Votre paysage applicatif SAP est probablement composé d’une multitude de systèmes ce qui rend plus complexe la gestion des autorisations et de leur maintenance dans ces différents applicatifs.
Rencontrez-vous des obstacles dans la mise en place d'une gouvernance cohérente des autorisations à travers vos différents systèmes SAP ? Envisagez-vous une migration vers S4 HANA ou êtes-vous déjà en train de le faire ?
Il est sans doute temps de considérer l'adoption d'une solution d'autorisation Core Modèle centralisée et standardisée. Dans cet article, nous aborderons ces solutions et présenterons les avantages d'une telle centralisation qui ouvre la voie à une standardisation des rôles métiers au sein de votre entreprise.
1- Qu’est-ce qu’un Core Modèle d'autorisation ?
Le Core Modèle d'autorisation est une structure prédéfinie qui régit les droits d'accès des utilisateurs aux différents modules, transactions et données dans un système SAP. Il vise à centraliser et standardiser la gestion des autorisations au sein d'une organisation. On distingue deux niveaux de Core Modèle :
Le Core Modèle technique : Ce modèle définit les autorisations de base nécessaires pour exécuter les activités courantes dans le système SAP. Il s’agit de rôles unitaires définis par l’équipe centrale IT et mis à disposition pour construire les accès des utilisateurs. Ce modèle de rôles est déployé identiquement dans tous les environnements SAP de l’entreprise sous forme de vague grâce au mécanisme d’import d’OT (Ordre de Transport).
Celui-ci représente les fondations du Core Modèle fonctionnel.
Le Core Modèle fonctionnel (ou métier) : Ce modèle porté par les « Business Process Owner centraux » s'applique aux fonctions métier de l'organisation. Il vise à aligner les accès sur les processus métier afin d’avoir un même rôle (généralement composite) par métier au sein des différents systèmes.
2- Quels sont les avantages d’un Core Modèle ?
Le Core Modèle technique d'autorisation offre plusieurs avantages pour les organisations utilisant SAP :
-
Une gestion centralisée et standardisée : les entreprises consolident et gèrent de manière centralisée les règles d'accès à leurs systèmes SAP. Cela simplifie la maintenance et la mise à jour des autorisations, réduisant ainsi la multiplication des efforts et des ressources nécessaires au niveau local. Ce modèle permet également d’industrialiser les futurs déploiements de la solution autorisation à d’autres organisations par la suite.
-
Une meilleure gouvernance autour des autorisations : garantie la cohérence dans la gestion des autorisations, évitant les erreurs ou mauvaises pratiques résultant d’approches multiples et variées. Si la société a différentes équipes Autorisations suivant les métiers mais qu’elles partagent un même outil de travail (les rôles unitaires), elles peuvent plus facilement partager les meilleures approches et bonnes pratiques d’un système à l’autre. Cela facilite les retours d’expérience entre équipe dans la gestion des problématiques de séparation des tâches.
-
Une sécurité renforcée : les autorisations de base sont définies clairement, approuvées en bonne et due forme, limitant ainsi les risques liés à une gestion fragmentée des autorisations. Les utilisateurs n'ont accès qu'aux autorisations nécessaires, ce qui réduit les possibilités d'accès non autorisés. Avec cette approche plus structurée, il devient également plus aisé de renforcer les contrôles d’accès aux informations sensibles.
Le Core Modèle fonctionnel rendu possible par la mise en place du Core Modèle technique offre les avantages suivants :
-
La standardisation des processus métier : le Core Modèle fonctionnel d'autorisation permet de standardiser les processus métiers en place au sein de chaque département. Cela favorise une meilleure adéquation entre les accès et les tâches effectuées par les utilisateurs, avec comme avantages : amélioration de l'efficacité opérationnelle, réduction des risques d'erreurs ou d'accès inappropriés et facilitation de la mobilité des employés d’un département à un autre.
-
La gestion du cycle de vie utilisateur simplifiée : le processus JML (Joiner/Mover/Leaver) est simplifié avec l’adéquation entre le rôle à demander dans le système et le métier de l’utilisateur. Les revues d’accès sont également simplifiées pour les managers.
-
La simplification du processus d’audit : avec une standardisation des accès et des processus découle également une standardisation des contrôles qui ouvre le chemin vers la possibilité d’audit globale tout en évitant le surcoût causé par une multiplicité d’équipes locales d’audit.
3- Défis et bonnes pratiques pour la mise en place et la maintenance d'un Core Modèle
La mise en place et la maintenance d'un Core Modèle métier d'autorisation peuvent présenter plusieurs défis. Il est impossible de tout harmoniser et il est essentiel de prendre en compte les spécificités des différentes équipes, entités ou pays lors de la mise en place initiale. Des différences légales, réglementaires ou liées aux processus métier peuvent nécessiter des autorisations spécifiques, qui vont se confronter à la rigidité d’une solution Core.
Un défi supplémentaire réside dans la gestion des autorisations spécifiques en dehors du Core Modèle. Il est crucial de pouvoir les différencier afin de pouvoir les gérer au mieux. La maintenance des droits d'accès et des demandes d'évolution provenant des équipes métier doit également s’inscrire dans un processus clair.
Le maintien du modèle et le traitement des demandes d'évolution sont un enjeu majeur. Les demandes d'évolution des utilisateurs finaux doivent passer par l'équipe centrale pour évaluer si les changements doivent être intégrés au niveau du modèle central ou s'ils relèvent de besoins spécifiques. Afin d’éviter un goulet d’étranglement au niveau central cette responsabilité doit être partagée par toute l’organisation avec un process et un RACI clair.
Pour relever ces défis, voici quelques bonnes pratiques à mettre en place :
-
Distinction claire entre les autorisations du Core Modèle et les autorisations spécifiques : les autorisations du Core Modèle ne doivent jamais être modifiées sur les systèmes cibles. Elles doivent être poussées à travers des ordres de transports de manière identique par les équipes IT centrales. Seules les autorisations spécifiques peuvent être modifiées par les équipes IT locales. Cette distinction peut être faite grâce à des conventions de nommage différentes.
-
Documentation détaillée avec traçabilité des changements du Core Modèle d'autorisation : pour chaque rôle, il faut détailler (et garder à jour) la description, les autorisations associées, les processus métiers impactés et les responsabilités (ownerships) pour faciliter la compréhension et la mise à jour du modèle.
-
Définir un processus pour les demandes d'évolution : établir une procédure et des instances pour évaluer les demandes d'évolution des utilisateurs finaux et décider si elles doivent être intégrées au Core Modèle ou traitées de manière spécifique. Ce processus doit impliquer une communication régulière et efficace entre les équipes métier et les équipes IT.
En conclusion, l'adoption d'un Core Modèle d'autorisation offre de nombreux avantages, tels qu'une gestion centralisée et standardisée des autorisations, une meilleure gouvernance et une sécurité renforcée. En complément, l'adoption d'un Core Modèle fonctionnel (ou métier) permet de standardiser les processus entre les équipes ou départements et un meilleur échange entre ceux-ci. On l’a vu, il est toutefois crucial de prendre conscience des défis associés à la maintenance d’un tel modèle et de structurer l’organisation de celle-ci dès la conception du modèle. Suivre cette approche permettra aux organisations non seulement de bénéficier d'une gestion des autorisations efficace et sécurisée dans leur environnement SAP mais aussi de répondre aux enjeux de standardisation et de diminution des coûts.
