Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 17-07

Avec l'industrie 4.0, la sécurité est vite mise à mal

Il y a quelques années, j'ai contrôlé le concept d'autorisation d'un constructeur d'installations comptant plusieurs milliers de collaborateurs - et que devais-je constater ? Les acheteurs d'une usine pouvaient déclencher des cycles de paiement dans les autres usines de l'entreprise.
Bernd Israël, Sivis
13 juillet 2017
Contenu :
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Dans le cas du constructeur d'installations, cette combinaison d'autorisations était due à un concept d'autorisation qui s'est développé au fil du temps, dans lequel les rôles étaient toujours hérités et enrichis de transactions supplémentaires.

Malheureusement, cette pratique est encore courante dans de nombreuses entreprises aujourd'hui et permet aux employés de s'enrichir facilement au détriment de leur propre entreprise.

Une bonne gestion des autorisations SAP permet d'y remédier. Elle réduit le risque d'accès non autorisé à des données critiques dans les systèmes SAP.

Un concept d'autorisation mis à jour est essentiel pour la protection des données dans les entreprises et les organisations. Il permet de savoir qui a accès à quelles données au sein de l'entreprise.

Un concept d'autorisation sophistiqué tient également compte des remplacements de collaborateurs en cas de maladie ou de vacances. Il tient compte du transfert des collaborateurs dans d'autres services - ou de leur départ. Les nouveaux utilisateurs sont automatiquement intégrés dans le concept d'autorisation.

Mais une autre évolution m'inquiète beaucoup plus. Les nouvelles tendances informatiques, telles que les terminaux mobiles et les applications qui y sont liées, contrecarrent la sécurité dans les entreprises - et ce, dès la base.

Je fais surtout allusion à la mise en réseau directe au niveau des appareils par l'IoT et l'industrie 4.0. Il faut s'imaginer cela : Tout à coup, même les appareils obtiennent des droits d'accès aux données personnelles et les traitent de manière automatisée.

Tout le monde parle d'industrie 4.0 - et tout le monde veut prendre le train en marche. Mais le thème de la sécurité peut rapidement passer à la trappe.

En matière de sécurité informatique, il est en outre de plus en plus important de vérifier si les collaborateurs utilisent vraiment leurs autorisations à bon escient et n'en abusent pas.

L'Office fédéral de la sécurité des technologies de l'information (BSI) aborde le thème des concepts de rôles et d'autorisations SAP dans son catalogue de protection informatique de base, dont je ne peux que recommander la lecture à tout responsable informatique.

Il est ici expressément fait référence à la nécessité d'attribuer avec un soin particulier les autorisations critiques et de vérifier régulièrement le concept de rôles et d'autorisations existant.

Mais comment mettre cela en œuvre le plus simplement possible dans le quotidien de l'entreprise ? Et qu'en est-il des combinaisons d'autorisations critiques, c'est-à-dire de deux autorisations qui ne deviennent critiques qu'une fois attribuées ensemble ?

L'essentiel est ici un concept d'autorisation bien pensé. Ici, chaque CEO devrait veiller dès le début à ce que la combinaison des autorisations ne crée pas de risques.

Les autorisations sensibles ne devraient être attribuées qu'en cas de nécessité absolue. Les utilisateurs SAP peuvent s'inspirer ici du guide de contrôle de la DSAG. Un système de contrôle interne (SCI) est également un avantage.

Les modifications peuvent par exemple être documentées automatiquement de manière complète et compréhensible, à condition de compléter le système d'autorisation SAP avec des fonctions ou des outils de fournisseurs tiers.

Dans l'idéal, il faudrait pouvoir simuler les effets de l'attribution de nouvelles autorisations avant même la mise en production. Ce n'est qu'ainsi que les conflits typiques peuvent être identifiés et écartés à temps et automatiquement.

En outre, tous les rôles et autorisations peuvent ainsi être contrôlés périodiquement ou à l'occasion d'événements particuliers, et ce sans effort. Une autre chose me tient à cœur : votre entreprise profite en outre si vous réévaluez les conséquences des fuites de données lors de la mise en œuvre de nouvelles exigences de conformité pour votre gestion des autorisations.

En effet, ces derniers entraînent des coûts toujours plus élevés, comme le prouve la 11e étude actuelle sur les violations de données de Ponemon. Selon cette étude, le coût total des abus de données dans les entreprises de douze pays industrialisés est passé de 3,8 à 4 millions de dollars.

Il est préférable d'examiner aujourd'hui plutôt que demain si le concept d'autorisation de votre entreprise résiste à ces nombreuses situations de menace.

avatar
Bernd Israël, Sivis

Ancien responsable du point de vente chez T-Systems Suisse, Bernd Israel est aujourd'hui directeur général de Sivis.


Tous les articles de l'auteur

Écrire un commentaire

Agents intelligents pour le traitement intégré des factures SAP

AI Doomsayers

Intelligence artificielle : le pas de l'idée à la production

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.