La sécurité commence par la conception de l'infrastructure

Les failles de sécurité sont les virus d'aujourd'hui. Ils sont même encore plus dangereux. En effet, ils permettent aux cybercriminels de s'infiltrer silencieusement dans un réseau et un environnement informatique, de pénétrer jusqu'aux joyaux de la couronne et de finir par voler une précieuse propriété intellectuelle, de faire chanter le conseil d'administration ou de paralyser les activités commerciales et la production.

Il est plutôt rare d'apprendre que des attaques ont été menées avec succès. Pour des raisons de réputation, de nombreuses entreprises préfèrent rester discrètes et sont même prêtes à payer des sommes de plusieurs millions aux cyberpirates.

Les clients existants de SAP connaissent les risques, car c'est dans leurs systèmes SAP que bat le cœur de l'entreprise. C'est pourquoi ils investissent dans des logiciels de sécurité classiques afin d'anticiper les risques de cybermenaces.

Cette protection est extrêmement utile et efficace, mais elle n'est pas suffisante. D'une part, les failles de sécurité inconnues ne peuvent par définition pas être protégées, et d'autre part, dans les grands environnements SAP, il faut souvent des semaines, voire des mois, pour que les mises à jour de sécurité soient appliquées afin de combler les failles.

En outre, la frontière entre la sécurité informatique et la sécurité juridique devient de plus en plus floue en raison de la multiplication et du caractère de plus en plus exigeant des prescriptions et des réglementations - le RGPD de l'UE ou SOX doivent absolument être mentionnés dans ce contexte.

Ainsi, les dispositions visant à améliorer la traçabilité des modifications apportées à la configuration des systèmes, qui répondent avant tout à des obligations légales, contribuent également à renforcer la sécurité informatique.

Ces défis peuvent être relevés par un triptyque composé d'une infrastructure adaptée aux paysages SAP, d'un haut degré d'automatisation qui commence dès la conception et la programmation de cette plateforme d'infrastructure, et d'un écosystème de sécurité.

Mettre à jour les mécanismes de sécurité dans une architecture traditionnelle à trois couches prend du temps et coûte cher en raison du grand nombre de fournisseurs impliqués et de la diversité de leurs technologies.

En revanche, si une infrastructure informatique est entièrement virtualisée et gérée exclusivement par des logiciels, cette charge de travail peut être considérablement réduite. Les mises à jour de sécurité sont ainsi possibles en quelques heures ou quelques jours, même dans les grands et très grands paysages SAP, au lieu de plusieurs semaines ou mois comme auparavant.

Les infrastructures pilotées par logiciel présentent en outre l'avantage de pouvoir implémenter la sécurité comme une fonctionnalité à part entière, à côté de toutes les autres. Elles représentent l'ensemble du processus de développement axé sur la sécurité.

Celui-ci va de la conception et du déploiement du logiciel jusqu'aux tests et au "durcissement" supplémentaire et est appelé dans le jargon technique "Security Development Lifecycle" (SecDL).

En outre, dans de telles infrastructures, les failles de sécurité peuvent être identifiées et comblées de manière largement automatisée. La mise en œuvre de guides de sécurité, appelés Security Technical Implementation Guides (STIGs), permet notamment d'atteindre cet objectif.

En outre, les infrastructures pilotées par logiciel aident à suivre et à sécuriser l'intégrité des configurations de base de données. Mais soyons honnêtes : même le meilleur logiciel d'infrastructure ne peut pas garantir une protection à 100 %.

C'est pourquoi les possibilités de connexion à des solutions tierces au moyen d'interfaces de programmation (API) ouvertes sont un must. Cela vaut en particulier pour la gestion des clés de chiffrement, la sécurité des points finaux et la micro-segmentation.

La sécurité absolue est certes impossible. Mais avec la bonne infrastructure, il est possible de réduire considérablement la surface d'attaque dans les environnements SAP et de raccourcir massivement le temps entre la découverte d'une faille de sécurité et sa correction.