Projets

L'Etablissement Français du Sang (EFS) fiabilise les habilitations dans SAP

---

En s'appuyant sur l'expertise d'Axl & Trax, l'Etablissement Français du Sang (EFS) a refondu sa matrice d'habilitations dans SAP.

PublicitéAu travers de de 15 établissements régionaux aux fonctionnements encore souvent hétérogènes, l'Etablissement Français du Sang (EFS) dispose du monopole légal de la collecte et de la transfusion sanguines. Ses 10 000 collaborateurs sont répartis sur 150 sites. Or la complexité des habilitations dans son PGI SAP ECC 6 a permis un incident. L'EFS a réagi en refondant sa matrice d'habilitation en s'appuyant sur l'expertise d'Axl & Trax.
« L'EFS a été créé en 2000 et, tout de suite, nous avons installé SAP ECC 6 pour notre gestion avec 1500 utilisateurs actifs, 180 fonctions métiers et 400 rôles unitaires » s'est souvenu Guillaume Belleil, auditeur Système d'information à l'EFS, lors de son témoignage à la Convention USF le 12 octobre 2016. Or la matrice d'habilitations était tellement complexe que la séparation des rôles n'était pas toujours aussi claire que voulu. En 2004, un incident lié à une personne indélicate aux pouvoirs trop étendus a poussé la direction de l'EFS à vouloir refondre les habilitations.

Mise en place d'une matrice d'incompatibilités

En 2005, une première étape aboutit à la mise en place d'une matrice d'incompatibilités. Si une personne dispose de certains rôles, il a de fait une interdiction de disposer d'autorisations qui rendraient les contrôles normaux inopérants. Cette solution brutale avait tout de même des inconvénients dans certains établissements aux effectifs réduits en province. Entre 2006 et 2008, la règle est donc assouplie avec l'autorisation de cumuler, dans certaines régions, des rôles normalement incompatibles sous condition de mettre en oeuvre des contrôles compensatoires.
En 2013, suite à une évolution du système d'information, il était nécessaire de refondre la matrice d'habilitations pour garantir la séparation des rôles. Guillaume Belleil a relevé : « ce ne sont jamais des tâches unitaires qui sont attribuées mais toujours des rôles composites ». Or la complexité de la matrice rendait la refonte délicate. En 2014, un marché de conseil et d'accompagnement est passé avec, en première phase, un audit. La refonte est lancée en 2015 avec le gagnant de l'appel d'offres, Axl & Trax.

Des intitulés trompeurs

Or l'audit révèle qu'un phénomène d'érosion de la matrice a abouti à donner des droits plus étendus qu'un titre de rôle composite laisserait entendre. De plus, il y avait des confusions sur l'étendue des autorisations effectivement accordées liées à une méconnaissance des fonctions SAP ainsi qu'à une absence d'outils et de méthodes. « Nous avons alors choisi de créer une matrice en nous basant sur des référentiels externes standards, beaucoup de rôles, comme celui d'acheteur par exemple, n'étant pas sensiblement différent entre l'EFS et une autre organisation » a souligné Guillaume Belleil.
Il s'est réjoui : « Axl & Trax a apporté ce référentiel solide s'appuyant sur des standards et les bases SAP et disposait de la double expertise métier et technique dont nous avions besoin. » En 2015, la matrice des habilitations a donc été définie dans une nouvelle forme, orientée selon les fonctionnalités de SAP pour éviter d'accorder inconsidérément des autorisations en cas d'évolution des rôles. Surtout, une traçabilité stricte des évolutions des rôles a été mise en place.

PublicitéUne action dans la durée

Pour atteindre ses objectifs, l'EFS s'est appuyée sur CSI Role Build and Manage. Cet outil est toujours utilisé pour continuer la maintenance de la matrice en évitant les incompatibilités. A l'inverse, une fois la documentation des rôles faite, leur affectation aux personnes a été rendue facilement automatisable.
Il reste à réviser les rôles composites après réfection des rôles élémentaires. Puis il faudra automatiser le flux d'approbation des rôles.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article