Implémentation et configuration de SAP Access Control, GRC300 Col18

Copyrights, marques
commerciales et clause de non-
responsabilité SAP
© 2022 SAP SE ou société affiliée SAP. Tous droits réservés.
Toute reproduction ou communication de la présente publication, même partielle,
par quelque procédé et à quelque fin que ce soit, est interdite sans l'autorisation
expresse et préalable de SAP SE ou d'une société affiliée SAP.
Les informations contenues dans le présent document peuvent être modifiées sans
préavis. Certains logiciels commercialisés par SAP SE et ses distributeurs
contiennent des composants logiciels qui sont la propriété d'éditeurs tiers. Les
spécifications des produits peuvent varier d’un pays à l’autre.
Il est possible que les présents documents aient été traduits par une machine et
contiennent par conséquent des erreurs grammaticales ou des inexactitudes.
Les informations du présent document sont fournies par SAP SE ou par une société
affiliée SAP uniquement à titre informatif, sans engagement ni garantie d'aucune
sorte. SAP SE ou ses sociétés affiliées ne pourront en aucun cas être tenues
responsables des erreurs ou omissions relatives à ces informations. Les seules
garanties fournies pour les produits et les services de SAP ou d'une société affiliée
SAP sont celles énoncées expressément à titre de garantie accompagnant, le cas
échéant, lesdits produits et services. Aucune des informations contenues dans le
présent document ne saurait constituer une garantie supplémentaire.
En particulier, SAP SE ou ses sociétés affiliées ne sont en aucun cas tenues de se
livrer aux activités citées dans le présent document ou toute autre présentation, ni de
développer ou de mettre sur le marché quelque fonctionnalité mentionnée dans les
présentes. Le présent document ou toute présentation liée, ainsi que la stratégie et
les futurs développements, produits, orientations de plate-forme et fonctionnalités
éventuels de SAP SE ou de ses sociétés affiliées peuvent être modifiés par SAP ou
par ses sociétés affiliées à tout moment et pour quelque raison que ce soit, sans
préavis. Les informations contenues dans le présent document ne constituent en
aucun cas un engagement, une promesse ou une obligation juridique de livrer un
quelconque matériel, code ou fonctionnalité. Toutes les prévisions mentionnées sont
soumises à certains risques et comportent une part d'incertitude pouvant entraîner
des résultats substantiellement différents des attentes. Il est recommandé au lecteur
de ne pas placer une confiance exagérée dans lesdites prévisions et de ne pas
prendre de décision d'achat en fonction de ces dernières.
SAP et tous les autres produits et services SAP mentionnés dans le présent
document, ainsi que leurs logos respectifs, sont des marques commerciales ou des
marques déposées de SAP SE (ou d'une société affiliée SAP) en Allemagne ainsi que
dans d'autres pays. Tous les autres noms de produits et de services mentionnés sont
des marques commerciales ou des marques déposées de leurs entreprises
respectives. Consultez https://www.sap.com/corporate/en/legal/copyright.html
pour obtenir des informations complémentaires sur les marques déposées.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Conventions typographiques
Le français de France est le standard utilisé dans ce manuel.
Les conventions typographiques décrites ci-après sont également utilisées.
Ces informations apparaissent dans la présentation de l'animateur.
Démonstration
Procédure
Avertissement ou Attention
Astuce
Informations connexes ou supplémentaires
Invitation à la discussion
Contrôle d'interface utilisateur
Exemple de texte
Titre de fenêtre
Exemple de texte
© Copyright. Tous droits réservés. iii
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

iv © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Sommaire :
ix Vue d'ensemble du cours1 Chapitre 1 :Introduction à la gouvernance des accès à l'aide de SAP Access
Control
3 Sujet: Compréhension des défis et des solutions de l'entreprise7 Sujet: Compréhension de la fonctionnalité SAP Access Control et
des scénarios d'intégration
21 Chapitre 2 :Identification et gestion du risque d'accès23 Sujet: Identification des risques d'accès27 Sujet: Compréhension du processus de gestion des risques d'accès47 Chapitre 3 :Expérience utilisateur, concepts de sécurité et architecture
système
49 Sujet: Compréhension de l'accès utilisateur et de l'expérience
utilisateur
53 Sujet: Accès à SAP Access Control à l'aide de SAP Business Client61 Sujet: Accès à SAP Access Control à l'aide de la barre de lancement
SAP Fiori
69 Sujet: Compréhension de l'architecture du système SAP Access
Control
77 Chapitre 4 :Synthèse de la configuration79 Sujet: Compréhension des options SAP GRC partagées93 Sujet: Configuration des options spécifiques de SAP Access Control107 Sujet: Compréhension de SAP Access Control Business
Configuration (BC) Set
115 Sujet: Gestion du référentiel Access Control129 Chapitre 5 :Analyse des risques131 Sujet: Gestion des données de base et des détenteurs Access
Control
137 Sujet: Compréhension de la reconnaissance des risques141 Sujet: Compréhension de la création et de la validation de règles151 Sujet: Compréhension de l'analyse des risques d'accès167 Sujet: Compréhension de la correction des risques173 Sujet: Compréhension de l'atténuation des risques179 Sujet: Compréhension de la conformité continue183 Sujet: Annexe : Configuration des paramètres d'analyse de risque
d'accès (facultatif)
© Copyright. Tous droits réservés. v
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

189 Chapitre 6 :SAP Business Rule Framework (BRFplus)191 Sujet: Description des règles de gestion et des systèmes de gestion
des règles de gestion
195 Sujet: Définition de règles liées au workflow MSMP à l'aide de
BRFplus SAP Business Rule Framework
203 Sujet: Configuration et gestion des règles liées au workflow MSMP215 Chapitre 7 :Workflow multi-étapes, multi-parcours (MSMP)217 Sujet: Présentation du workflow multi-étapes et multi-chemins
(MSMP)
225 Sujet: Implémentation d'un workflow multi-étapes et multi-chemins
(MSMP)
253 Chapitre 8 :Attribution de privilèges d'accès aux utilisateurs255 Sujet: Configuration des options d'attribution de privilèges d'accès
utilisateur
259 Sujet: Configuration des formulaires de demande d'accès267 Sujet: Préparation des rôles et des données du propriétaire pour le
workflow MSMP
271 Sujet: Demande d'accès277 Sujet: Examen des résultats de la demande de recherche279 Sujet: Annexe : Options des paramètres d'attribution de privilèges
d'accès utilisateur (facultatif)
287 Chapitre 9 :Conception et gestion des rôles289 Sujet: Configuration de la gestion des rôles297 Sujet: Configuration de la méthodologie de rôle317 Sujet: Configuration des attributs de recherche de rôle319 Sujet: Planification pour définition de rôle technique325 Sujet: Planification pour définition de rôle utilisateur331 Sujet: Consolidation des rôles via l'exploration des rôles337 Sujet: Exécution d'opérations de gestion en masse des rôles343 Sujet: Annexe (facultative) Évaluation des paramètres pour la
gestion des rôles
357 Chapitre
10 :
Gestion des accès d'urgence359 Sujet: Description de la gestion des accès d'urgence369 Sujet: Planification de la gestion des accès d'urgence377 Sujet: Surveillance de l'accès d'urgence383 Sujet: Annexe (facultatif) Évaluation des paramètres pour la gestion
des accès d'urgence
vi © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

395 Chapitre
11 :
Processus de révision de l'accès périodique397 Sujet: Vérification périodique de la planification403 Sujet: Suivi Révision périodique407 Sujet: Annexe (facultative) Évaluation des paramètres pour la
révision de l'accès périodique
413 Chapitre
12 :
Annexe (facultative) Gestion des zones personnalisées415 Sujet: Gestion des zones personnalisées
© Copyright. Tous droits réservés. vii
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

viii © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Vue d'ensemble du cours
PUBLIC CONCERNÉ
Ce cours s'adresse aux participants suivants :
●Architecte processus métier
●Responsable de processus de gestion/Responsable d'équipe/Utilisateur de référence
© Copyright. Tous droits réservés. ix
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

x © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

CHAPITRE 1
Introduction à la gouvernance
des accès à l'aide de SAP
Access Control
Sujet 1
Compréhension des défis et des solutions de l'entreprise
3
Sujet 2
Compréhension de la fonctionnalité SAP Access Control et des scénarios d'intégration
7
OBJECTIFS DU CHAPITRE
●Décrire les défis et solutions de gouvernance des accès
●Décrire la fonctionnalité de contrôle d'accès SAP
© Copyright. Tous droits réservés. 1
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Chapitre 1 : Introduction à la gouvernance des accès à l'aide de SAP Access Control
2 © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Chapitre 1
Sujet 1
Compréhension des défis et des solutions de
l'entreprise
OBJECTIFS DU SUJET
À la fin de ce sujet, vous serez en mesure de :
●Décrire les défis et solutions de gouvernance des accès
Identification des défis à relever et des solutions
Défis et solutions métier
Figure 1: Défis clés de la gouvernance des accès
De nombreuses entreprises ont des défis centrés sur un certain nombre d'objectifs critiques
qui peuvent avoir un impact ou limiter leur capacité à gérer efficacement la gouvernance des
accès :
●Comment identifier et résoudre les problèmes d'accès et de séparation des tâches afin de
minimiser les risques globaux ?
●Comment assurer un provisioning utilisateur efficace et rapide et réduire les tâches
manuelles ?
●Comment garantir la conformité aux exigences juridiques, réglementaires et politiques ?
●Comment pouvons-nous aider la population d'utilisateurs finaux à s'assurer que les
exigences de conformité sont équilibrées avec les besoins d'accès des utilisateurs ?
En l'absence de contrôles appropriés, des activités accidentelles et/ou intentionnelles dues à
des privilèges excessifs peuvent avoir un impact sur les performances et la réputation de
© Copyright. Tous droits réservés. 3
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

l'entreprise. La complexité a un impact sur la gestion des accès et des autorisations, ce qui les
rend souvent inefficaces. Répondre aux exigences réglementaires à l'aide d'activités
manuelles et de processus fragmentés augmente non seulement le coût global et la
complexité, mais se traduit par une incapacité à identifier les risques en temps opportun,
sans aucune correction ou atténuation appropriée possible.
Souvent, l'approche actuelle d'une entreprise en matière de gestion de l'accès et de
l'autorisation des utilisateurs peut entraîner certains ou tous les scénarios suivants :
●L'informatique n'est pas responsable de la séparation appropriée des tâches. Cependant,
ils ne peuvent pas transférer la responsabilité à l'entreprise, car ils ne disposent pas des
outils de collaboration et de la langue nécessaires pour collaborer efficacement avec les
chefs d'entreprise.
●Les responsables de secteur d'activité sont responsables de la séparation des tâches
(SoD), mais ils ne disposent pas de la profondeur technique nécessaire pour gérer l'accès
des utilisateurs, et dépendent donc de l'informatique.
●L'audit interne est incapable de rester au fait de la séparation des tâches et des problèmes
d'accès critiques car il ne dispose pas des outils nécessaires pour effectuer efficacement
l'analyse des risques liés aux accès.
Gouvernance, risques et conformité (GRC)
La gouvernance d'entreprise garantit un comportement éthique de l'entreprise ainsi que des
pratiques de gestion dans la création de richesse pour toutes les parties prenantes. La
gouvernance détaille les règles et les procédures permettant de prendre des décisions sur les
affaires d'entreprise. La gouvernance informatique permet de garantir l'alignement des
objectifs informatiques et d'entreprise afin que les ressources informatiques soient utilisées
de manière responsable et que les risques associés soient correctement gérés. Risk
Management identifie, classe, documente et réduit le risque à un niveau acceptable. La
gouvernance des accès doit être gérée de manière à garantir que les politiques de l'entreprise
ne sont pas compromises et que l'organisation agit conformément à toutes les
réglementations et normes de conformité pour chaque juridiction dans laquelle l'entreprise
exerce ses activités.
Réglementations de conformité
Figure 2: Exemple de réglementations et normes de conformité
Chapitre 1 : Introduction à la gouvernance des accès à l'aide de SAP Access Control
4 © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Les réglementations de conformité peuvent être spécifiques d'une région ou d'un pays en
particulier ou s'appliquer à plusieurs régions. En outre, la conformité peut également inclure
des normes internationales ou nationales. Ces éléments ne sont pas inscrits dans la
législation réglementaire, mais deviennent la meilleure pratique à suivre, ou peuvent être
exigés par un fournisseur particulier comme dans le cas de la norme PCI DSS (Payment Card
Industry Data Security Standards). Il s'agit d'un accord contractuel conclu par les États-Unis.
L'industrie des cartes de paiement garantit la gestion sécurisée des informations relatives au
titulaire de la carte à chaque étape. Il s'agit donc de normes de sécurité pour la protection des
données de compte et non d'une législation. Parmi les autres exemples figurent Bâle II
concernant les réglementations bancaires et le RGPD concernant la confidentialité et la
sécurité des données.
Fragmentation
Figure 3: Fragmentation organisationnelle
Dans de nombreuses organisations, la mise en œuvre des politiques, l'identification des
risques et la prise en charge des mandats réglementaires ont lieu au niveau du service. La
fragmentation organisationnelle due à des activités départementales déconnectées se traduit
souvent par les situations suivantes :
●Politiques incohérentes
●Difficulté à prévoir les risques
●Perte de transparence organisationnelle
●Duplication des efforts
Une collaboration accrue avec les partenaires et les fournisseurs augmente les conséquences
de la fragmentation organisationnelle. Une organisation est tenue responsable de la bonne
gouvernance et de la conformité au sein de sa propre entreprise et de l'ensemble de
l'entreprise.
Sujet: Compréhension des défis et des solutions de l'entreprise
© Copyright. Tous droits réservés. 5
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Approche intégrée
Figure 4: Gouvernance, risques et conformité intégrés
Les entreprises ont besoin d'une approche intégrée pour aller vers l'excellence opérationnelle.
Ils ont besoin d'une approche qui simplifie la GRC, et non des disciplines isolées de chacune,
et qui réduit considérablement les coûts, offre une conformité complète et une visibilité sur
les risques, et s'adapte facilement au changement. La solution GRC de SAP intègre la GRC à la
façon dont les entreprises font leurs affaires, à chaque processus de gestion et fournit une
approche intégrée de la gouvernance, des risques et de la conformité, qui inclut la
gouvernance des accès.
SYNTHÈSE DU SUJET
Vous êtes désormais en mesure de :
●Décrire les défis et solutions de gouvernance des accès
Chapitre 1 : Introduction à la gouvernance des accès à l'aide de SAP Access Control
6 © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Chapitre 1
Sujet 2
Compréhension de la fonctionnalité SAP
Access Control et des scénarios d'intégration
OBJECTIFS DU SUJET
À la fin de ce sujet, vous serez en mesure de :
●Décrire la fonctionnalité de contrôle d'accès SAP
Fonctionnalité SAP Access Control
SAP Access Control
Figure 5: SAP Access Control
SAP Access Control est une solution logicielle d'entreprise qui permet à une organisation de
contrôler l'accès, d'identifier les risques et de documenter la conformité. SAP Access Control
comprend quatre outils principaux :
●Analyse des risques d'accès
●Gestion des demandes d'accès
●Gestion des rôles utilisateur
●Gestion des accès d'urgence
Ces processus clés fonctionnent ensemble pour fournir aux organisations des fonctionnalités
avancées d'analyse et de reporting conçues pour identifier les risques liés aux processus de
gestion critiques. Les catalogues de risques et de contrôles permettent la définition centrale
du risque et la documentation des contrôles d'atténuation qui peuvent être appliqués à des
utilisateurs, groupes d'utilisateurs, rôles de sécurité spécifiques, etc., pour prendre en charge
les activités d'audit et de conformité. Le moteur d'analyse des risques est intégré à un
processus de mise à disposition de workflow et à un processus de gestion des rôles pour
permettre aux clients d'identifier le risque de manière précoce, avant de fournir l'accès aux
© Copyright. Tous droits réservés. 7
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

environnements de production. Les fonctions de reporting standard fournies incluent la
fonctionnalité d'analyse des risques ad hoc, l'analyse des risques par lots, les tableaux de
bord analytiques et le reporting d'alertes pour surveiller l'exécution des contrôles
d'atténuation et l'utilisation des transactions.
Analyse de risque d'accès (ARA)
Figure 6: Analyse des risques d'accès
L'analyse des risques est fournie via le processus d'analyse de risque d'accès (ARA). SAP
Access Control fournit un outil d'audit de sécurité et de séparation des tâches (SoD)
entièrement automatisé. Fourni avec plusieurs catalogues de risques ou ensembles de règles,
qui définissent les risques d'accès pour les solutions SAP standard, SAP Access Control est
conçu pour identifier, analyser et résoudre tous les problèmes de séparation des tâches et
d'audit liés à la conformité réglementaire. Le contenu de l'ensemble de règles standard est
fourni pour les solutions SAP, telles que S/4HANA, SAP ERP, SAP CRM, ainsi que plusieurs
solutions non-SAP, telles que Oracle, JD Edwards et Peoplesoft.
Les définitions de risques sont organisées par processus de gestion et classées comme
risque de Séparation des tâches, Accès critique ou Approbation critique. Incorporé dans
chaque ensemble de règles fourni, il s'agit d'un catalogue de fonctions qui est également
organisé par processus de gestion et qui permet de définir les actions et autorisations
pertinentes requises pour exécuter tout ou partie d'une fonction de gestion particulière. Le
risque peut être classifié comme unique ou inter-systèmes, selon la manière et le lieu
d'exécution des fonctions pertinentes.
Chapitre 1 : Introduction à la gouvernance des accès à l'aide de SAP Access Control
8 © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Figure 7: Résultats de l'analyse des risques
SAP Access Control fournit à la fois une analyse des risques ad hoc en temps réel et une
analyse hors ligne des risques par lots. L'analyse de simulation des risques permet aux
auditeurs de développer la stratégie de correction appropriée en simulant les modifications
apportées à l'accès utilisateur et/ou à la conception des rôles afin d'éliminer les conflits. Les
contrôles d'atténuation peuvent être sélectionnés et appliqués pendant le processus
d'analyse des risques si un contrôle approprié a été défini dans le catalogue de contrôle
d'atténuation.
L'analyse ad hoc peut être effectuée au niveau de l'utilisateur, du rôle ou à l'aide d'un nombre
illimité d'attributs de reporting, y compris, par exemple :
●Groupe d'utilisateurs
●Risque par processus
●ID de risque d'accès
●Niveau de risque
●Ensemble de règles
●Type d'utilisateur
●Système
●Inclure affectation de rôle
SAP Access Control fournit également des tableaux de bord Access Control pour fournir aux
responsables et aux auditeurs internes une représentation graphique des activités Risque et
correction dans chaque système connecté. Ces tableaux de bord sont mis à jour
régulièrement à l'aide d'une série de jobs d'arrière-plan périodiques, y compris l'analyse des
risques des lots.
Sujet: Compréhension de la fonctionnalité SAP Access Control et des scénarios d'intégration
© Copyright. Tous droits réservés. 9
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]

Gestion des demandes d'accès (ARQ)
Figure 8: Gestion des demandes d'accès (ARQ)
SAP Access Control fournit un workflow de mise à disposition et de désattribution des
privilèges d'accès utilisateur conforme pour la gestion des demandes d'accès (ARQ). ARQ
intègre la possibilité de réaliser une analyse des risques, une simulation et un accès en temps
réel au catalogue de contrôle d'atténuation, si nécessaire, avant d'attribuer l'accès à un
utilisateur. Les procédures d'approbation et le workflow d'approbation sont créés et
personnalisés à l'aide d'un workflow multi-niveaux flexible multi-trajets (MSMP). Le workflow
MSMP fournit l'infrastructure pour la création, la soumission et l'approbation des demandes
d'accès.
Les fiches utilisateur peuvent être créées et l'accès mis à disposition automatiquement après
l'approbation de la demande par les parties prenantes concernées. L'attribution automatique
de privilèges d'accès peut permettre aux membres de l'équipe de sécurité de se concentrer
sur les incidents et problèmes de sécurité, plutôt que de créer manuellement des utilisateurs
et d'affecter des rôles et des autorisations.
En outre, les fonctionnalités de workflow sont intégrées dans SAP Access Control et peuvent
être utilisées pour prendre en charge les fonctions suivantes :
●Gestion des risques
●Gestion des fonctions
●Gestion et affectation de contrôle d'atténuation
●Traitement des demandes d'accès
●Gestion des rôles
●Certification utilisateur et conformité
Chapitre 1 : Introduction à la gouvernance des accès à l'aide de SAP Access Control
10 © Copyright. Tous droits réservés.
Librería ERP — Sample | libreriaerp.com/us | [email protected]
Librería ERP — Sample | libreriaerp.com/us | [email protected]