Cybercriminalité : IT2media protège ses propres systèmes avec SecurityBridge, partenaire de SAP
Un grand paysage SAP hétéroclite avec ECC, S/4, BW, HR et des passerelles, utilisé par la propre société mère (groupe Sellwerk), divers éditeurs d'annuaires téléphoniques et des entreprises de médias dans toute l'Allemagne, semble difficile à administrer, l'est en effet, et pourtant, pendant des années, une seule personne s'en est chargée : Björn Hatzelmann, chef d'équipe SAP Basis Core d'IT2media, une entreprise de systèmes IT-SAP de taille moyenne dont le siège est à Nuremberg.
TakeASP s'occupe des utilisateurs SAP pour toutes les questions relatives à la base et à la sécurité SAP et est également partenaire de SecurityBridge pour l'implémentation et l'exploitation de la solution de sécurité dans le secteur des moyennes entreprises. Le problème de Björn Hatzelmann est partagé par de nombreuses entreprises de taille moyenne qui utilisent SAP ou qui mettent des systèmes SAP à disposition d'autres entreprises, comme justement une entreprise de systèmes. La charge de travail ne cesse d'augmenter, les spécialistes sont difficiles à trouver. Certes, l'administration des systèmes fonctionne, mais pour les questions de sécurité, IT2media s'en remettait jusqu'à présent uniquement aux moyens de bord SAP. Le Patch Day mensuel de SAP était un rendez-vous obligatoire, toutes les nouvelles notes de sécurité étaient régulièrement téléchargées. "Mais avec un très grand paysage, il n'est plus du tout possible de garantir tout cela en continu pour tous les systèmes", raconte l'administrateur Hatzelmann.
Composants SAP sur le Web
Le fait est que la menace qui pèse sur les utilisateurs SAP s'est accrue. Il n'y a pas encore eu d'attaque sur l'environnement ERP d'IT2media, mais certains composants SAP se trouvent sur Internet, l'ESS par exemple peut être appelé de l'extérieur. Une authentification à deux facteurs est certes utilisée ici, mais Björn Hatzelmann est convaincu qu'il n'existe aucun logiciel qui ne puisse être contourné. Le système S/4-Hana est lui aussi connecté au monde extérieur via un connecteur cloud.
Pour ne plus être exposée aux menaces croissantes, l'entreprise voulait se protéger de manière proactive. TakeASP a donc recommandé de confier à l'avenir les questions de sécurité à la plateforme SecurityBridge. Lors du congrès DSAG 2023, Björn Hatzelmann a vu le produit pour la première fois et s'est tout de suite enthousiasmé : "L'étendue fonctionnelle est étonnante, l'interface graphique est extrêmement attrayante, on s'y retrouve tout de suite". En novembre de la même année, un prototype a été mis en place, qui a débouché peu après sur l'acquisition du logiciel.
Menace au niveau des modules
Le prototype a aidé le prestataire de services SAP à faire comprendre à ses clients pourquoi ils ont besoin des différents modules. En effet, lorsqu'on parle de mesures de sécurité, la première remarque qui vient est la suivante : avons-nous vraiment besoin de cela ? Combien cela coûte-t-il ? Mais face à la menace croissante, la plupart comprennent vite qu'il vaut mieux dépenser un euro de trop maintenant et ne pas en avoir besoin, plutôt que de devoir payer après coup les immenses dégâts d'une attaque.
Une plateforme de sécurité SAP est un achat important pour toute entreprise de taille moyenne. Il est donc utile de pouvoir commencer petit à petit avec des modules individuels, comme c'est le cas avec SecurityBridge. IT2media a commencé par la gestion des correctifs et le Security Compliance Monitor : d'une part pour la passerelle SAP vers Internet, afin de s'assurer que les derniers conseils sont toujours respectés, d'autre part pour le système ECC - un produit en fin de vie qui a été modifié par des milliers de Z-développements au cours des dernières années. Björn Hatzelmann : "Effectuer ici une analyse de vulnérabilité du code n'aurait guère de sens, personne ne pourrait tout corriger d'ici 2027".
Il semblait donc plus pratique de renforcer les bases par le biais de la gestion des correctifs, sans pour autant faire un tour complet. C'est ce que fait IT2media avec la suite SecurityBridge complète pour son nouveau système S/4. Ce système est déjà utilisé par un premier gros client du secteur de l'édition, d'autres entreprises (et plus tard aussi la société mère) qui travaillent encore sur le système ECC seront transférées petit à petit vers S/4 Hana via leurs propres mandants. Il s'agit ici de contrôler dès le début ce qui est programmé dans le système. L'Interface Traffic Monitor de SecurityBridge permet de surveiller étroitement les connexions RFC et de contrôler quels utilisateurs ont éventuellement trop d'autorisations.
Avec la gestion des correctifs, il n'est plus nécessaire de chercher toutes les informations dans les pages d'aide SAP. Au contraire, l'administrateur reçoit les informations sur les correctifs dans un carreau. Il voit immédiatement où se situe l'urgence et ce qui doit être fait. Un gain de temps incroyable, comme le sait Björn Hatzelmann. TakeASP l'assiste dans l'exploitation de la plateforme SecurityBridge, par exemple dans la mise en place du libre-service Identity Protection ou dans l'acquisition de savoir-faire sur les points de sous-menu et les possibilités de réglage de la solution sous l'interface des tuiles.
DE
EN
ES
FR
