Pour assurer une sécurisation maximale des systèmes SAP, l’utilisation de contrôles d’identité via la biométrie est fortement conseillée. Ceux-ci permettent l’authentification de l’identité d’un utilisateur grâce à l’analyse de ses caractéristiques physiques, par exemple son empreinte digitale ou son visage. Seul un utilisateur autorisé pourra alors se connecter au système.
Nous avons listé les 15 principales raisons pour lesquelles vous avez besoin de la biométrie pour vos systèmes SAP, les problèmes que cela pose et leur résolution par l’utilisation de notre solution bioLock.
Problème : les utilisateurs partagent leur mot de passe SAP et leurs identifiants de connexion avec d’autres utilisateurs pour qu’ils effectuent leurs tâches à leur place, soit pendant leurs congés, soit simplement parce qu’ils sont trop occupés, soit parce qu’ils délèguent (le cadre donne le mot de passe à son assistant). Par conséquent, des utilisateurs disposent de droits pour lesquels ils ne sont pas autorisés, et des fraudes peuvent être commises. En outre, la responsabilité ne peut pas être clairement établie et les auditeurs risquent de ne pas approuver les audits de l’entreprise.
Solution : le logon SAP est protégé par bioLock pour l’ensemble des utilisateurs ou uniquement pour certains utilisateurs disposant d’un accès privilégié. En plus du mot de passe, un 2ème facteur, utilisant la biométrie, est requis pour se connecter à SAP. De cette manière, il est possible de garantir que seul Dupont peut se connecter en tant que Dupont. Le journal de connexion identifiera clairement l’utilisateur SAP biométriquement identifié par son nom et son prénom.
Problème : les mots de passe ne sont pas suffisamment protégés ! Ils sont écrits sur des post-it ou dans des fichiers texte sur le bureau. Les collègues partagent leurs mots de passe, se surveillent mutuellement ou sont victimes d’une attaque par hameçonnage. Les pirates installent des enregistreurs de frappe ou utilisent simplement un sniffeur de mots de passe afin de récupérer les identifiants de connexion et les mots de passe. Un utilisateur mal intentionné peut tout simplement accéder à un ordinateur non verrouillé. La plupart des cas de fraude majeurs, comme la divulgation des données de la NSA par Edward Snowden, la coupure de Colonial Pipeline, Yahoo, Facebook et bien d’autres, ont tous été rendus possibles par des prises de contrôle de comptes (ATO) !
Solution : dans SAP, bioLock protège la connexion en ajoutant un deuxième facteur biométrique. Après que Smith ait saisi le mot de passe SAP, le dispositif biométrique confirme que seul Smith peut se connecter en tant que Smith. En outre, des fonctions telles que les transactions SAP, les infotypes RH et même les boutons “entrer” et “enregistrer” peuvent être protégés afin de garantir que seul Smith peut créer un nouveau fournisseur, effectuer un virement d’un million de dollars ou exporter des données sensibles. Snowden, ou un pirate informatique, aurait été empêché de télécharger des informations sensibles en tentant d’exécuter la fonction d’exportation.
Problème : sans biométrie, il n’y a pas de réelle conformité. Les réglementations mondiales en matière de conformité telles que la RGPD, SOX, ITAR, HIPAA, POPI et d’autres lois sur la protection des données et la confidentialité ont déclenché une augmentation des activités de mise en conformité. Les clients de SAP ont mis en place des outils comme SAP GRC et dépensent une fortune pour maintenir la conformité. Et pourtant, ils sont toujours confrontés à d’importantes violations de données et à des cas de fraude. Être en conformité ne vous protège pas contre la fraude et les violations de données !
Solution : renforcez vos activités de conformité actuelles avec un deuxième facteur biométrique. Par exemple, vous pouvez définir dans SAP GRC qu’un certain utilisateur ne peut déclencher un paiement de la banque via la transaction BNK_APP ou F110 que jusqu’à un million de dollars. Vous pouvez même demander à l’utilisateur de reconfirmer le paiement via la signature numérique SAP en saisissant ses identifiants de connexion SAP et son mot de passe. Comme le mot de passe est un identifiant “connu” qui peut facilement être contourné, demander une vérification de l’empreinte digitale ou de la paume de la main pour le paiement exclurait toute tentative non autorisée. Vous pouvez demander une deuxième approbation biométrique pour les transferts de valeur élevée et même ajouter des notifications par e-mail pour informer instantanément la direction.
Problème : un mot de passe volé a entraîné la paralysie de Colonial Pipeline, ce qui a provoqué le versement d’une rançon de 2 millions de dollars et la plus grande crise de chaîne d’approvisionnement de l’histoire récente. Un pirate a réussi à pénétrer dans le réseau et a utilisé un mot de passe dérobé afin d’accéder à des fonctions sensibles, entraînant des dommages considérables.
Solution : protégez vos fonctions les plus sensibles grâce à des contrôles biométriques granulaires au sein de SAP et définissez les utilisateurs autorisés via une “Liste d’Autorisations” biométriques. Si l’utilisateur ne peut pas fournir le justificatif biométrique et qu’il n’est pas spécifiquement défini dans la “Liste d’Autorisations”, il se verra tout simplement refuser l’accès.
Problème : les utilisateurs autorisés peuvent émettre des paiements de montant élevé en fonction de leurs autorisations SAP. Il n’existe aucun mécanisme de contrôle supplémentaire qui empêcherait l’utilisateur autorisé d’effectuer un transfert de montant élevé vers un compte bancaire non autorisé sans être questionné. Pire encore, un utilisateur non autorisé pourrait s’approprier les informations d’identification des utilisateurs autorisés pour effectuer le paiement frauduleux.
Solution : créez un groupe de double confirmation biométrique qui exige la signature biométrique de deux utilisateurs autorisés sur le même PC. Désormais, l’utilisateur 2 (l’approbateur) peut contester l’utilisateur 1 (le demandeur) si la demande de paiement lui semble suspecte. De plus, une notification par courriel informe instantanément la direction, et l’activité est enregistrée dans le fichier journal biométrique pour la traçabilité
Problème : dans de nombreux secteurs (notamment l’industrie pharmaceutique), les utilisateurs sont irrités de devoir exécuter manuellement la signature numérique SAP plusieurs fois par heure. Le processus de ressaisie de l’identifiant et du mot de passe SAP prend en moyenne 15 secondes. Les erreurs de frappe, surtout avec des gants, augmentent encore le mécontentement des utilisateurs.
Solution : remplacez la signature numérique des mots de passe SAP par un processus de signature biométrique. Cette nouvelle méthode ne prend qu’une seconde environ, et la satisfaction de l’utilisateur augmente considérablement puisqu’un seul “toucher” biométrique finalise la signature. Si vous disposez d’un effectif important utilisant la signature numérique, vous pouvez économiser de nombreuses ” personnes-heures ” en un seul jour ouvrable. En outre, vous évitez tout risque de partage de mot de passe et de signature par la mauvaise personne.
Problème : un administrateur SAP dispose de permissions pour toutes les fonctions SAP et peut accéder à n’importe quelle transaction SAP ou exécuter n’importe quelle tâche telle qu’un virement bancaire sortant. Le mot de passe Admin n’est destiné qu’à un très petit nombre d’utilisateurs de confiance, mais il est généralement noté par écrit. L’organisation n’a aucun contrôle sur la manière dont les mots de passe sont protégés, ni sur les personnes qui les utilisent réellement pour se connecter en tant qu’Admin. Il n’est pas possible de savoir quel Admin autorisé ou quel intrus non autorisé à exécuter une fonction.
Solution : dans un premier temps, protégez la connexion au profil Admin SAP avec bioLock et affectez manuellement les profils biométriques des trois administrateurs autorisés au profil Admin SAP. Désormais, il est garanti que seuls ces trois utilisateurs peuvent se connecter en tant qu’Admin, car le mot de passe seul ne permet pas d’y accéder. En outre, les administrateurs autorisés peuvent être “exclus” de l’accès à toute fonction protégée par bioLock. Ainsi, il est facile d’empêcher les administrateurs d’effectuer un virement bancaire ou de consulter des informations sur les ressources humaines.
Problème : les SoD peuvent facilement être contournés en accédant à d’autres comptes utilisateurs SAP. Alors que conformément aux rôles SAP l’utilisateur A ne peut que créer un bon de commande et que B ne peut qu’approuver le bon de commande, il est facile pour l’utilisateur A d’obtenir l’accès aux identifiants de connexion SAP de l’utilisateur B (mot de passe) ou simplement d’accéder au PC déverrouillé de l’utilisateur B (lorsque cet utilisateur B va chercher un café) pour accéder aux processus de gestion en question.
Solution : protégez l’accès aux processus de gestion concurrents, comme la création d’un bon de commande ou son approbation, grâce à la biométrie. L’utilisateur A est spécifiquement ajouté à la “Liste d’Autorisations” pour créer le bon de commande, et l’utilisateur B à la “Liste d’Autorisations” pour approuver le bon de commande. Ce processus garantit que les utilisateurs ne pourront jamais contourner les SoD définis.
Problème : l’accès, la modification et le téléchargement de données RH sensibles constituent un problème majeur pour toute organisation. Outre les risques de poursuites judiciaires, les organisations peuvent avoir à faire face à des violations de la réglementation, à des amendes et à une divulgation publique embarrassante. Dans SAP, il existe des milliers d’infotypes RH permettant d’accéder aux données les plus sensibles des employés (comptes bancaires, dossiers médicaux, sécurité sociale, handicaps, rémunération des cadres, etc.). Tout utilisateur “ sur-autorisé “, un utilisateur autorisé suite à un événement imprévu, ou même tout utilisateur non autorisé (ATO) peut rapidement provoquer un désastre public.
Solution : la technologie bioLock permet de verrouiller tout infotype RH via une simple configuration. Protégez les infotypes sensibles tels que la rémunération de base (0008), les coordonnées bancaires (0009), le dossier médical interne (0028) ou les informations sur les employés en situation de handicap (0004). Définissez des utilisateurs sélectionnés dans une ” Liste d’Autorisations ” bioLock et n’autorisez l’accès que si l’utilisateur est identifié par des données biométriques et figure dans la liste d’autorisation. Pour les infotypes ultra-sensibles (0004), vous pouvez même appliquer le principe des 4 yeux en configurant un groupe de double confirmation pour accéder ou modifier des données.
Problème : un service de Sécurité Sociale est confronté au défi de l’identification unique des bénéficiaires au moment où ils perçoivent des prestations. Dans certains cas, les bénéficiaires ont pu faire un “coup-double” et percevoir des prestations en plusieurs endroits. Dans d’autres cas, ils ont pu bénéficier des prestations d’une autre personne en usurpant son identité. Des proches ont même pu continuer à percevoir des prestations pour des membres de leur famille décédés depuis longtemps.
Solution : mettez en place un processus d’authentification robuste par carte à puce et biométrie. Chaque bénéficiaire est inscrit via bioLock dans SAP avec ses données biométriques et reçoit une carte à puce correspondante pour son compte. Lorsqu’il se présente au guichet, le bénéficiaire doit insérer sa carte à puce dans un lecteur pour afficher son compte personnel dans SAP. En outre, il doit fournir son identifiant biométrique avant que l’employé du gouvernement puisse accéder à son compte pour octroyer des prestations. Les proches ne peuvent pas inscrire les membres de la famille décédés avec des données biométriques car ils sont obligés de se rendre au guichet. Seules les personnes en règle pourront recevoir des paiements.
11. Permettre le changement rapide d'utilisateur pour les PC partagés (entrepôt, hôpital, banque, …)
Problème : les utilisateurs n’ont pas le temps de se connecter et de se déconnecter sur un ordinateur partagé. Alors que les utilisateurs sont censés se connecter et se déconnecter sur un PC partagé pour effectuer une tâche simple, comme créer un ordre de transfert dans un entrepôt ou changer le groupe sanguin d’un patient, en réalité, un utilisateur se connecte le matin, et tous les utilisateurs utilisent cet identifiant sans aucune traçabilité. Le PC étant déverrouillé, les “visiteurs” peuvent également accéder au système.
Solution : créez un identifiant SAP générique ( par exemple WarehousePC1 ) et reliez l’identifiant biométrique de chaque utilisateur autorisé à l’identifiant SAP générique. Tous les utilisateurs disposant d’un identifiant biométrique peuvent utiliser l’identifiant SAP générique partagé et le nom complet de l’utilisateur réel sera enregistré dans le fichier journal biométrique avec tous les détails pour la traçabilité. Même si le PC reste déverrouillé, les “visiteurs” ne peuvent pas accéder à la fonction protégée car l’ID biométrique est nécessaire.
Problème : de nombreuses entreprises externalisent l’hébergement et les services SAP dans d’autres pays. Il n’y a aucun contrôle sur la façon dont les consultants étrangers accèdent à votre système SAP hébergé et aux données les plus sensibles de votre entreprise. De plus, lorsque de nombreux systèmes SAP sont hébergés pour plusieurs clients, tous les mots de passe doivent être écrits. Comment ces identifiants de connexion sont-ils sécurisés et comment se déroule le processus de recrutement des employés de confiance ?
Solution : inscrivez tous les consultants étrangers de confiance travaillant sur SAP à l’aide de bioLock. Vous gardez le contrôle sur les personnes pouvant se connecter à votre système, même dans un pays étranger. Les autres consultants ne peuvent PAS se connecter à SAP, même s’ils ont accès aux identifiants de connexion. En outre, vous pouvez verrouiller les fonctions sensibles comme l’accès aux données RH, la création de bons de commande ou l’émission de virements bancaires. Comme les consultants étrangers du service SAP ne figurent pas spécifiquement dans la liste des personnes autorisées par bioLock, ces fonctions seront bloquées.
Problème : une entreprise de production est dans l’obligation de fournir certains équipements de sécurité à ses employés. Un travailleur reçoit un casque de sécurité mais choisit de ne pas le porter. Ce travailleur se blesse et affirme que l’employeur ne lui a jamais fourni le casque. L’employeur s’expose à des poursuites pour ne pas avoir assuré la sécurité de l’employé. L’employé a de fortes chances de gagner le procès car l’employeur ne peut pas prouver que l’équipement a été fourni.
Solution : lorsque l’équipement est remis à l’employé, l’acceptation de l’équipement est enregistrée dans SAP. L’employé doit fournir l’identifiant biométrique chaque matin et un fichier journal montre clairement que l’employé a reçu l’équipement. Les risques de poursuites judiciaires sont éliminés ou réduits car l’employeur dispose d’une preuve claire qu’il a rempli ses obligations en matière de sécurité des employés.
Problème : surtout depuis le Covid, la fraude aux examens est très répandue dans les universités. Grâce aux examens en ligne, il est facile de demander à un “ami” de passer un examen à la place de l’étudiant. De retour en classe physique, ce concept éprouvé se poursuit, et les étudiants envoient leurs “amis” avec leur carte d’identité pour passer un examen à leur place. En particulier avec le port de masques, n’importe qui peut passer l’examen à la place de l’étudiant et les universités ne parviennent pas à contrôler la fraude. Le non-respect des règles d’honnêteté peut entraîner la perte de l’accréditation universitaire.
Solution : assignez un modèle biométrique à l’identifiant de l’étudiant dans SAP. Lorsque l’étudiant se présente à l’examen, enregistrez-le via SAP en entrant son ID étudiant. Effectuez une vérification via bioLock en demandant à l’étudiant de reconfirmer sa véritable identité à l’aide de son identifiant biométrique afin de confirmer qu’il s’agit bien de l’étudiant correspondant à son identifiant. Cela garantira que seul le “vrai” étudiant passera son examen. Le risque qu’un “ami” passe l’examen est évité à 100%.
Problème : un grand nombre de vos employés ne travaillent pas dans un bureau équipé d’un PC dédié et ne sont pas familiers avec SAP. Ils bénéficieraient d’un accès simple à Employee Self Service pour pouvoir rapidement demander des congés ou modifier leurs informations personnelles. L’utilisation d’un PC personnel avec un accès par mot de passe pourrait entraîner un accès frauduleux par des utilisateurs non autorisés, exposant l’entreprise à des problèmes de responsabilité.
Solution : installez des bornes biométriques dans les lieux publics de votre entreprise. Ces bornes sont équipées d’une interface simplifiée à écran tactile SAP ESS (Employee Self Service). Les employés peuvent se connecter en toute sécurité à leur portail d’employé après que leur identité a été confirmée par des données biométriques. La consultation, la modification ou l’impression d’informations sensibles nécessitent des contrôles d’identité supplémentaires afin d’éviter tout accès ou modification non autorisé.