Meylan Technologies & ConsultingMTC Skopos : l'analyse des risques SoD simplifiée
L'analyse des risques liés à la Séparation des Tâches (SoD) est un exercice incontournable pour toute entreprise utilisant SAP. Mais les solutions disponibles sur le marché sont souvent lourdes à implémenter, coûteuses à maintenir, et réservées aux grandes organisations disposant d'équipes dédiées. C'est pour répondre à ce constat que nous avons développé MTC Skopos.
Le problème que nous résolvons
La plupart des entreprises que nous accompagnons se trouvent dans l'une des situations suivantes.
Elles n'ont aucun outil d'analyse SoD. L'analyse est réalisée manuellement, à base d'extractions de données et de tableaux croisés dans Excel. Le processus est long, source d'erreurs, et les résultats sont obsolètes avant même d'être présentés aux auditeurs.
Elles disposent de SAP GRC mais peinent à l'exploiter. SAP GRC Access Control est une solution puissante, mais son implémentation est un projet en soi. La maintenance du ruleset, la gestion des workflows et l'administration de la solution demandent des ressources importantes. Certaines entreprises ont investi dans GRC sans jamais atteindre un niveau d'utilisation satisfaisant.
Elles ont besoin d'analyser des environnements non-SAP. Les solutions traditionnelles sont centrées sur SAP. Mais les risques SoD existent aussi dans les applications tierces. Une vision globale des risques d'accès nécessite un outil capable de traiter des données provenant de systèmes hétérogènes.
Elles veulent une solution rapide à déployer. Les projets GRC durent typiquement plusieurs mois. Certaines entreprises ont besoin de résultats rapidement, que ce soit pour préparer un audit, répondre à un constat ou évaluer leur exposition aux risques.
Ce que fait MTC Skopos
MTC Skopos est un analyseur de risques SoD et d'accès critiques conçu pour être pragmatique. Voici ses fonctionnalités principales.
Analyse SoD et accès critiques
MTC Skopos analyse les autorisations effectives des utilisateurs et les compare à un référentiel de règles pour identifier les conflits de Séparation des Tâches et les accès critiques. L'analyse couvre les rôles, les profils et les valeurs d'autorisation détaillées.
Les résultats indiquent précisément quels utilisateurs présentent quels conflits, avec le détail des rôles et des autorisations responsables. Cette granularité est essentielle pour la remédiation : il ne suffit pas de savoir qu'un conflit existe, il faut comprendre d'où il vient pour le corriger efficacement.
Analyse inter-systèmes
Un point fort de MTC Skopos est sa capacité à détecter les conflits SoD répartis sur plusieurs systèmes. Un utilisateur peut n'avoir aucun conflit dans un système SAP pris isolément, mais présenter un risque lorsqu'on combine ses accès sur deux systèmes différents.
Par exemple, un utilisateur disposant du droit de créer des fournisseurs dans le système ERP et du droit d'approuver des paiements dans un autre système présente un conflit SoD inter-systèmes. Ce type de risque est invisible si chaque système est analysé séparément.
Simulation
Avant d'attribuer un rôle à un utilisateur, MTC Skopos permet de simuler l'impact de cette affectation sur les risques SoD. Cette fonctionnalité est particulièrement utile pour les équipes qui gèrent les demandes d'accès : elles peuvent vérifier en amont qu'une attribution de rôle ne va pas créer de nouveaux conflits.
La simulation fonctionne aussi dans l'autre sens : il est possible de simuler le retrait d'un rôle pour évaluer si cela permet de résoudre un conflit existant.
Fonctionnement hors ligne
MTC Skopos est un logiciel portable. Il ne nécessite aucune installation, aucun serveur, aucune infrastructure. Il s'exécute directement sur le poste de l'analyste. Les données sont importées depuis les systèmes SAP (via extraction ou connexion RFC) ou depuis des fichiers plats pour les systèmes non-SAP.
Ce mode de fonctionnement présente plusieurs avantages. Il n'y a pas de dépendance à un serveur central. Les données sensibles restent sur le poste de l'analyste. Et l'outil peut être utilisé dans des contextes où l'accès réseau est restreint, par exemple lors de missions d'audit sur site.
Reporting Power BI
MTC Skopos produit des résultats exploitables directement dans Power BI. Un fichier .pbix prêt à l'emploi est fourni, offrant des tableaux de bord visuels sur les résultats de l'analyse. Les responsables sécurité et les auditeurs disposent ainsi d'une vue claire et synthétique de la situation, sans avoir à manipuler des fichiers bruts.
Pour qui est MTC Skopos ?
MTC Skopos s'adresse à plusieurs profils.
Les équipes sécurité SAP qui ont besoin d'un outil opérationnel pour analyser les risques d'accès de manière régulière, sans la complexité d'une solution GRC complète.
Les auditeurs internes qui doivent évaluer les risques SoD dans le cadre de leurs missions et qui cherchent un outil capable de produire des résultats fiables rapidement.
Les consultants en sécurité SAP qui interviennent chez différents clients et ont besoin d'un outil portable, indépendant de l'infrastructure du client.
Les entreprises en phase de projet (implémentation S/4HANA, migration, redesign de rôles) qui veulent intégrer l'analyse SoD dans leur démarche projet sans attendre le déploiement d'une solution GRC.
MTC Skopos et SAP GRC : des approches complémentaires
MTC Skopos n'a pas vocation à remplacer SAP GRC. Les deux solutions répondent à des besoins différents.
SAP GRC Access Control est une suite complète qui couvre l'analyse des risques, la gestion des workflows d'approbation, le provisioning des accès et la gestion des accès d'urgence. C'est la solution de référence pour les grandes organisations qui souhaitent automatiser l'ensemble de la chaîne de gestion des accès.
MTC Skopos se concentre sur l'analyse des risques. Il est plus rapide à déployer, plus simple à utiliser, et il couvre des cas d'usage que GRC ne traite pas nativement, comme l'analyse inter-systèmes ou l'analyse de systèmes non-SAP.
Dans la pratique, certains de nos clients utilisent les deux solutions. MTC Skopos pour l'analyse ponctuelle, la simulation et les audits. SAP GRC pour la gestion continue des accès et les workflows opérationnels.
Les add-ons à venir
Nous développons activement de nouvelles fonctionnalités pour MTC Skopos :
- Rapport de remédiation : identification des opportunités de remédiation basée sur les données d'usage réelles des utilisateurs.
- Concepteur de rôles SAP : génération automatique de rôles à partir de la description des besoins, en s'appuyant sur l'intelligence artificielle.
- Analyse Did-Do : vérification que les risques d'accès se sont matérialisés dans le système en analysant les journaux d'activité.
- Rapports pour la direction : tableaux de bord orientés métier pour la prise de décision au niveau du management.
Demander une démonstration
MTC Skopos est disponible pour les entreprises suisses et internationales. Nous proposons des démonstrations personnalisées pour vous montrer comment l'outil peut répondre à vos besoins spécifiques.
Vous souhaitez en savoir plus ? Découvrez MTC Skopos sur notre page dédiée.