Les ERP sont au c\u0153ur des entreprises, pour le pilotage de fonctions telles que les achats, la distribution, la paie… Des fonctions potentiellement sensibles qui imposent \u00e9videmment de contr\u00f4ler le bon fonctionnement des op\u00e9rations. En commen\u00e7ant par ma\u00eetriser dans la dur\u00e9e qui acc\u00e8de \u00e0 quoi ! Prenons l\u2019exemple d\u2019un ERP parmi les plus connus\u00a0: SAP.<\/i><\/p>\nPourquoi la gestion des identit\u00e9s et des habilitations des ERP ne doit-elle pas \u00eatre n\u00e9glig\u00e9e\u00a0?<\/h2>\n
Les ERP comme SAP sont devenus incontournables dans beaucoup d\u2019entreprises, particuli\u00e8rement dans les grands groupes. Tout le monde les utilise\u00a0: de la gestion des achats \u00e0 celle des contrats, en passant par le contr\u00f4le des factures, le mouvement des stocks ou la gestion des ressources humaines, les ERP permettent de tout g\u00e9rer. \u00c0 tel point que pour un utilisateur au c\u0153ur de ces fonctions, l\u2019ERP peut devenir son principal outil de travail, et repr\u00e9sente la majeure partie de \u00ab\u00a0son SI\u00a0\u00bb. Une ville dans la ville du SI, en somme.<\/p>\n
Des m\u00e9tiers comme les achats ou la distribution sont potentiellement sensibles, et sont de fait r\u00e9glement\u00e9s. La loi de s\u00e9curit\u00e9 financi\u00e8re en France, ou la loi Sarbanes-Oxley aux \u00c9tats-Unis, responsabilisent les utilisateurs, mettent en place le contr\u00f4le interne et contribuent \u00e0 la pr\u00e9vention des conflits d\u2019int\u00e9r\u00eat. Pour \u00eatre en mesure de se conformer \u00e0 ces r\u00e8glementations, il est n\u00e9cessaire de contr\u00f4ler les op\u00e9rations r\u00e9alis\u00e9es via les ERP.<\/p>\n
Mais encore faut-il savoir qui fait quoi dans l\u2019ERP… ce qui n\u2019est pas toujours le cas.\u00a0<\/span>La criticit\u00e9 des op\u00e9rations impose de donner au sein de l\u2019ERP les bons droits d\u2019acc\u00e8s, aux bonnes personnes, au bon moment, et de contr\u00f4ler la bonne application des r\u00e8gles<\/strong>. Cela implique, entre autres, de maintenir un r\u00e9f\u00e9rentiel d\u2019utilisateurs dans le temps, de d\u00e9finir des processus d\u2019habilitation \u00e0 diff\u00e9rents niveaux de validation, ou encore de d\u00e9finir des processus de gouvernance qui permettent de faire \u00e9voluer la gestion des habilitations de l\u2019ERP en phase avec l\u2019organisation op\u00e9rationnelle. Avec une attention particuli\u00e8re sur le mod\u00e8le d\u2019habilitation et l\u2019accompagnement aux utilisateurs.<\/p>\n Les ERP permettent beaucoup de souplesse dans la d\u00e9finition du mod\u00e8le d\u2019habilitation. Dans le cas de SAP, le mod\u00e8le est d\u00e9fini, notamment, via des r\u00f4les \u00ab\u00a0p\u00e8res\u00a0\u00bb et des r\u00f4les \u00ab\u00a0fils\u00a0\u00bb li\u00e9s par des notions d\u2019h\u00e9ritage, et qui instancient un ensemble de transactions sur un p\u00e9rim\u00e8tre donn\u00e9. Ou encore des r\u00f4les composites qui regroupent plusieurs r\u00f4les \u00ab\u00a0fils\u00a0\u00bb. Chaque entreprise utilisant SAP est ainsi en mesure de d\u00e9finir son mod\u00e8le d\u2019habilitation avec la granularit\u00e9 et la richesse n\u00e9cessaire \u00e0 son contexte.<\/p>\n Et c\u2019est bien l\u00e0 le risque. Cette souplesse ne doit pas inciter \u00e0 d\u00e9finir un mod\u00e8le d\u2019habilitation (trop) complexe pour l\u2019entreprise. Elle rendrait en effet\u00a0 la gestion des demandes plus compliqu\u00e9e au jour le jour et induirait au bout du compte un risque de non-conformit\u00e9 aux r\u00e9glementations.<\/p>\n Nous avons d\u00e9j\u00e0 rencontr\u00e9 des situations o\u00f9 les responsables du mod\u00e8le m\u00e9tier \u00a0se d\u00e9sapproprient le sujet, laissant le mod\u00e8le \u00e0 la d\u00e9rive. De m\u00eame dans le cas des responsables de la s\u00e9gr\u00e9gation des t\u00e2ches (qui limitent le cumul par une m\u00eame personne de fonctions incompatibles, comme par exemple \u00eatre en mesure d\u2019\u00e9diter une facture et de la payer), cette complexit\u00e9 peut entra\u00eener des attributions abusives de droits. Trop souvent, nous observons la situation \u00ab\u00a0je valide parce que je ne comprends pas\u2026 et ne veux pas emp\u00eacher les utilisateurs de travailler\u00a0\u00bb.<\/p>\n Le mod\u00e8le d\u2019habilitation doit donc \u00eatre cadr\u00e9 et maintenu dans le temps. Un cadre \u00ab\u00a0ferme\u00a0et simple \u00bb fixera des principes et limitera les d\u00e9rives. Il\u00a0 d\u00e9finira les r\u00f4les types en fonction des m\u00e9tiers et les processus associ\u00e9s, sans essayer de prendre en compte toutes les exceptions de chaque m\u00e9tier.<\/p>\n Par ailleurs, une organisation qui fasse \u00e9voluer le mod\u00e8le dans le temps est aussi n\u00e9cessaire\u00a0: la complexit\u00e9 peut r\u00e9sulter d\u2019\u00e9volutions successives sans vision d\u2019ensemble. Par exemple dans SAP, le mod\u00e8le d\u2019habilitation \u00e9volue notamment via la mise \u00e0 jour de r\u00f4les simples, lesquels contiennent des droits fins\u00a0<\/span>(transactions)<\/i>, r\u00e9percut\u00e9s dans plusieurs r\u00f4les composites, impactant\u00a0<\/span>in fine<\/i>\u00a0<\/span>plusieurs m\u00e9tiers.<\/p>\n Un travail en silo o\u00f9 les \u00e9volutions seraient dict\u00e9es par les besoins sp\u00e9cifiques de quelques fonctions conduirait \u00e0 un mod\u00e8le d\u2019habilitation cacophonique. Une organisation et des processus de gouvernance permettent d\u2019\u00e9viter cela en contr\u00f4lant et en validant collectivement les \u00e9volutions. Les acteurs d\u2019une telle gouvernance peuvent inclure des responsables des processus m\u00e9tiers, qui associent la connaissance du terrain \u00e0 celle du mod\u00e8le d\u2019habilitation. On pourra y associer un acteur du contr\u00f4le interne.<\/p>\n Une \u00e9quipe transverse s\u2019assure en compl\u00e9ment que les responsabilit\u00e9s d\u00e9finies sont bien attribu\u00e9es et vivent au gr\u00e9 des arriv\u00e9es, mobilit\u00e9s et d\u00e9parts.<\/p>\n Les utilisateurs aussi ont besoin de comprendre les habilitations elles-m\u00eames\u00a0<\/span>\u00a0<\/i>et de conna\u00eetre les acteurs li\u00e9s aux processus. \u00c0 d\u00e9faut de r\u00e9ponse \u00e0 ces questions, les utilisateurs se tourneront vers le chemin le plus court, parfois m\u00eame en contournant les processus. Les utilisateurs qui ne savent pas quels r\u00f4les correspondent \u00e0 leur besoin ont tendance \u00e0 demander les m\u00eames que leur coll\u00e8gue de bureau, ou bien leur pr\u00e9d\u00e9cesseur. Ceux qui souhaitent obtenir rapidement un r\u00f4le donn\u00e9 seront enclins \u00e0 le demander directement \u00e0 la personne effectuant l\u2019attribution finale. Avec le temps, des droits dont les utilisateurs n\u2019ont pas besoin, voire\u00a0 incompatibles entre eux, s\u2019accumulent.<\/p>\n Permettre aux utilisateurs de travailler correctement sur un ERP implique aussi de les former \u00e0 l\u2019utilisation des outils. Cela parait naturel pour les transactions m\u00e9tier qu\u2019ils utilisent tous les jours. Mais c\u2019est tout aussi n\u00e9cessaire pour les d\u00e9marches de demande d\u2019acc\u00e8s li\u00e9es \u00e0 l\u2019ERP qu\u2019ils n\u2019utilisent qu\u2019occasionnellement, et qu\u2019ils ont tendance \u00e0 oublier.<\/p>\n Enfin la gestion du changement doit permettre de faire vivre les r\u00e9f\u00e9rentiels documentaires et le r\u00e9seau des utilisateurs cl\u00e9.<\/p>\n Les projets de gestion des identit\u00e9s et des habilitations du SI ne devraient pas h\u00e9siter \u00e0 int\u00e9grer les ERP dans leur p\u00e9rim\u00e8tre\u2026 et r\u00e9ciproquement. En effet ces projets sont encore trop souvent men\u00e9s de mani\u00e8re disjointe pour les ERP d\u2019une part, et le reste du SI d\u2019autre part. Les gestions des identit\u00e9s et des habilitations doivent pourtant \u00eatre mises en coh\u00e9rence op\u00e9rationnellement, tout utilisateur d\u2019un ERP \u00e9tant d\u2019abord un utilisateur du SI. Sans surprise, leurs probl\u00e9matiques sont d\u2019ailleurs similaires… et leurs r\u00e9ponses aussi\u00a0! Les questions des organisations, des processus et des interfaces techniques entre les deux environnements m\u00e9ritent donc d\u2019\u00eatre instruites. Bien que ces questions d\u00e9pendent du contexte, un d\u00e9but de r\u00e9ponse serait \u00e0 minima de d\u00e9cliner les m\u00eames processus de gestion des identit\u00e9s. Sans oublier que la gestion des acc\u00e8s doit \u00eatre consid\u00e9r\u00e9e comme un pan complet de la conduite du changement et de la formation.<\/i><\/p>\n <\/p>\n Les ERP sont au c\u0153ur des entreprises, pour le pilotage de fonctions telles que les achats, la distribution, la paie… Des fonctions potentiellement sensibles qui imposent \u00e9videmment de contr\u00f4ler le bon fonctionnement des op\u00e9rations. En commen\u00e7ant par ma\u00eetriser dans la…<\/p>\n","protected":false},"author":206,"featured_media":6046,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36,3224],"tags":[1724,789,3305],"coauthors":[1337],"class_list":["post-5972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-digital-trust","category-digital-identity","tag-erp","tag-gestion-des-identites","tag-identity-access-management"],"acf":[],"yoast_head":"\nLa richesse des mod\u00e8les d\u2019habilitation peut induire trop de complexit\u00e9\u00a0: comment trouver le bon \u00e9quilibre\u00a0?<\/h2>\n
Accompagner les utilisateurs\u00a0: la cl\u00e9 pour garantir que les outils soient utilis\u00e9s \u00e0 bon escient<\/h2>\n