GRC

GOUVERNANCE, RISQUES, CONFORMITÉ

La gouvernance d'entreprise est l'ensemble des processus, règlementations, lois et institutions influant la manière dont l'entreprise est dirigée, administrée et contrôlée.

La gouvernance inclut aussi les relations entre les nombreux acteurs impliqués (les parties prenantes, ou stakeholders) et les objectifs qui gouvernent l'entreprise. Les acteurs principaux sont les actionnaires, la direction et le conseil d'administration. Les autres parties prenantes incluent les employés, les fournisseurs, les clients, les banques ou autres prêteurs, le voisinage, l'environnement et la communauté au sens large.

La gestion des identités et des accès au système d'information doit permettre à votre société d'être conforme au différentes lois financières.

Par ailleurs cette gestion contribue à l'amélioration de la visibilité de l'organisation et permet à chacun de connaitre parfaitement les rôles, tâches, activités attribués.

Les objectifs principaux d'une gestion des identités et des accès au système d'information :

- rationaliser le système d'information tout en réalisant des économies ;

- protéger le DSI (Directeur des systèmes d'Information) et le RSSI (Responsable de la Sécurité des Systèmes d'Information) des erreurs faites par les salariés.

Pour l'implantation de cette gestion, les intervenants les plus classiques sont l'intégrateur et l'éditeur.

Avec ses deux intervenants le manque est qu'ils vont proposer leur solution et non pas votre solution.

D'où la nécessité d'une intervention en amont, d'une assistance à la maitrise d'ouvrage qui va vous aider à mettre en place ce projet au travers de différentes tâches :

* un état des lieux de l'existant ;

* une sensibilisation des différents services de votre structure avec une conduite du changement ;

* un retour sur investissement ;

* un état de l'art des solutions du marchés qui correspondent à votre besoin ;

* la rédaction du cahier des charges ;

* le suivi du couple intégrateur éditeurs ;

* la recette du projet.

Ces étapes sont séparées en tâches et lotissement suivants :

• • L'étude d'opportunité :

    • État des lieux de l'existant ;

    • ROI (retour sur investissement) ;

    • Sensibilisation ;

    • Établissement du budget.

Cela va permettre de monter un dossier pour obtenir le budget.

• L' Étude exploratoire :

  • Étude des regroupements de rôles dans les différents domaines avec la MOE ;

  • Validation avec les experts Métier.

  • L'étude préalable :

    • Rédaction du cahier des charges ;

    • Aide au choix de la solution et de l'intégrateur ;

  • Rédaction de la cartographie des autorisations SAP.

• Réalisation des tests fonctionnels autorisations (dans l'environnement Qualité).

  • L'assistance pour le projet : assistance au déploiement des nouveaux rôles :

    • Supervision de l'intégrateur,

    • Phase de tests pilote.

• Préparation de la recette fonctionnelle (environnement de Pré-production) :

  • Assistance aux testeurs projet et keys-users;

    • Analyse des problèmes d’autorisations avec la MOE.        

Il est à noter que le facteur humain est un facteur primordial pour le bon fonctionnement du SI. Il est important pour tout bon expert en sécurité du SI d'être à l'écoute des utilisateurs en utilisant notamment son réseau social pour remonter toutes questions et/ou remarques de ses collaborateurs.

Pour cette gestion des accès, la solution proposée par SAP est GRC Access Control.