La conformité SAP, comment maitriser son risque sans se ruiner ?

La sécurité, est-elle un coût ou une valeur pour l’entreprise ?

La question est un véritable serpent de mer. Alors que le digital est plus important que jamais dans les entreprises, parfois vue comme une mode ou une opportunité, la transformation numérique est avant tout un impératif pour l’entreprise et la sécurité est à la croisée des chemins.

Faire plus avec beaucoup moins.

Avec des équipes bien trop souvent sous dimensionnées, les directions de l’Audit et du Contrôle Interne jugent que leurs équipes passent trop de temps à collecter les données. Cela s’explique par des reportings complexes et nombreux et un processus très manuel.

La conséquence directe et le danger principal c’est une hyper individualisation des actions du plan d’audit. Une réponse à la demande telle qu’elle se présente et sans évaluation de cette demande.

Ainsi, pour perfectionner la mesure et renforcer les contrôles, les départements de l’Audit et du Contrôle Interne se transforment et « robotisent » les tâches répétitives via des algorithmes qui calculent des KPIs de performance et de conformité.

Ce levier permet notamment de focaliser les énergies humaines sur l’analyse d’indicateurs de performance et de la conformité, le déploiement, la communication et la surveillance. Dans cette démarche, on ne gouverne plus des plans d’audit, on gouverne à partir des faits !

Vérification de la conformité. Faites vos jeux !

Les jours passent et se ressemblent dans le monde de la fraude en entreprise. Depuis le début de l’année 2017 s’étalent déjà dans la presse de nombreuses tentatives de resquillage de données. A croire que tout le monde y passe ?

Lorsque l’on aborde la sécurité d’un système SAP, la notion de surface d’attaque est très importante. C’est un fait, 98%* des systèmes SAP productifs sont vulnérables. L’enjeu est donc de scanner à 360° le niveau de risque des menaces qui pèsent sur un système SAP, d’identifier la surface d’attaque et construire un plan d’audit et de sécurité efficient pour réduire sa taille.

La méthode par échantillonnage qui consiste à diagnostiquer un prélèvement ne satisfait plus aux enjeux actuels. Pour répondre à ces nouveaux défis, les départements de l’Audit et du Contrôle interne s’équipent de sismographes « BigData » qui indexent les données des solutions SAP et calcul un « score de risque » par domaine. Ce qui intéresse ce ne sont absolument pas les données en tant que telles, mais les risques qu’elles représentent dans leur globalité pour prendre les bonnes décisions.

Par exemple, 38%* de l’exposition aux menaces d’un systèmes SAP sont issus de vulnérabilités liées à la configuration d’une solution SAP pour lesquelles de faibles investissements suffisent pour réduire de plus de 78%* la surface d’attaque.

Dans un tout autre domaine, alors que 84%* des investissements en sécurité sont principalement alloués à des projets de SoD (Segregation of Duty – pour séparation des fonctions pour les accès SAP) seulement 23%* des efforts d’exécution des contrôles compensatoires du plan de remédiation sont réalisés sur des faits avérés.

Être prédictif ou comment faire parler les données !

La réduction des budgets pousse instinctivement les départements d’audit et de contrôle interne à la recherche des espaces d’optimisation maximale. Or, un bon plan d’audit ne peut se construire qu’à partir de la découverte de faits qui n’ont pas été prévus et qui incite à revoir l’ordre de préférence.

Ainsi, pour éviter de conforter un état de fait, les directeurs d’audit et de contrôle interne sont à recherche de moteurs prédictifs pour engager des initiatives à forte valeur ajoutée et progresser dans leur responsabilité de conseil aux opérations.

De cette façon, les membres du département de l’Audit et du Contrôle Interne endossent pleinement leur rôle de conseil, améliorent le partage d’informations, garantissent des contrôles efficients, génèrent un maximum de valeur aux métiers et à la direction générale.

A retenir.

Encore d’avantage cette année, bien que les questions de concurrence avec d’autres projets, la « digitalisation » de l’Audit et du Contrôle Interne est nécessaire pour accompagner les dirigeants dans la stratégie d’entreprise.

Bonne nouvelle, la technologie est désormais au rendez-vous ! Il serait dommage pour les auditeurs internes de se passer de l’analyse de données intégrée car c’est un véritable atout pour gagner en influence auprès de la gouvernance de l’entreprise.

* statistiques PERFORMER FOR SAP® by Inventy© (Janvier 2017) sur une base de 280 clients

Inscrivez-vous au Club SAP Security & Compliance le 20 avril 2017 - SAP Montréal