L’AFAI (Association Française de l’Audit et du conseil Informatiques), l’IFACI (Institut Français de l’Audit et du Contrôle Internes) et l’USF (association des utilisateurs francophones des solutions SAP), un guide d’évaluation de système SAP à destination des auditeurs internes et managers des SI mais aussi aux DSI et responsables de centres de compétences SAP
Issu de plus d’un an de travaux communs, ce guide a pour objectif de permettre aux entreprises de diagnostiquer le niveau de sécurité de leur système SAP. Pour fournir à leurs membres un dispositif d’aide clé en main, facilement opérationnel, les trois associations proposent, en accompagnement du guide, un outil pratique inédit permettant une évaluation rapide d’un système SAP sur les plans de la sécurité et de la continuité d’activité.
Le travail autour de ce Livre Blanc résulte d’un constat : du fait de son caractère global et transverse, SAP gère des données sensibles et ses fonctionnalités sont vitales pour assurer le bon fonctionnement d’une organisation. Il est alors crucial que la sécurité soit assurée, dans la mesure où toute défaillance peut entrainer des préjudices graves sur les plans financier, social, juridique ou en termes d’image.
Les auditeurs disposeront notamment d’éléments d’alerte pour justifier le déclenchement d’un audit plus approfondi ; et les DSI et responsables des centres de compétences SAP pourront anticiper les incidents potentiels, pour mieux communiquer vis-à-vis de leur direction générale et des directions métiers sur le niveau de maitrise et de risques des environnements SAP.
Le guide couvre sept domaines, sous forme de fiches présentant à la fois les objectifs de contrôle et les critères d’évaluation : organisation et gouvernance de la sécurité, sécurité des données, sécurité des accès et habilitations, séparation des fonctions, sécurisation des flux entrants et sortants, la continuité de service et Plan de Reprise d’Activité (PRA) ainsi que la sécurité des changements.
En complément du guide d’évaluation, et pour faciliter le passage de la méthode à la mise en œuvre opérationnelle, l’AFAI, l’IFACI et l’USF proposent à leurs membres un outil concret de mise en pratique, via un outil Excel CAAT (Computer-Assisted Audit Tool) d’aide à l’audit, qui propose à l’utilisateur, à l’aide de formulaires préconfigurés, d’analyser, critère par critère, les sept domaines d’évaluation proposés dans le guide.