Qu'est-ce que la séparation des tâches (SoD) dans SAP ?
La Séparation des Tâches (Segregation of Duties — SoD) est un principe de contrôle interne fondamental : une même personne ne doit pas pouvoir initier et valider une transaction critique (par exemple, créer un fournisseur ET émettre un paiement). Dans SAP, les violations SoD surviennent lorsqu'un utilisateur cumule des rôles incompatibles, ouvrant la porte à la fraude ou aux erreurs non détectées.
5-10%
des utilisateurs SAP présentent en moyenne des conflits SoD dans les grandes organisations non auditées
8 000
utilisateurs SAP gérés dans notre REX de mise en place d'une matrice SoD groupe industriel
NIS2
La directive NIS2 (2024) renforce les obligations de contrôle d'accès pour les opérateurs d'infrastructures critiques
Les conflits SoD les plus fréquents en production SAP
🔴 Critique — Comptabilité fournisseurs
Création fournisseur (FK01) + saisie facture (FB60) + paiement (F110) — cumul permettant une fraude complète sans contrôle tiers.
🔴 Critique — Trésorerie
Création compte bancaire + autorisation de virement + exécution paiement — accès à l'ensemble du cycle de paiement.
🟠 Élevé — Achats
Création fournisseur (XK01) + commande d'achat (ME21N) — contournement du processus de validation achat.
🟠 Élevé — Stock & Inventaire
Création article (MM01) + mouvement de stock (MIGO) + valorisation — risque de manipulation des inventaires.
La méthodologie de mise en place d'une matrice SoD
Phase 1 — Cartographie
Inventaire complet des rôles et profils SAP existants. Extraction des autorisations via SU10, SUIM, AGR_USERS. Identification des transactions critiques par module.
Phase 2 — Analyse des conflits
Application de la matrice SoD sur l'ensemble des utilisateurs. Identification des conflits critiques, élevés et moyens. Quantification des utilisateurs impactés.
Phase 3 — Remédiation
Redéfinition des rôles en collaboration avec les métiers. Mise en place de contrôles compensatoires pour les conflits irréductibles (audit trail, validation hiérarchique).
Phase 4 — Gouvernance continue
Processus de revue trimestrielle des accès. Intégration dans les outils GRC SAP (SAP Access Control). Reporting automatisé pour les auditeurs internes et externes.
Outils GRC SAP — positionnement
SAP Access Control
→
Gestion SoD temps réel
SAP Process Control
→
Contrôles automatisés & manuels
SAP Risk Management
→
Cartographie des risques métier
Impact NIS2 : depuis octobre 2024, la directive NIS2 impose aux opérateurs d'infrastructures essentielles (énergie, transport, finance, santé) de démontrer la maîtrise de leurs accès aux systèmes critiques. Un audit SAP GRC n'est plus optionnel pour ces organisations.
Ce que Dexton apporte sur les projets GRC SAP
Nos consultants GRC combinent expertise fonctionnelle SAP (FI, MM, SD) et maîtrise des outils SAP Access Control. Nous intervenons aussi bien sur les projets greenfield (construction de la matrice SoD from scratch) que sur les missions de remédiation dans des environnements complexes avec des milliers d'utilisateurs. Notre approche est toujours co-construite avec les équipes métier et le contrôle interne.