Pascal - Consultant SAP GRC
Ref : 200212R002-
59870 MARCHIENNES
-
Consultant, Consultant cybersécurité (59 ans)
-
Bientôt freelance
-
Prestataire
la société E-Nov.Jan 2021 - Jan 2021Intégration dans l’équipe de tests pour la partie autorisations, en mission pour la société OVH.
Périmètre technique : SAP S4 HANA avec Fiori pour la gestion de l’interface graphique utilisateur.
Rédaction de 2 scénarios de test concernant :
1°) le processus de création d’un nouvel utilisateur.
2°) Le processus d’attribution de rôles complémentaires.
Ces 2 processus on fait l’objet d’un passage en TIG (Test d’Intégration Global) et d’un passage en UAT (User Acceptance Test).
Création d’utilisateurs de tests spécifiques pour chaque fonction de l’entreprise avec affectation des rôles cibles afin de tester également les nouveaux rôles définis pour les end-users OVH. -
Administrateur GRC
TEREOS (Ex Béghin-Say) - Direction des Risques et du Contrôle InterneJan 2012 - Jan 2019Définition en étroite collaboration avec les directions opérationnelles d’une matrice de ségrégation des tâches.
Définition et conception des rôles SAP en fonction de cette matrice avec affectation aux utilisateurs afin de respecter au mieux la ségrégation des tâches.
Gestion des autorisations niveau 3 pour environ 4000 utilisateurs répartis sur plusieurs continents : Europe (France, Belgique, Espagne, Italie, Allemagne, Grande Bretagne, Rép. Tchèque), Brésil (avec 7 sites industriels), Indonésie, Ile de la Réunion et Mozambique.
Participations à différents projets : convergence vers un SAP unique, intégration de nouveaux utilisateurs …
Mise en place, paramétrage et exploitation des modules « Access Control » et « Emergency Access Management » de SAP.
Participation annuelle à un audit de sécurité informatique (en tant qu’audité) pour la certification des comptes par les commissaires aux comptes. -
Administrateur système spécialisé dans le domaine des autorisations
Béghin-Say.Jan 2000 - Jan 2012Dans le domaine technique BC, gestion des rôles, des utilisateurs et de leur affectation.
Participation à une externalisation de toute l’infrastructure informatique chez un hébergeur à Lyon.
Responsable et interlocuteur technique pour les relations avec cet hébergeur.
Reprise des activités de « Tate and Lyle » Europe en 2008 avec reprise intégrale de leur système informatique, y compris un système SAP. -
Analyste Programmeur
Béghin-SayJan 1985 - Jan 1999Implémentation de progiciels
Administrateur de messagerie.
Études et formations
-
DUT Informatique obtenu à l’université de Lille 1 à Villeneuve d’Ascq
1985 -
Bac C obtenu au lycée privé Saint Jean de Douai.
Administrateur système SAP à l’origine (Formation SAP BC 360)1983 -
Administration des autorisations SAP (ADM 940) Concepts de sécurité de SAP R/3 (Formation CA 940) SAP Access Control – Implementation and configuration (Formation GRC 300)
Domaine SAP ECC :
Administration système SAP (Module BC)
Administration des autorisations SAP
SAP Access Control
Domaine développement :
Analyste programmeur en langage COBOL sur systèmes d’exploitation VAX/VMS et Open VMS (Matériel Digital).
Utilisation du langage de commandes DCL (Digital Command Langage)
Connaissance et pratique du langage POWERHOUSE for VMS (Langage de développement sur matériels RDB/VMS)
Implémentation de progiciels :
Installation et intégration dans l’environnement technique existant du progiciel MASTERPIECE (General ledger, Accounts payable, Accounts Receivable, Fixed Assets)
Implémentation du progiciel RDJ (Règles Du Jeu)
Messagerie :
Administration de la messagerie « Lotus Notes » au travers de la gestion des utilisateurs et des bases applicatives.
Reporting et analyses.
Très bonne connaissance du tableur Excel.
Utilisation pour les extractions directes des tables SAP, analyses, et reporting.
Maitrise des outils de formules et de tableaux croisés dynamiques.
Bases de données :
Administrateur de bases de données Oracle avec pratique du langage SQL
Compétences Fonctionnelles
Domaine Gestion Utilisateurs / Gestion des rôles
Gestion des fiches utilisateurs (la création doit théoriquement être effectuée par d’autres personnes si l’on veut respecter le principe de la ségrégation des tâches).
Classification des utilisateurs afin de faciliter les analyses ou affectations futures.
Affectation (individuelle ou en masse) des rôles aux utilisateurs (pour les nouveaux utilisateurs et ajout de rôles manquants aux utilisateurs déjà existants).
Résolution problèmes de blocages liés aux autorisations.
Adaptation des rôles en fonction des demandes IT ou responsables Business.
Mise en place de CUA (Central User Administration). Les données utilisateur sont gérées sur un système unique avec diffusion sur tous les systèmes connectés.
Audit régulier des utilisateurs afin de clôturer des utilisateurs devenus inactifs après une certaine période.
Domaine « Gestion des risques »
Définir la liste des fonctions de l’entreprise à analyser en termes de risques.
Définition d’une matrice SOD (Segregation Of Duties) en fonction des fonctions et des besoins du client.
Définition des rôles unitaires en fonction de cette matrice afin que chaque rôle soit intègre vis-à-vis de la SOD (Généralement, chaque fonction SOD contient au moins 1 rôle avec les transactions en « Change mode », et un rôle des transactions de type « Display »).
Dérivation de ces rôles en fonction des éléments organisationnels (Company codes, plants, Sales Organization, Purchasing Organization, …)
Mise en place de la partie EAM (Emergency Access Management) avec la mise en place de comptes nommés couramment « FireFighter » pour des accès étendus, mais limités dans le temps octroyés à certaines personnes (Ex : consultant fonctionnel ayant besoin de rôles business pour dépanner un problème end-user).
Paramétrage et adaptation aux besoins du client du module « Access Control » de SAP. Lancement d’analyses régulières (préconisation d’un lancement hebdomadaire) des risques par utilisateurs afin de maintenir un niveau de risques « acceptable », et de tenter de réduire ces risques partout où cela est possible.
Reporting sur la vision globale des risques, avec possibilité de détailler sur une population ou un risque particulier.
Propositions d’amélioration de la confidentialité du système d’information concernant des autorisations trop permissives (SE16, SM30, …) ou des rôles trop permissifs permettant d’accéder à des données organisationnelles trop étendues.
Analyse de l’activité réelle des utilisateurs (en fonction des transactions réellement lancées sur une période donnée), afin de leur laisser affectés uniquement les rôles nécessaires et suffisants et donc de réduire les risques potentiels.