Read this article in English
21 conseils pour la sécurité SAP BusinessObjects
En tant qu’expert en sécurité Business Objects, j’ai rencontré de nombreux clients à travers le monde avec qui j’ai partagé mon expertise sur la sécurité Business Objects, et ce, avant même de créer ma société et d’avoir lancé 360Suite. En tant qu’un des utilisateurs les plus actifs du forum BOB (qui, soit dit en passant, a fait peau neuve 🤫) je me souviens d’une époque où le modèle de sécurité Business Objects changeait de version et la gestion de celle-ci était un sujet chaud !
A ma surprise et mon grand intérêt, j’observe que ce sujet revient au goût du jour chez nos clients. En effet, de plus en plus d’entreprises sont soumises à des audits réglementaires, et doivent répondre à des problématiques d’accès aux données, (RGPD, Solvency, etc). Même lorsque le modèle de sécurité est en place et évolue peu, les administrateurs BusinessObjects doivent répondre aux questions suivantes : Quelles sont mes données sensibles ? Où sont-elles ? Qui y a accès ? Qui y a eu effectivement accès ? Comment ma sécurité Business Objects a-t-elle évolué au fil du temps ? Finalement, ces audits et les nouvelles réglementations en matière de confidentialité de données sont une opportunité de réviser votre sécurité et de la mettre à jour afin de s’assurer que la bonne personne a accès au bon contenu.
Dans ce billet de blog, je souhaite rassembler mon expérience et ce que j’ai vu chez les clients pour énumérer certaines des meilleures pratiques et conseils que j’ai pu observer et mettre en pratique, afin de mettre en œuvre une bonne sécurité Business Objects.
Nos 21 meilleures pratiques et conseils en matière de sécurité Business Objects :
- Appliquez la sécurité à des dossiers plutôt qu’à un document, et à des groupes plutôt qu’à des utilisateurs. Créez un groupe, même pour un seul utilisateur.
- Identifiez à quel niveau la sécurité des données doit être assurée : au niveau de l’univers, au niveau de la base de données, au niveau du dossier et/ou du document.
- Pour restreindre l’accès aux données (par exemple, un utilisateur ne peut voir que les données d’un pays spécifique), mettez en place la sécurité au niveau de la base de données, puis au niveau de l’objet de l’univers (via les restrictions d’univers).
- Par défaut, attribuez le droit “Pas d’accès” au groupe “Tout le monde” sur toutes les ressources de haut niveau. De cette façon, vous créerez un système fermé. Cela signifie que si vous ajoutez plus tard un nouveau dossier ou objet, il sera, par défaut, caché pour tous les utilisateurs. Par ailleurs, vous pourrez créer d’autres groupes avec des droits plus granulaires si besoin.
- Documentez vos accès ainsi que les changements de sécurité.
- Définissez et utilisez des règles de nommage pour reconnaître facilement les éléments.
- Séparez les besoins d’accès en trois catégories : l’accès des utilisateurs aux applications, l’accès aux données dans les applications et l’accès fonctionnel c’est à dire ce qu’ils peuvent faire avec les données.
- Rassemblez les droits en niveaux d’accès, un type de droits par niveau d’accès. De préférence, séparez les niveaux d’accès pour les droits généraux, pour le contenu et pour les droits du système. En effet, attribuer des droits individuels augmente le besoin de maintenance, et ceux-ci ne sont pas réutilisables.
- Évitez de rompre l’héritage quand c’est possible. Quand c’est inévitable, documentez les exceptions.
- Evitez les droits “refusés” explicites : Accordé + Refusé = Refusé.
- Si vous utilisez une authentification tierce (par exemple AD, LDAP), n’attribuez pas de droits directement sur ces groupes importés. Ajoutez ces groupes importés dans des groupes Business Objects Enterprise sur lesquels vous appliquerez la sécurité. Ainsi, en cas d’incident sur ces groupes tiers, votre sécurité Business Objects ne sera pas impactée.
- Exploitez le mappage des attributs utilisateur pour filtrer et appliquer la sécurité au niveau de l’univers (unx).
- Structurez les groupes et sous-groupes d’utilisateurs, de préférence pour refléter la structure des dossiers et sous-dossiers.
- Évitez les accès trop “larges” à une ressource : comme par exemple accorder l’accès “Contrôle Total” au groupe “Tout le Monde” sur une ressource.
- Mettez en place une vue matricielle de vos autorisations pour croiser les ressources (dossiers, documents) et les acteurs (utilisateurs, groupes) et visualisez la sécurité au croisement des deux.
- Définissez des alertes sur les changements de sécurité pour les ressources ou les acteurs sensibles que vous aurez identifiés au préalable.
- Surveillez l’accès effectif aux données sensibles.
- Lorsque vous publiez des documents à des tiers en dehors de la plateforme, assurez-vous de protéger l’accès à votre document par un mot de passe.
- Révisez les utilisateurs régulièrement et archivez les contenus périmés.
- Privilégiez l’utilisation du SSO ou du mapping des identifiants SAP BusinessObjects plutôt que l’utilisation d’un utilisateur technique lors de la création de connexions aux données – le compte de l’utilisateur et la sécurité seront appliqués au niveau de la source de données.
- Spécifiez l’onglet “Accès du CMC” pour déléguer l’administration.
Evidemment, cette liste est non exhaustive et ne s’applique pas nécessairement à tous les clients. Quoi qu’il en soit, il est indispensable de maîtriser votre sécurité et de contrôler ses changements pour vous conformer aux réglementations industrielles ou celles relatives à la confidentialité des données et pour répondre aux audits de sécurité internes ou externes.
360Suite propose de nombreuses fonctionnalités afin d’assurer votre sécurité Business Objects. En effet, il vous permet de rapidement contrôler votre sécurité, être alerté en cas de changement, d’identifier vos données et rapports sensibles ou encore de documenter l’ensemble de vos accès. Découvrez-en plus dans cet article ou n’hésitez pas à nous contacter pour poser vos questions à nos experts.