Comprendre la Séparation des Tâches (SoD) dans SAP

La Séparation des Tâches, ou Segregation of Duties (SoD) en anglais, est un principe fondamental du contrôle interne. Dans un environnement SAP, ce principe se traduit par la nécessité de s'assurer qu'aucun utilisateur ne dispose, à lui seul, de droits lui permettant de réaliser l'ensemble d'un processus sensible. C'est un sujet central pour les auditeurs, les responsables de la conformité et les équipes sécurité.

Qu'est-ce que la SoD et pourquoi est-ce important ?

Le principe est simple : certaines tâches ne doivent pas être effectuées par la même personne. Par exemple, la personne qui crée un fournisseur ne devrait pas être celle qui approuve les paiements à ce fournisseur. Celle qui passe les commandes ne devrait pas pouvoir modifier les prix dans les fiches articles.

L'objectif est de prévenir la fraude et les erreurs en imposant un contrôle mutuel entre les acteurs d'un processus. Si une seule personne peut exécuter toutes les étapes, le risque de manipulation augmente considérablement, et les possibilités de détection diminuent.

Dans SAP, la SoD se matérialise au niveau des autorisations. Un conflit SoD existe lorsqu'un utilisateur possède les autorisations nécessaires pour exécuter deux fonctions incompatibles. Il ne s'agit pas nécessairement de ce que l'utilisateur fait réellement, mais de ce qu'il pourrait faire avec les droits dont il dispose.

Les auditeurs internes et externes portent une attention particulière à ce sujet. Les normes de contrôle interne (COSO, COBIT) et les réglementations sectorielles exigent que les entreprises identifient et gèrent activement leurs conflits SoD. Des constats d'audit sur ce thème peuvent avoir des conséquences directes sur la certification des comptes.

Les conflits SoD les plus courants dans SAP

Après des années de travail sur des environnements SAP dans différents secteurs, nous observons des schémas récurrents. Voici les familles de conflits les plus fréquentes.

Achats et fournisseurs

  • Créer ou modifier un fournisseur et valider des factures fournisseurs
  • Passer des commandes d'achat et modifier les conditions de prix
  • Gérer les fiches fournisseurs et exécuter les paiements

Ces conflits sont parmi les plus risqués car ils touchent directement aux flux financiers sortants de l'entreprise.

Finance et comptabilité

  • Saisir des écritures comptables et les valider
  • Gérer les comptes bancaires et exécuter les virements
  • Modifier les périodes comptables et passer des écritures

Les conflits dans le domaine financier sont systématiquement examinés lors des audits et représentent un risque de fraude direct.

Ventes et clients

  • Créer des commandes clients et modifier les conditions tarifaires
  • Gérer les avoirs clients et approuver les remises
  • Modifier les fiches clients et gérer les encaissements

Ressources humaines

  • Modifier les données salariales et exécuter les paies
  • Gérer les données personnelles et administrer les droits d'accès

Administration système

  • Gérer les rôles et autorisations et utiliser le système en tant qu'utilisateur métier
  • Administrer les paramètres du système et exécuter des transactions sensibles

Ce dernier point est souvent sous-estimé. Les administrateurs Basis disposent fréquemment de droits étendus qui ne sont jamais analysés sous l'angle SoD.

Comment identifier les conflits SoD

L'identification des conflits SoD repose sur deux éléments : un référentiel de règles (ruleset) et un outil d'analyse.

Le référentiel de règles

Le ruleset définit les combinaisons de fonctions considérées comme incompatibles. Il est spécifique à chaque entreprise car il dépend des processus métier, de l'organisation et du niveau de risque acceptable. Un bon ruleset couvre les modules SAP utilisés par l'entreprise et classe les risques par niveau de criticité (critique, élevé, moyen).

Construire un ruleset de qualité demande du temps et une bonne connaissance des processus métier. Il est recommandé de partir d'un référentiel standard (comme ceux proposés par les grands cabinets d'audit ou par SAP) et de l'adapter au contexte de l'entreprise.

L'analyse technique

Une fois le ruleset défini, il faut analyser les autorisations effectives de chaque utilisateur et les comparer aux règles. Cette analyse doit prendre en compte :

  • Les rôles simples et composites attribués à l'utilisateur
  • Les valeurs d'autorisation effectives après dérivation
  • Les profils supplémentaires éventuellement attribués
  • Les accès d'urgence (firefighter)

L'analyse manuelle est possible pour quelques utilisateurs, mais elle devient impraticable dès que l'on dépasse quelques dizaines de comptes. Un outillage est indispensable.

Comment remédier les conflits SoD

Identifier les conflits n'est que la première étape. La remédiation est le travail le plus complexe et le plus long.

Remédiation au niveau des rôles

La première approche consiste à revoir la conception des rôles pour éliminer les conflits. Cela implique de scinder certains rôles, de retirer des transactions ou de restreindre les valeurs d'autorisation. Cette approche est la plus propre mais elle nécessite une bonne compréhension des besoins réels des utilisateurs.

Remédiation au niveau des affectations

Si un rôle est correctement conçu mais qu'un utilisateur cumule deux rôles incompatibles, la solution est de revoir les affectations. Il faut déterminer quels rôles l'utilisateur a réellement besoin d'utiliser et retirer ceux qui ne sont pas justifiés.

Mitigation par les contrôles

Quand la remédiation n'est pas possible (par exemple dans une petite équipe où un utilisateur doit couvrir plusieurs fonctions), il faut mettre en place des contrôles compensatoires. Ces contrôles (revues de journaux, approbations supplémentaires, rapports de suivi) ne suppriment pas le conflit mais réduisent le risque résiduel à un niveau acceptable.

Le rôle des outils

SAP GRC Access Control

SAP GRC est la solution native de SAP pour la gestion des risques d'accès. Elle offre des fonctionnalités d'analyse SoD, de gestion des accès d'urgence (firefighter) et de workflow d'approbation. C'est une solution robuste mais dont l'implémentation et la maintenance représentent un investissement significatif.

MTC Skopos

Chez Meylan Technologies & Consulting, nous avons développé MTC Skopos, un outil d'analyse des risques SoD conçu pour être simple à déployer et à utiliser. MTC Skopos fonctionne hors ligne, supporte l'analyse inter-systèmes et propose des fonctionnalités de simulation. Il est particulièrement adapté aux entreprises qui recherchent une solution pragmatique sans la complexité d'un projet GRC complet.

Maintenir la conformité dans le temps

La gestion SoD n'est pas un exercice ponctuel. Les conflits réapparaissent naturellement à mesure que de nouveaux rôles sont créés, que des utilisateurs changent de poste ou que de nouvelles fonctionnalités sont déployées. Un processus de gouvernance continu est nécessaire : analyses régulières, intégration de l'analyse SoD dans le processus de gestion des demandes d'accès, et revue périodique du ruleset.

Vous souhaitez analyser les risques SoD de votre environnement SAP ? Découvrez MTC Skopos, notre outil d'analyse des risques.