Blog

Au cours des prochaines semaines, ileven - cabinet de conseil spécialisé dans les problématiques de la GRC (Governance, Risk & Compliance) - va publier des retours d’expérience sur les différents outils du marché liés au monde de la GRC en détaillant leurs fonctionnalités, leurs avantages et leurs points d’amélioration.

L’outil SAP GRC Access Control 5.3 est composé de 4 modules et il s’adresse à l’ensemble des clients voulant mettre sous contrôle leur gestion des autorisations (rôles et utilisateurs).

• Fonctionnalités principales :
  • Identification des conflits SoD (Segregation Of Duties) – RAR : Risk Analysis & Remediation
  • Documentation des contrôles compensatoires – RAR : Risk Analysis & Remediation
  • Traçabilité des comptes à pouvoir élargis – SPM : Superuser Privilege Management
  • Mise en place des workflows d’attribution des droits avec vérification SoD – CUP : Compliant User Provisioning
  • Mise en place des workflows de gestion des rôles avec vérification SoD Contrôle SoD sur la gestion des rôles – ERM : Enterprise Role Management

• Bénéfices :
  • Mise en conformité des rôles/utilisateurs vis-à-vis des règles définies par le Contrôle Interne
  • Responsabilisation du métier au niveau de l’attribution des droits
  • Réduction des coûts de maintenance
  • Tableau de bord/Reporting pour les responsables métiers
  • Réduction des coûts de Contrôle Interne
  • Réduction des risques d’erreurs et de fraudes

• Axes d’amélioration :
  • Customisation des reports
  • Flexibilité des champs de l’interface utilisateur

• Best practices :
  • Consulter l’article sur les « 11 commandements » : http://www.ileven.fr/blog/2010/10/27/les-11-commandements-suivre-pour-conduire-votre-projet-sap-grc-a/

A très bientôt, pour un nouvel article sur un autre outil GRC.

L’équipe ileven.

Pour tout renseignement, contactez ileven@ileven.fr

« ileveniser » vos projets SAP GRC Access Control en respectant les 11 règles d’or suivantes :

1. Impliquer tous les acteurs dans le projet : DSI, Contrôle interne, métier.
2. Prévoir la conduite du changement associée au projet GRC : « La culture du contrôle est aussi une histoire de formation ».
3. Définir l’architecture cible GRC (paysage système, serveur dédié, performance,…).
4. Cadrer et définir la trajectoire du projet via un audit autorisation.
5. Définir une matrice SoD (« Segragation of Duties ») en adéquation avec le métier et les besoins du client et la réglementation.
6. Utiliser/Définir une solution autorisation respectant les best practices SAP.
7. Utiliser des super-utilisateurs (firefighters) pour remplacer les utilisateurs à profil élargi afin d’établir une traçabilité notamment pour les transactions critiques (modification des données fournisseurs par exemple).
8. Définir le bon niveau de logs firefighters pour fournir un reporting exploitable.
9. Ne mettre en place des contrôles compensatoires qu’après avoir exploité toutes les possibilités de remédiation.
10.  Utiliser CUP (workflow de « provisioning » des comptes utilisateurs SAP) pour pérenniser la remédiation utilisateur et veiller à définir des workflows simples.
11. Définir des actions de  « Continuous Compliance Monitoring », exemple : analyse mensuelle des rôles et utilisateurs.

Pour tout renseignement, contactez ileven@ileven.fr.

Paris, le 25 mai 2010 – ACL Services Ltd., leader mondial des solutions logicielles d’audit, choisit ileven, première société indépendante de conseil spécialisée en Gouvernance IT et mise en œuvre de solutions GRC, comme partenaire privilégié pour mettre en œuvre sa plate-forme ACL AuditExchange en environnement SAP.

ACL AuditExchange offre des fonctions centralisées d’extraction sécurisée des données à partir de différents systèmes sources SAP et non SAP, d’automatisation des contrôles et de diffusion d’alertes.

Cette plate-forme ACL contribue ainsi à réduire les risques de fraude, à renforcer le dispositif de contrôle interne des données et processus gérés dans SAP et à diminuer les coûts d’audit.

ileven apporte à ACL sa connaissance approfondie des solutions SAP et son expérience en matière de performance et contrôle des processus de l’entreprise.

« Nous avons souhaité ce partenariat pour nous appuyer sur une solution logicielle ouverte, souple et peu onéreuse pour répondre aux besoins de sécurité et de contrôle au sein d’environnements SAP toujours plus globaux, complexes et partagés. Le composant Direct Link d’Audit Exchange (AX Link) permet une exploitation rapide, organisée et sécurisée de toutes les données SAP sur une plateforme web simple d’utilisation » souligne Mathieu GODARD, Associé en charge de l’offre GRC (Governance, Risk and Compliance) pour ileven.

« ileven nous accompagne dans notre stratégie de diffusion de notre suite logicielle en environnement SAP. L’expérience des équipes d’ileven, leur profonde maîtrise des solutions SAP et leur parfaite compréhension des enjeux auxquels doivent faire face les entreprises en matière de gestion des risques informatiques, en font un partenaire de choix pour ACL », ajoute Liz Maloney, Directrice EMEA de ACL.

Alors que la DSI occupe désormais, au sein des organisations, une place, si ce n'est centrale, au moins transversale, se repose pour beaucoup la question de la mise en place d'ITIL. Le fameux référentiel de bonnes pratiques de gestion des services informatiques a en effet, au moins sur le papier, de quoi séduire. Est-ce pour autant la solution à tous les maux de la DSI ? Rien n'est moins sûr...

ITIL : Utile ou futile ?

SAP est une solution riche en promesses mais aussi en complexité. Déployés à grande échelle, les systèmes SAP mobilisent d’importantes ressources et bouleversent les organisations.

Pour répondre aux enjeux liés à la mise en place de SAP dans les organisations (apport de valeur, satisfaction du Métier, performance et maîtrise du SI…), ileven s'appuie sur CobiT, cadre de référence des bonnes pratiques en matière de gouvernance des systèmes d’information.

Experts des systèmes et des organisations SAP, les consultants ileven posent un diagnostic de votre environnement SAP basé sur le modèle de maturité des 34 processus CobiT.

Les consultants exploitent ensuite les résultats de manière pragmatique pour décliner un plan d’actions concret tenant compte des priorités de l’entreprise : réagir aux exigences métier en accord avec la stratégie, s’assurer de la satisfaction des utilisateurs, donner de l’agilité à l’informatique, livrer les projets à temps et dans les limites budgétaires, s’assurer que l’information critique et confidentielle n’est pas accessible à ceux qui ne doivent pas y accéder…

Avec CobiT, l’organisation toute entière se dote d’un langage commun et partage une même vision du système d’information SAP. Chaque partie est responsabilisée. Le fonctionnement de l’organisation SAP est optimisé.

Avec « CobiT for SAP », ileven vous aide à mettre en évidence les bénéfices d’une démarche de gouvernance IT et s’appuie sur un référentiel global pour vous garantir une mise en œuvre progressive mais rigoureuse.

Contactez les associés : stephanie.braud-conte@ileven.fr et mathieu.godard@ileven.fr

A propos d’ileven

Créée en 2009, ileven est une société française de conseil en organisation des systèmes d’information spécialisée en Gouvernance IT, mise en œuvre de solutions GRC (Governance, Risk and Compliance) et management de projet ERP. ileven est membre de l’AFAI (Association française de l’audit et du conseil informatique). Pour plus d’informations, rendez-vous sur : www.ileven.fr

ileven vous livre en quelques lignes, un résumé de l’analyse.

Rappel des enjeux :

Le contrôle continu (CCM) a pour objectif de détecter et prévenir les risques de pertes financières consécutives à la fraude et plus simplement à l’erreur, de réduire les coûts d’audit et d’améliorer la maîtrise des processus par la mise en œuvre de contrôles automatiques dans les systèmes ERP et autres applicatifs d’entreprise.

A ce titre, il intéresse bien évidemment l’audit interne mais également la direction financière soucieuse du « bottom line »…

Le contrôle continu n’est qu’une des briques constitutives d’une plateforme de GRC d’entreprise plus globale (gestion du risque, gestion collaborative des activités d’audit et de contrôle…).

Les grandes fonctions des solutions de CCM :

1. Automatisation des contrôles via des connecteurs aux applicatifs d’entreprise. Les contrôles portent sur les conflits de séparation des tâches mais aussi sur la gestion des données de base, le déroulement des opérations et même sur le paramétrage de l’ERP.

2. Reporting, alerting et remédiation via un système de workflow management. 

Les éditeurs du MAGIC QUADRANT

Source : Gartner (2010)

Première condition pour être classé : générer plus de 2M$ de licences en 2009 ou avoir plus de 15 clients ! D’où l’exclusion de certains comme : BWise, Lumigent… Du coup, le Gartner nous livre un MAGIC QUADRANT avec moins de 10 solutions !!

L’étude porte principalement sur la capacité des solutions à adresser le thème de la SoD (« Segragation of Duties » ou « Séparation des Tâches » en français). C’est pourquoi, nous retrouvons les deux grands éditeurs SAP et ORACLE avec leurs solutions respectives de GRC tout à fait pertinentes et évidentes sur ce thème bien précis. Chacun vise son propre écosystème avec une prime à SAP qui bénéficie de sa position de leader dans le monde ERP et qui n’a pas tardé à développer des connecteurs avec d’autres systèmes comme Oracle !

A leur côté, des solutions de « pure players », présents depuis plus longtemps sur ce thème de la GRC et dans le monde des auditeurs. Ceux qui se distinguent sont : APPROVA, ACL et Greenlight. Leur force commune : avoir su embarquer des connecteurs avec les ERP du marché, SAP plus particulièrement.

ACL : offre une solution très souple et peu excessive financièrement. Largement utilisée par les auditeurs. Solution parfaitement connectée à SAP. Comme me l’a récemment souligné un collaborateur SAP, ACL est comme un radar mobile : très efficace lorsqu’il est utilisé au bon endroit au bon moment. ACL est également une solution pertinente et complémentaire à certaines solutions déjà mises en œuvre dans le cadre de projet SOX, comme RVR Systems.

APPROVA : seul éditeur de CCM identifié comme visionnaire. Pour SAP, c’est le principal concurrent. Approva a développé des connecteurs avec SAP et d’autres systèmes.

Greenlight : solution souple et flexible et très liée au monde SAP, s'insérant même aux propres solutions GRC de SAP.

Le marché :

Le marché est encore en devenir mais déjà les éditeurs bénéficient de taux de croissance de l’ordre de 10 à 30% par an. Il est au 2/3 porté par le marché US mais quelques grands projets ont été lancés en Europe.

Retrouvez l’étude sur internet : http://www.gartner.com/technology/media-products/reprints/approva/article3/article3.html

Dans un contexte réglementaire toujours plus exigeant, les entreprises déploient des efforts humains considérables en activités manuelles d’audit et de contrôle. Les coûts interne et externe associés explosent !

La technologie propose aujourd’hui des solutions performantes pour renforcer le dispositif de contrôle interne tout en garantissant un retour sur investissement quasi immédiat : détection de la fraude, gestion collaborative des activités d’audit et de contrôle, gestion préventive des règles de séparation des tâches, mise en place d’un contrôle continu par l’automatisation des contrôles applicatifs en connexion avec les systèmes transactionnels de type ERP…

Dans un objectif de bonne Gouvernance de l’entreprise, c’est au DSI qu’incombe aujourd’hui la responsabilité de renforcer la maîtrise du système d’information… avant que l’audit s’en charge à sa place ou que la DG le lui ordonne !

ileven, société de conseil spécialisée en Gouvernance IT et mise en œuvre de solutions GRC (Governance, Risk and Compliance) vous aide à mettre en évidence les bénéfices d’une démarche de GRC en IT et s’appuie sur sa connaissance des solutions du marché pour sélectionner les outils les plus adaptés à votre contexte.

Contactez nous sur www.ileven.fr/contacts

Les solutions GRC : ACL, APPROVA, BWISE, ENABLON, SAP GRC…

ITIL est focalisée sur la fourniture opérationnelle des services informatiques et leur optimisation dans un souci permanent de satisfaction client.

De manière pratique, ITIL vise essentiellement les services de gestion d’infrastructures, du support et de la maintenance des applications.

ITIL est donc orientée sur le bon fonctionnement des opérations quotidiennes dans un objectif de satisfaction du client ;  objectif basé sur un contrat de services (internalisé ou externalisé) s’appuyant exclusivement sur des métriques technico-temporelles : nombre de bugs bloquants non résolus dans un délai de plus de 2h, délai moyen de réponse du help desk…

Parfait dans son rôle de garant du bon fonctionnement des opérations (de manière transparente avec ses clients,  ce qui est un progrès en terme de gouvernance), ITIL devient obsolète et inefficace dès lors qu’il s’agit de gouvernance globale des systèmes d’information. Il en est un des piliers mais omet la dimension noble de la gouvernance IT : l’alignement du SI sur le métier, la vision future du SI, la gestion des risques…

Or, aujourd’hui, le challenge du DSI est là, dans sa capacité à gouverner le SI en harmonie avec le Business. L’informatique manque encore de transparence dans son organisation, dans la justification des projets menés… Au-delà de la transparence, les Métiers ne peuvent jamais avoir la certitude que leurs stratégies et préoccupations soient réellement prises en compte.

Sur tous ces thèmes, un référentiel comme COBIT apporte des réponses et englobe en même temps les progrès réalisés par la mise en œuvre d’ITIL dans les entreprises. COBIT est là pour conduire toutes ces initiatives à la fois… et plus encore sous sa version COBT 5.0 bientôt disponible !

La DSI est encore une direction jeune  qui a besoin de se structurer, de faire ses preuves, de montrer son potentiel énorme pour l’entreprise toute entière.

La Gouvernance IT, c’est rendre l’informatique plus professionnelle dans son organisation et sa relation aux autres, au quotidien (ce que fait bien ITIL) mais surtout pour bien préparer l’avenir (ce que fait mieux COBIT).

ileven vous aide à mettre en évidence les bénéfices d’une démarche de gouvernance IT et s’appuie sur CobiT pour vous garantir une mise en œuvre progressive rigoureuse.

Selon une étude AMR Research de 2009, deux tiers des dépenses globales liées à la gestion des risques et à la conformité trouvent leur origine, d’une part, dans le recours grandissant aux cabinets d’audit et de conseil, et, d’autre part, dans l’effort humain considérable déployé en interne par les entreprises.

Seule la technologie associée à une démarche de progrès peut permettre aujourd’hui d’envisager une diminution de ces dépenses récurrentes, en constante augmentation.

Le choix d’une plateforme de GRC adaptée à votre contexte vous garantit un retour sur investissement rapide grâce à l’automatisation de très nombreuses tâches manuelles : de la mise en place de circuits électroniques d’alertes ou d’approbation à l’intégration de contrôles continus dans l’ensemble de vos applications d’entreprise.

Choisir un outil de GRC n’est pas chose facile. La collaboration de l’informatique, du métier et de l’audit interne est indispensable. De plus, il existe un grand nombre de solutions sur le marché : des « pure players » tels que BWise, MetricStream, Approva aux leaders incontestés de l’applicatif d’entreprise : SAP, Oracle… en passant par des solutions made in France telles que Enablon ou RVR Systems.

Dès lors, entreprendre une démarche réfléchie et complète de sélection de solutions est primordiale.

ileven vous aide à mettre en évidence les bénéfices d’une démarche de GRC en IT et s’appuie sur une méthodologie rigoureuse pour sélectionner la solution la plus adaptée à votre contexte.