in Avis d'experts

Un plan en cinq points pour une politique de sécurité SAP vraiment efficace – Onapsis

Intégrer la sécurité des systèmes SAP à celle de toute l’infrastructure IT

Face à la multiplication des cyberattaques externes et internes ciblant leurs systèmes SAP, les grandes entreprises mondiales sont sous pression. Elles doivent d’une part recourir à des solutions technologiques pour sécuriser leurs systèmes SAP et d’autre part intégrer ces solutions à une stratégie de sécurité IT globale. Fort de ces années d’expérience dans la protection des systèmes SAP, Onapsis, le spécialiste mondial de la sécurité des applications d’entreprise, propose un plan en cinq points pour mettre en place des processus de sécurité efficaces.

Un des éléments clés d’une politique de sécurité SAP est la mise en œuvre de solutions personnalisées pour déceler et surveiller les failles de manière préventive et identifier les événements et les tentatives d’accès inhabituels et y réagir immédiatement.

Ces solutions permettent de mettre en place un processus de sécurité SAP qui dépasse les limites des compétences des différents collaborateurs et départements de l’entreprise pour s’intégrer à sa politique de sécurité IT globale.

Onapsis propose aux entreprises de suivre les cinq étapes ci-dessous pour bâtir une stratégie performante visant à garantir la sécurité de leurs systèmes SAP.

  1. Analyser l’environnement SAP et sa topologie : La première étape vers la sécurité consiste à analyser la structure globale de l’infrastructure SAP. Cette analyse permet d’avoir une vue d’ensemble du type et du nombre de systèmes SAP utilisés, y compris des systèmes d’amélioration et de gestion de la qualité et des systèmes de développement. À partir de la topologie de son infrastructure SAP, l’entreprise peut mieux comprendre quels sont les processus métier pris en charge par ses systèmes SAP et identifier les informations stockées et traitées par chacun d’eux. Ce n’est qu’après avoir identifié précisément les systèmes SAP en place et leurs interactions qu’il est possible d’évaluer les risques. Dans ce contexte, seule une solution permettant de définir automatiquement la topologie des systèmes SAP produit un résultat rapide.
  2. Identifier et évaluer les risques potentiels : La deuxième étape consiste à identifier les failles et les risques résultant d’une mauvaise configuration de l’infrastructure. Pour cela, il faut savoir quels effets une mauvaise configuration de la couche transaction assurant la transmission de données et des droits des utilisateurs peut avoir sur les processus métier et les données stratégiques de l’entreprise. L’évaluation des risques se fait donc indépendamment des exigences d’un secteur d’activité ou d’une politique de sécurité spécifique. Il s’agit ensuite de définir par ordre de priorité les mesures à mettre en place pour contrer ces risques.
  3. Identifier les parties prenantes : Différents acteurs interviennent dans le fonctionnement d’une infrastructure SAP. Il s’agit généralement du directeur des systèmes d’information (DSI) et du directeur financier qui prennent les décisions clés concernant la gestion de l’infrastructure SAP et la sécurité IT. L’administration et la sécurisation de l’environnement SAP incombent quant à elles aux équipes informatiques et SAP Basis. Le département chargé de la sécurité informatique est rarement sollicité alors qu’il joue un rôle essentiel pour mettre en place un processus de sécurité efficace, identifier et communiquer avec toutes les parties prenantes et définir les responsabilités de chacune en matière de sécurité des systèmes SAP.
  4. Définir un plan d’action global : Il faut définir un plan d’action commun, basé sur le travail préparatoire expliqué ci-dessus, en se servant de l’infrastructure de sécurité IT déjà en place et en intégrant la sécurité des systèmes SAP à la politique de sécurité existante. Il est donc recommandé d’adopter une approche souple qui allie mesures préventives, contrôles réguliers et mesures réactives. Le plan présenté ici s’inspire ainsi des 20 contrôles de sécurité IT essentiels recommandés par l’institut SANS. Par ailleurs, les entreprises doivent se doter de services qui les informent en continu, non seulement sur les risques pour la sécurité IT en général mais aussi sur ceux spécifiques aux systèmes SAP. L’application des patchs de sécurité les plus récents publiés par SAP est également un élément clé du plan d’action. Enfin, en corrélant les failles de ses systèmes et ses exigences en matière de sécurité, l’entreprise est mieux à même d’identifier les risques les plus graves et de prendre les mesures adaptées.
  5. Mesurer et communiquer les progrès : Cette étape consiste pour les responsables de la sécurité informatique à définir les objectifs communs de la politique de sécurité SAP de l’entreprise et à mesurer les progrès réalisés afin de pouvoir les communiquer en interne. Des rapports pertinents permettent en effet d’encourager les équipes à atteindre les objectifs visés. À l’aide des technologies actuelles, il est par exemple possible d’établir à tout moment des rapports delta, qui documentent les modifications de la configuration de sécurité.

En suivant ces étapes, les entreprises parviennent à mettre en place une politique de sécurité SAP efficace afin d’anticiper sur les risques toujours plus grands auxquels elles sont confrontées.

À l’heure actuelle, Onapsis constate que beaucoup d’entreprises ont du retard à rattraper dans ce domaine, notamment en raison d’une répartition contestée ou d’une absence de répartition des responsabilités. « Les équipes chargées des systèmes SAP, les responsables de la sécurité IT et les directeurs des données opèrent rarement de manière coordonnée. Les équipes SAP se concentrent plus sur la productivité des systèmes SAP tandis que les responsables de la sécurité IT n’ont en général pas conscience de la nécessité d’intégrer la sécurité SAP à leur stratégie globale et manquent souvent d’une vue d’ensemble des applications métier et de leurs échanges de données. L’absence de répartition claire des responsabilités et le manque de communication entre les parties prenantes sont souvent à l’origine de failles de sécurité des systèmes SAP », explique Mariano Nunez, PDG et co-fondateur d’Onapsis. « Pour mettre en place une politique de sécurité SAP cohérente, il faut donc commencer par établir une base de discussion solide grâce à une analyse et une évaluation en continu des risques pour toutes les parties prenantes. Mais ces résultats doivent aussi être intégrés à la politique de sécurité IT globale. »

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.