Fruit de plus d'un an de travaux communs, ce guide a pour objectif de permettre aux entreprises de diagnostiquer le niveau de sécurité de leur système SAP. Pour fournir à leurs membres un dispositif d'aide clé en main, facilement opérationnel, les trois associations proposent, en accompagnement du guide, un outil pratique inédit permettant une évaluation rapide d'un système SAP sur les plans de la sécurité et de la continuité d'activité.
Le travail autour de ce Livre Blanc résulte d'un constat commun de l'AFAI, de l'IFACI et de l'USF : du fait de son caractère global et transverse, SAP gère des données sensibles et ses fonctionnalités sont vitales pour assurer le bon fonctionnement d'une organisation. Il est alors crucial que la sécurité soit assurée, dans la mesure où toute défaillance peut entrainer des préjudices graves sur les plans financier, social, juridique ou en termes d'image.
Destiné aux auditeurs et aux contrôleurs internes, mais également aux DSI et responsables de centres de compétences SAP, ce guide opérationnel, qui ne nécessite pas de connaissance particulière des environnements SAP, doit permettre d'établir un premier diagnostic sur la performance, la résilience et le niveau global de sécurité d'un système SAP. Les auditeurs disposeront notamment d'éléments d'alerte pour justifier le déclenchement d'un audit plus approfondi ; et les DSI et responsables des centres de compétences SAP pourront anticiper les incidents potentiels, pour mieux communiquer vis-à-vis de leur direction générale et des directions métiers sur le niveau de maitrise et de risques des environnements SAP.
Le guide couvre sept domaines, sous forme de fiches présentant à la fois les objectifs de contrôle et les critères d'évaluation : organisation et gouvernance de la sécurité, sécurité des données, sécurité des accès et habilitations, séparation des fonctions, sécurisation des flux entrants et sortants, la continuité de service et Plan de Reprise d'Activité (PRA) ainsi que la sécurité des changements.
En complément du guide d'évaluation et pour faciliter le passage de la méthode à la mise en œuvre opérationnelle, l'AFAI, l'IFACI et l'USF proposent à leurs membres un outil concret de mise en pratique, via un outil Excel CAAT (Computer-Assisted Audit Tool) d'aide à l'audit, qui propose à l'utilisateur, à l'aide de formulaires préconfigurés, d'analyser, critère par critère, les sept domaines d'évaluation proposés dans le guide.
Le guide d'évaluation et l'outil d'aide associé sont réservés aux membres de l'AFAI, de l'IFACI et de l'USF.