Information et éducation par et pour la communauté SAP

Cloud - mais en toute sécurité

De plus en plus d'entreprises misent sur des solutions de cloud computing. En Allemagne, les préoccupations en matière de sécurité persistent. La dénonciation de l'accord Safe Harbor entre les États-Unis et l'UE fait le reste. Avec un savoir-faire adéquat, les entreprises peuvent bien protéger leurs données.
Magazine E-3
4 décembre 2015
2015
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Les PME allemandes hésitent à placer leurs précieuses données ERP dans le cloud. Les craintes d'accès non autorisés, qui pourraient permettre à la concurrence d'avoir un aperçu des données décisives pour l'entreprise, sont trop grandes. C'est pourquoi de nombreux fournisseurs de logiciels proposent souvent des solutions sur site en plus de celles basées sur le cloud.

"Le thème du cloud est en général encore partiellement associé à une image négative en Allemagne, bien que de nombreuses entreprises aient déjà fait le premier pas vers le cloud en l'externalisant il y a longtemps".

sait Nikolaj Schmitz, CIO chez G.I.B.

Cloud privé, public et hybride

Depuis de nombreuses années, les grandes entreprises en particulier font appel aux services de centres de données. Il convient toutefois de faire une distinction, car tous les clouds ne se valent pas.

Dans le cas d'un cloud privé, des systèmes ERP dédiés sont mis à la disposition de chaque client. Il est le seul à avoir un accès exclusif à son système quasi privé.

"Tant que l'on parle de cloud privé, à part les possibilités supplémentaires de provisionnement, je ne vois pas de grande différence avec l'externalisation classique".

dit l'expert en informatique Schmitz.

Il en va autrement du cloud public. Ici, un grand nombre d'utilisateurs ont accès à des applications standardisées, utilisées par exemple pour les notes de frais, la gestion des événements ou des talents, ce qui signifie que tous les utilisateurs partagent un système.

L'inconvénient du cloud public est qu'il ne permet généralement pas de reproduire des processus complexes et hautement spécifiques aux clients, comme dans le domaine de la logistique. Si, par exemple, lors de l'enregistrement d'entrées de marchandises pour des commandes de sous-traitance, une confirmation de l'opération d'ordre de fabrication qui en est à l'origine doit être effectuée, les applications standard ne peuvent généralement pas le faire.

C'est pourquoi les applications dans le cloud public sont souvent utilisées uniquement comme complément aux systèmes informatiques existants, afin de ne pas devoir réaliser de telles applications supplémentaires à grands frais dans le système sur site. On parle dans ce cas d'un cloud hybride.

Conséquences de l'arrêt Safe Harbor

Qu'elle soit publique, privée ou hybride, l'externalisation des données comporte certains risques. Pour les minimiser, l'UE a adopté en 2000 une directive sur la protection des données.

L'UE a conclu avec les États-Unis l'accord dit de la "sphère de sécurité", dans lequel les États-Unis ont accepté de reconnaître les dispositions de la directive.

La Cour de justice de l'Union européenne (CJUE) vient de déclarer cet accord invalide. Une preuve que les données stockées sur des serveurs américains ne répondent pas aux normes de sécurité de l'UE.

"Actuellement, les fournisseurs américains sont obligés d'autoriser les autorités d'investigation à accéder aux données de leurs clients".

explique Schmitz.

C'est le cas même si les serveurs des entreprises américaines se trouvent dans un autre pays européen.

C'est pourquoi l'expert en informatique conseille de miser sur des fournisseurs allemands lors de l'externalisation des données. Même les centres de données situés dans un environnement européen proche offrent en général une protection suffisante pour les données externalisées.

Cela ne dispense toutefois pas les entreprises de procéder à un examen approfondi des certifications de sécurité d'un fournisseur de cloud ou d'un centre de données. Ces certifications doivent être contrôlées par des organismes externes lors d'audits réguliers.

Sécurité des lignes de données

Le risque d'un accès non autorisé à des informations internes à l'entreprise ne réside toutefois pas seulement dans le stockage des données, mais aussi dans leur acheminement.

"Le cryptage lors de la transmission des données est essentiel".

déclare le responsable informatique Schmitz.

Ce domaine a beaucoup évolué au cours des dernières années. Ainsi, le protocole SSL utilisé depuis longtemps est actuellement remplacé par TLS. Il s'agit en quelque sorte d'une évolution de SSL, qui permet toutefois de combler des lacunes de sécurité connues.

Autre avantage de TLS : le protocole offre la possibilité d'implémenter tout protocole supérieur basé sur TLS. L'indépendance des applications et des systèmes est ainsi garantie.

En outre, les entreprises utilisent des tunnels VPN pour assurer une transmission sécurisée de leurs données sensibles entre leur propre infrastructure informatique et des prestataires de services externes.

Cependant, l'option de certains fournisseurs selon laquelle les données ne quittent pas la partie allemande d'Internet va trop loin pour Schmitz.

"De mon point de vue, cela va partiellement à l'encontre de l'idée fondamentale d'Internet".

ajoute l'expert en informatique. De toute façon, dans un monde économique de plus en plus global, cette pensée territoriale ne devrait pas être une solution pour les entreprises qui se développent à l'international.

Risques liés aux applications web

Les entreprises qui étendent leurs activités à d'autres pays ont besoin de mettre en réseau leurs sites d'exploitation à l'étranger ou d'offrir à leurs collaborateurs un accès simple et rapide aux informations importantes.

Pour ce faire, ils misent sur des applications web qu'un grand nombre d'utilisateurs, répartis dans le monde entier, peuvent utiliser sur différents terminaux.

"De nombreuses entreprises ne peuvent plus se passer d'applications web aujourd'hui".

sait Schmitz.

Ils sont par exemple souvent utilisés pour fournir un service et une assistance aux clients ou pour connecter les fournisseurs aux systèmes ERP. Ici aussi, il existe des mesures de sécurité, du cryptage au monitoring des accès en passant par l'utilisation de pare-feu, qui permettent de minimiser le risque de piratage.

En outre, divers contrôleurs externes proposent leurs services pour tester sous toutes les coutures la sécurité des systèmes correspondants, parfois avec des méthodes de piratage.

Toutefois, la grande diversité des terminaux utilisés pour les applications web est particulièrement délicate.

"Mais même dans cet environnement, il existe des solutions qui permettent une gestion centralisée et transparente".

explique Schmitz.

Par exemple, des paramètres de sécurité uniformes peuvent être déployés à partir d'un point central pour tous les terminaux en service.

En outre, les entreprises misent ici également sur des tunnels VPN ou cryptent l'accès des terminaux à l'application web interne. La connexion aux systèmes internes est en outre généralement sécurisée par une procédure d'authentification à plusieurs niveaux.

Économiser au mauvais endroit

Pour ses solutions logicielles Dispo-Cockpit Forecast et Dispo-Cockpit Vendor Managed Inventory, G.I.B utilise également les solutions d'externalisation d'un partenaire qui a prouvé qu'il disposait des compétences nécessaires en matière de sécurité informatique.

Les accès aux applications web du G.I.B se font exclusivement via des connexions cryptées.

"De plus, l'accès aux applications est réduit au minimum nécessaire grâce à des pare-feux appropriés".

explique Schmitz.

Tous les accès sont en outre surveillés afin d'identifier rapidement les attaques et de mettre en place des contre-mesures.

Certes, une protection à 100 % n'existe pas et un niveau de protection élevé comme celui du G.I.B est lié à un certain effort et aux coûts qui y sont liés.

Cependant, il n'est pas recommandé d'économiser sur les mesures de sécurité, car la perte ou l'utilisation abusive des données pourrait s'avérer beaucoup plus coûteuse - sans parler de la confiance que les partenaires commerciaux peuvent rapidement perdre dans une entreprise qui n'offre pas une sécurité suffisante des données.

avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.