour restreindre l'accès aux données.
Code logiciel SAP sécurisé
La tâche principale de la mise en œuvre de la sécurité du code SAP est d'appliquer correctifs logiciels chaque fois qu'ils sont disponibles. Cette recommandation peut être faite pour tous les progiciels que vous exécutez, pas seulement pour SAP.
Pour aider les administrateurs système face au dilemme de savoir s'il faut donner la priorité aux correctifs par rapport aux tâches par lots en dehors des heures d'ouverture, SAP a mis en œuvre Journée des correctifs de sécurité . C'est le deuxième mardi du mois. La société ne limite pas la publication de correctifs à ce jour. Cependant, vous devez configurer votre système de correctifs pour qu’il s’exécute au minimum ce jour-là.
Systèmes de sécurité SAP
Le cœur de votre sécurité SAP réside dans la structure des comptes utilisateurs, votre refus de personnaliser le code et la mise en œuvre du Security Patch Day. En dehors de l'environnement SAP , vos responsabilités en matière de systèmes de sécurité incombent aux systèmes GRC et à la protection des systèmes.
SAP produit des packages GRC qui sont des services supplémentaires et ne font pas partie de l'environnement ERP. Cependant, ces outils s'intègrent aux services backend de votre SAP ERP pour les intégrer efficacement dans votre environnement SAP.
Voici quelques packages de sécurité SAP que vous pourriez envisager :
- Gestion de la conformité financière SAP Ce package implémente une gouvernance automatisée. Il effectue des contrôles préalables à l'audit sur la sécurité des données et applique les exigences des normes spécifiques de protection des données dans les processus de gestion des données. De plus, ce système fournit des avertissements et des conseils et automatise les flux de travail pour garantir que l'accès aux données est correctement enregistré. Il s'agit d'une plateforme SaaS.
- Gestion des risques SAP Ce programme de surveillance évalue les niveaux de risque, les facteurs de risque et les indicateurs de risque clés, en fonctionnement continu. Ce système repose sur une hiérarchie des risques, qui doit être mise en place selon un processus guidé. Disponible sous forme de plate-forme SaaS ou de progiciel sur site.
- Contrôle des processus SAP Ce package convient à la mise en œuvre de la couche Processus de Secure Operations Map. Il fournit un aperçu de la conformité aux normes de protection des données et des contrôles financiers. De plus, ce package vous aide à organiser la hiérarchie des approbations dans SAP et il est disponible sous forme de plateforme SaaS et de package sur site.
- Dépositaire de données SAP Si vous utilisez des ressources SAP basées sur le cloud, vous bénéficierez de ce package, qui applique des contrôles de données dans les systèmes basés sur le cloud, proposé sous forme de plate-forme SaaS.
- Gouvernance de la confidentialité SAP Vous pouvez utiliser ce module pour les ressources sur site et cloud afin de gérer le processus de demande d'accès au sujet numérique (DSAR). Vous devez être en mesure de répondre aux demandes sans divulguer d’informations sur les autres. Il s'agit d'une plateforme SaaS.