• Print
  • Decrease text size
  • Reset text size
  • Larger text size
06/12/2017

Comprendre les usages indirects et se mettre en conformité vis-à-vis de SAP

Les usages indirects de SAP continuent de faire parler d’eux. Les récents cas de Diageo ou encore AB InBev pour la régularisation de leurs accès indirects en sont les meilleurs exemples.
Il est devenu indispensable de s’armer et de prévenir les audits sur ces types d’accès très peu compris par les entreprises et mal définis dans les contrats de l’éditeur. Qu’est-ce qu’un accès indirect et comment se mettre en conformité pour éviter des pénalités exorbitantes à la suite des audits de l’éditeur? Notre équipe CIO s’est penchée sur le sujet pour apporter des éléments de réponses.

 

Écarter les zones d’ombres autour des accès indirects de SAP

Les familles de licences SAP

 L’éditeur SAP stipule que toute utilisation de ses systèmes nécessite une licence. Les accès  à SAP sont de deux familles :

  • Les utilisateurs nommés en usage direct : ils font référence à l’usage effectué par un utilisateur disposant d’un login et d’un mot de passe sur les systèmes SAP.
  • Les packages de licences : ils proposent une utilisation de SAP indépendante du nombre d’utilisateurs. La métrique proposée repose sur le chiffre d’affaire, ou encore le nombre de collaborateurs etc.

Les usages indirects

Pour l'éditeur SAP, l’usage indirect couvre l’utilisation des données stockées dans SAP par ou via des applications tierces (création, modification ou consultation des données stockées dans SAP). Un usage indirect nécessite une licence également. L’éditeur SAP précise que chaque utilisateur de l’application tierce, et faisant indirectement usage des données stockées dans la base de données de SAP via l’application tierce, nécessite une licence.

Pour illustrer ces propos, les usages indirects peuvent concerner par exemple :

  • Les applications de notes de frais ou d’équipements mobiles en usine
  • Les applications d’échanges de factures (EDI)
  • Les sites WEB et les accès clients (e-commerce ou vente en ligne)

Dans chaque cas, plus la métrique est élevée, plus l’impact peut être considérable. Les usages  indirects peuvent avoir un très grand impact dès lors que le nombre de salariés est élevé, que le nombre d’utilisateurs « externes » ou le nombre de clients est grand.

En revanche, chez Sia Partners, nous considérons qu'une extraction de données brutes des systèmes SAP n’est pas un usage indirect. Nous sommes ainsi alignés sur la position du Cigref qui évoquait en Mars : « Les données confiées aux systèmes SAP n’appartiennent pas à SAP mais aux entreprises, et ce qu’elles en font une fois que ces données en ont été extraites ne regarde qu’elles ».

Il faut souvent revenir aux contrats pour mieux définir les usages indirects. Si la définition demeure souvent floue. Les contrats "anciens" comportent souvent moins de risques. Les contrats "récents" sont eux plus risqué; les clients ayant rarement challengé SAP sur ces aspects très peu connus et maitrisés. 

Dès lors qu’une application tierce est impliquée dans un usage indirect, il convient alors d’identifier tous les utilisateurs de cette application et de vérifier s’ils disposent d’une licence SAP. Pour illustrer ces propos, voici un exemple simplifié d’usage indirect :

Se mettre en conformité avant un audit

Dans le contexte actuel, il est indispensable de se mettre en conformité vis-à-vis de l’éditeur SAP pour les utilisateurs nommés et les usages indirects et ce avant l’arrivée d’un audit de l’éditeur.

La mise en conformité des utilisateurs nommés doit être inscrite dans un cycle de revue régulière des licences SAP : elle représente un delta du nombre de licences achetées et du nombre de licences réellement consommées. Il est néanmoins indispensable de pousser l’étude à un niveau de granularité plus élevé pour l’effectuer sur chaque type de licence d’utilisateurs nommés (Professional, Limited Professional, Worker, etc.) et optimiser la répartition des licences en rapport avec l’usage réel.

Pour les usages indirects, la mise en conformité nécessite une étude plus approfondie et plus complexe pour apporter des réponses aux exigences de SAP. De par notre expérience, SAP réclame à ses clients lors de ses audits sur les usages indirects :

  • Les systèmes SAP desquels les données sont transférées
  • Les applications tierces concernées
  • Les types de données et leurs formats
  • Les méthodes et technologies de transfert
  • Les fonctions métier et/ou process métier nécessitant ces connexions
  • Le sens des échanges de données (entrant/sortant) et leurs intérêts
  • Nombre d’utilisateurs disposant d’un accès pour créer, modifier, visualiser et/ou interagir avec les données

Pour les clients, il est important de noter que la nouvelle version du License Administration Workbench (LAW v2) couvre les usages indirects. L'éditeur SAP pourra ainsi les identifier facilement et (surtout) disposer d'éléments de preuves juridiques suffisants.

Face à ces exigences mais également à la difficulté de l’exercice, nous préconisons trois étapes pour se mettre en conformité vis-à-vis des usages indirects.

 

1. Identification des usages indirects

La première étape indispensable consiste à identifier les différents usages indirects. L’éditeur SAP ne définit pas correctement dans ses contrats ces usages et laisse un flou sur leurs interprétations.

D’un point de vue technique, l’identification des usages indirects s’effectuent par le biais d’une extraction des utilisateurs SAP. Cette dernière comprend d’une part les utilisateurs avec un usage nommé, et d’autre part les applications tierces ayant accès au système.

Ce travail permet la construction d’une liste d’applications à accès indirect dans les systèmes SAP. Il convient de s’assurer que l’ensemble de ces applications ont bel et bien accès à SAP et si certaines ne font plus usage de cet accès pour diverses raisons (applications obsolètes et non désactivées dans SAP etc.).

Les responsables des applications tierces sont dans ce cas la meilleure source d’information pour identifier la nature et le type des informations échangées, mais également le nombre d’utilisateurs concernés par les usages indirects.

 

2. Analyse du risque

Une fois les usages indirects identifiés, il convient d’estimer le risque associé. Il existe plusieurs types de risques à identifier et estimer, dont :

  • Risque financier :
    • Coût de la mise en conformité pré-audit : le coût que représente le rachat des licences manquantes pour se mettre en conformité vis-à-vis de l’éditeur
    • Coût de la mise en conformité post-audit : le coût que représente la mise en conformité vis-à-vis de l’éditeur à la suite de son audit suivant les éléments spécifiés dans le contrat
  • Risque technique :
    • Solution d’interfaçage non autorisée par l’éditeur SAP : en cas d'interface pirate avec SAP, le risque technique -support/maintenance- peut exister.

Ces risques doivent être bien identifiés et analysés car ils constituent également un poids dans les critères de choix des mesures correctrices.

3. Plan d’action de mise en conformité

Une fois l’ensemble des risques identifiés, des mesures correctrices doivent être mises en place pour pallier à ces risques. Ces mesures peuvent être :

  • Financières
    • Arbitrer les usages directs pour en supprimer et/ou en limiter suivant le risque identifié
    • Mener les négociations commerciales avec l’éditeur afin de combler le déficit de licences : entériner la notion d’usages indirects, définir le type de licences nécessaire, etc.
    • Mise en place d’un modèle de calcul harmonisé des savings réalisés par les achats
  • Techniques :
    • Redévelopper le flux pour interfacer avec SAP et/ou contourner la notion d’usages indirects
    • Identifier une solution alternative pour interfacer avec SAP
    • Mise en place d’un modèle d’analyse régulier du comportement des utilisateurs et d’identification d’usages indirects
    • Désactivation des utilisateurs inactifs
  • Métiers :
    • Supprimer le flux en réduisant les avantages fonctionnels métiers ou en modifiant les usages
    • Refaire l’attribution des licences avec des règles d’affectation plus claires et orientées métier

Ces mesures doivent suivre un plan d’action précis et détaillé permettant leurs mises en œuvre dans les délais impartis tout en intégrant les contraintes financières, techniques et métiers de chaque entreprise.

 

Une politique offensive de SAP

SAP a adopté une nouvelle stratégie commerciale pour pousser la nouvelle mouture SAP S/4 HANA auprès des grandes entreprises. Son planning de réalisation s’étalant jusqu’à horizon 2020, l’adoption sera progressive. Toutefois, à cette échéance, l’objectif de SAP est d’avoir une forte adoption. Pour assoir cet objectif, SAP utilise en particulier deux leviers :

  • D’une part, l’éditeur SAP n’assurera plus le support des systèmes tournant sur les serveurs Oracle, mais uniquement sur les bases de données HANA ;
  • D’autre part, SAP a lancé une vague d’audit particulièrement forte, axée notamment sur les usages indirects. Une politique purement commerciale permettant de fédérer ses clients autour de la nouvelle version pour éviter des sanctions

Face à ces deux leviers, Sia Partners recommandent aux grandes entreprises une attitude pro-active ;

  • Instruire l’adoption de tierce mainteneurs qui représentent une alternative pour se libérer du poids de la maintenance SAP. Ces entreprises peuvent augmenter le risque d’audit. Mais elles diminuent sûrement les coûts onéreux de maintenance de l’éditeur et représentent également un fort levier de négociation à l’approche de l’échéance citée précédemment.
  • Ne pas attendre l’arrivée de l’éditeur SAP et initier au plus tôt une démarche de mise en conformité vis-à-vis des usages indirects afin d’être dans une position de force lors des négociations commerciales.

Toute entreprise devrait idéalement analyser et maîtriser sa conformité en continu dans le temps. Pour ce faire, le SAM (Software Asset Manager) est un acteur indispensable pour la mise en conformité des accès indirects. Sa présence permet d’assurer une étude sur ces accès avec une fréquence régulière et de régulariser en cas de besoin.

---------------------------------------------

Thierry Borgel - Senior Manager
Stefano Fois - Manager
Christophe Lambert - Manager
Badr Bouganga - Consultant
0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top