in e-Business

Onapsis propose aux entreprises de se poser 10 questions pour vérifier leur politique de sécurité SAP

Garantir la sécurité de son installation SAP nécessite de la transparence, une bonne communication et des processus définis et documentés de manière détaillée

Les problèmes de sécurité SAP ne sont pas uniquement liés à l’absence de systèmes de protection, qui peuvent d’ailleurs être installés rapidement. Les experts d’Onapsis constatent régulièrement lors de leurs entretiens avec leurs clients que les principales causes des problèmes de sécurité rencontrés par un grand nombre d’infrastructures SAP sont un manque de transparence et de communication ainsi qu’une mauvaise définition des processus et des responsabilités. Onapsis, le spécialiste mondial de la sécurité des applications d’entreprise, a donc établi une petite liste de questions permettant aux DSI d’identifier les lacunes de leur politique de sécurité SAP.

D’après le sondage réalisé en février 2016 dans plusieurs pays par l’Institut Ponemon auprès d’employés de grandes entreprises dans différents secteurs d’activité, 21 % seulement des 607 personnes interrogées estiment que les dirigeants de leur entreprise sont conscients des risques informatiques auxquels sont exposées leurs applications SAP. 25 % indiquent qu’en cas de suspicion de problème, personne n’est responsable de la sécurité des systèmes SAP. Un quart des personnes interrogées font confiance à leur entreprise pour détecter immédiatement les attaques et seulement la moitié (53 %) la juge capable de les détecter en moins d’un an.

Garantir la sécurité des systèmes SAP nécessite une transparence totale quant aux failles de sécurité, une bonne communication et la mise en place d’une politique de sécurité globale. C’est pourquoi les processus de sécurité SAP doivent faire partie intégrante de la politique de sécurité générale de l’entreprise. Les dix questions suivantes peuvent servir de liste de contrôle aux gestionnaires d’infrastructure pour vérifier comment est organisée la sécurité des systèmes SAP :

  1. Les responsables disposent-ils d’une vue d’ensemble des applications critiques pour l’entreprise, de l’infrastructure SAP ainsi que de l’importance respective de chaque application pour l’entreprise (sont-ils par exemple au courant des données sensibles qui y sont stockées, des processus clés en cours et du nombre d’utilisateurs des services) ?
  2. L’entreprise utilise-t-elle des applications SAP critiques accessibles via Internet ou ouvertes à ses partenaires commerciaux ou à ses sous-traitants à l’étranger ?
  3. À quelle fréquence sont organisées des réunions avec l’équipe de sécurité de l’ERP et à qui cette équipe rend-elle des comptes ?
  4. L’équipe de sécurité de l’ERP a-t-elle connaissance des failles de sécurité, des malwares et des techniques de piratage actuelles utilisés spécifiquement contre les systèmes SAP ? Comment les documente-t-elle ? Quelle est la procédure suivie lorsqu’un hacker réussit à utiliser un exploit connu publiquement depuis plusieurs années ?
  5. Au sein de l’entreprise, qui est responsable en cas de cyberattaque visant la plate-forme ERP ?
  6. L’entreprise a-t-elle mis en place un audit sécurité et conformité et un programme d’évaluation de ses applications SAP ? Quels techniques ou services utilise-t-elle pour cet audit et cette évaluation ?
  7. Dans quels délais sont appliqués les patches de sécurité SAP ? Qui détermine les patches qui doivent être installés et utilisés en premier ? Les processus d’application des patches sont-ils documentés ?
  8. Les responsables savent-ils si leurs systèmes SAP ont été attaqués par le passé ? Si oui, quelles données de journalisation et quelles technologies utilisent-ils pour détecter les activités malveillantes ?
  9. Les systèmes SAP font-ils actuellement l’objet d’une surveillance axée sur les attaques ciblant les applications ou sur les comportements suspects des utilisateurs ? Comment se fait cette surveillance ?
  10. L’entreprise dispose-t-elle d’un plan détaillé pour gérer le risque accru d’une attaque contre les applications stratégiques ?

« Bien entendu ces questions peuvent aussi aider les gestionnaires d’ERP autres que SAP », déclare Mariano Nunez, cofondateur et CEO d’Onapsis. « D’après notre expérience, quasiment aucune des installations SAP de nos clients n’est sécurisée. L’augmentation du nombre de failles de sécurité concerne aussi les systèmes Oracle. Les entreprises doivent d’ailleurs penser à définir les responsabilités et à documenter le déroulement des processus de sécurité avec leur fournisseur de services cloud. Ces questions reflètent les défaillances que nous rencontrons souvent chez nos clients, qui ont pourtant toutes les compétences techniques requises pour garantir la sécurité de leur installation  SAP. L’infrastructure complexe des ERP et le manque de moyens et de technologies peuvent poser de sérieux problèmes aux dirigeants, aux directeurs de la sécurité IT, aux DSI et aux autres départements de l’entreprise. »

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.