Avec l'industrie 4.0, la sécurité est vite mise à mal


Dans le cas du constructeur d'installations, cette combinaison d'autorisations était due à un concept d'autorisation qui s'est développé au fil du temps, dans lequel les rôles étaient toujours hérités et enrichis de transactions supplémentaires.
Malheureusement, cette pratique est encore courante dans de nombreuses entreprises aujourd'hui et permet aux employés de s'enrichir facilement au détriment de leur propre entreprise.
Une bonne gestion des autorisations SAP permet d'y remédier. Elle réduit le risque d'accès non autorisé à des données critiques dans les systèmes SAP.
Un concept d'autorisation mis à jour est essentiel pour la protection des données dans les entreprises et les organisations. Il permet de savoir qui a accès à quelles données au sein de l'entreprise.
Un concept d'autorisation sophistiqué tient également compte des remplacements de collaborateurs en cas de maladie ou de vacances. Il tient compte du transfert des collaborateurs dans d'autres services - ou de leur départ. Les nouveaux utilisateurs sont automatiquement intégrés dans le concept d'autorisation.
Mais une autre évolution m'inquiète beaucoup plus. Les nouvelles tendances informatiques, telles que les terminaux mobiles et les applications qui y sont liées, contrecarrent la sécurité dans les entreprises - et ce, dès la base.
Je fais surtout allusion à la mise en réseau directe au niveau des appareils par l'IoT et l'industrie 4.0. Il faut s'imaginer cela : Tout à coup, même les appareils obtiennent des droits d'accès aux données personnelles et les traitent de manière automatisée.
Tout le monde parle d'industrie 4.0 - et tout le monde veut prendre le train en marche. Mais le thème de la sécurité peut rapidement passer à la trappe.
En matière de sécurité informatique, il est en outre de plus en plus important de vérifier si les collaborateurs utilisent vraiment leurs autorisations à bon escient et n'en abusent pas.
L'Office fédéral de la sécurité des technologies de l'information (BSI) aborde le thème des concepts de rôles et d'autorisations SAP dans son catalogue de protection informatique de base, dont je ne peux que recommander la lecture à tout responsable informatique.
Il est ici expressément fait référence à la nécessité d'attribuer avec un soin particulier les autorisations critiques et de vérifier régulièrement le concept de rôles et d'autorisations existant.
Mais comment mettre cela en œuvre le plus simplement possible dans le quotidien de l'entreprise ? Et qu'en est-il des combinaisons d'autorisations critiques, c'est-à-dire de deux autorisations qui ne deviennent critiques qu'une fois attribuées ensemble ?
L'essentiel est ici un concept d'autorisation bien pensé. Ici, chaque CEO devrait veiller dès le début à ce que la combinaison des autorisations ne crée pas de risques.
Les autorisations sensibles ne devraient être attribuées qu'en cas de nécessité absolue. Les utilisateurs SAP peuvent s'inspirer ici du guide de contrôle de la DSAG. Un système de contrôle interne (SCI) est également un avantage.
Les modifications peuvent par exemple être documentées automatiquement de manière complète et compréhensible, à condition de compléter le système d'autorisation SAP avec des fonctions ou des outils de fournisseurs tiers.
Dans l'idéal, il faudrait pouvoir simuler les effets de l'attribution de nouvelles autorisations avant même la mise en production. Ce n'est qu'ainsi que les conflits typiques peuvent être identifiés et écartés à temps et automatiquement.
En outre, tous les rôles et autorisations peuvent ainsi être contrôlés périodiquement ou à l'occasion d'événements particuliers, et ce sans effort. Une autre chose me tient à cœur : votre entreprise profite en outre si vous réévaluez les conséquences des fuites de données lors de la mise en œuvre de nouvelles exigences de conformité pour votre gestion des autorisations.
En effet, ces derniers entraînent des coûts toujours plus élevés, comme le prouve la 11e étude actuelle sur les violations de données de Ponemon. Selon cette étude, le coût total des abus de données dans les entreprises de douze pays industrialisés est passé de 3,8 à 4 millions de dollars.
Il est préférable d'examiner aujourd'hui plutôt que demain si le concept d'autorisation de votre entreprise résiste à ces nombreuses situations de menace.