Cyberdéfense pour SAP et plus encore

Il y a tout juste un an, Pathlock a été créé en tant qu'association unique de fournisseurs internationaux de premier plan en matière de gouvernance d'accès et de sécurité des applications, dans le but d'élever ensemble la compréhension et l'étendue de la sécurité globale à un niveau supérieur. Aujourd'hui, Pathlock est déjà le premier spécialiste mondial de la sécurité et de la GRC pour SAP et les systèmes informatiques hybrides. Avec 500 collaborateurs dans le monde entier, il conseille plus de 1200 clients pour la protection d'applications, de données et de processus critiques. Il aide ainsi les entreprises équipées de SAP ERP, S/4 Hana, Cloud ou de systèmes multi-vendeurs à détecter les anomalies, les attaques de pirates, les manipulations ou les vols de données.

Expérience et savoir-faire

La cyberdéfense est une question de sensibilisation, d'expérience, de formation, d'outils informatiques et de savoir-faire. Si les générations précédentes d'ERP ont pour ainsi dire grandi avec des scanners de virus, la cyberdéfense dans les architectures complexes d'aujourd'hui ne concerne pas seulement les pirates, mais aussi de nombreux paramètres d'attaque très différents de l'intérieur et de l'extérieur. Bodo Kahl, CEO de Pathlock Allemagne, explique l'objectif de la fusion dans un entretien avec l'E3 : "Nous nous sommes associés pour développer la première solution automatisée complète de gestion de la conformité et des risques du secteur. Notre technologie effectue des contrôles financiers et de protection des données concertés tout en protégeant toutes les applications commerciales clés contre les menaces de cybersécurité. En combinant des capacités à chaque fois uniques, nous pouvons désormais offrir à nos clients une solution qui couvre plus d'applications et plus de types de risques que toute autre et toute autre entreprise auparavant". Cette approche de la cyberdéfense est essentielle dans un monde informatique atomisé et agile, car le client SAP existant doit faire face à de très nombreux scénarios de menaces en même temps. Le Chief-Technology-Officer (CTO) de Pathlock Allemagne, Ralf Kempf, explique à ce sujet : "Nous nous concentrons sur une solution large qui peut faire plus que l'approche classique que l'on trouve habituellement sur le marché. Jusqu'à présent, il y avait des solutions qui se concentraient soit sur le domaine de la gestion des utilisateurs et des accès, soit sur le domaine de la cybersécurité, mais aucune qui englobait le domaine de la sécurité ERP en général. Donc, nous parlons ici d'une solution unifiée qui couvre tous les fournisseurs ERP renommés du marché comme SAP, Microsoft et Oracle, ainsi que des outils comme Salesforce". 

La fusion en Pathlock donne lieu à un éventail de prestations beaucoup plus profond et plus large que les solutions individuelles connues. Elle réunit aussi bien les possibilités dans le domaine de la gestion de l'identité et de l'accès des utilisateurs d'une part, que dans le domaine de la cybersécurité, de la gestion des vulnérabilités, de la détection des menaces et de la protection des données d'autre part. Outre Sast Solutions, Pathlock comprend les anciennes sociétés Appsian, Security Weaver, CSI Tools, Xpandion et QSoftware. Ensemble, le groupe dispose de 15 sites aux États-Unis, en Europe, en Israël et en Inde. 

Dans la pratique, Pathlock Allemagne a une grande affinité avec SAP. Les architectures ECC et S/4 sont complexes et décentralisées. La collaboration avec les spécialistes SAP CSI Tools de Belgique et Security Weaver des États-Unis a donc apporté une valeur ajoutée immédiate. "Elle signifie un portefeuille SAP judicieusement élargi - en plus du Quick Win, qui permet de disposer immédiatement d'une large offre de solutions pour toutes les applications ERP en cas de besoin", souligne le CTO Ralf Kempf dans un entretien avec le rédacteur en chef d'E3, M. Färbinger. "Le grand avantage de cette fusion est qu'elle ne multiplie pas seulement la portée, mais aussi notre expertise. En conséquence, nous partageons nos solutions de cybersécurité pour SAP et nos partenaires dans le monde entier et pouvons les intégrer immédiatement dans leur portefeuille". 

Système d'autorisation

Un paramètre de sécurité essentiel est le système d'autorisation pour les utilisateurs SAP. "Beaucoup de nos gros clients ont des produits comme Ariba, que SAP a achetés lui-même, mais qu'il n'a jamais vraiment intégrés dans son portefeuille. Jusqu'à présent, ils rendaient très difficile le suivi des autorisations des collaborateurs sur toutes les applications et la gestion des comptes, par exemple lorsqu'un collaborateur quitte l'entreprise", explique Ralf Kempf en décrivant un cas d'application issu de sa pratique professionnelle. 

Les changements de personnel ont toujours été un grand défi pour le système d'autorisation : Lorsqu'une personne quitte l'entreprise, tous les comptes, tous les appareils doivent être bloqués, toutes les autorisations doivent être retirées dans tous les systèmes du monde entier. "Jusqu'à présent, nous ne pouvions gérer de manière transparente les accès dans tous ces sous-systèmes, les réviser et ainsi de suite que pour SAP. Maintenant, nous offrons une vue d'ensemble des identités et des comptes pour tous les systèmes", explique Ralf Kempf en décrivant l'un des avantages de la fusion.

La communauté SAP a réalisé depuis un certain temps l'importance et la durabilité de la cyberdéfense. Le rapport d'investissement 2023 du groupe d'utilisateurs SAP germanophones (DSAG e. V.) témoigne également de cette prise de conscience. En ce qui concerne la planification des investissements des membres de la DSAG, la cybersécurité occupe clairement la première place pour 88 % d'entre eux avec une pertinence élevée ou moyenne. Pour le président du comité directeur de la DSAG, Jens Hungershausen, ce n'est pas inattendu : "Il est certes impossible de prévenir une attaque de pirates informatiques. Mais il existe une série de mesures avec lesquelles les entreprises et les utilisateurs peuvent se préparer". Et c'est là que la force d'innovation et l'efficacité du nouveau groupe Pathlock se révèlent.

Tableaux de bord

Les tableaux de bord de sécurité figurent depuis des années sur la liste des exigences de DSAG en tant qu'élément central pour le contrôle et la défense contre les incidents de sécurité. En collaboration avec SAP, la DSAG a travaillé à la mise au point d'une solution permettant d'avoir une vue d'ensemble de tous les aspects de la sécurité, qui indique automatiquement les paramètres de sécurité qui doivent être définis et les failles de sécurité dans le paysage SAP de l'entreprise. Pathlock, qui participe également au groupe de travail de la DSAG, peut maintenant annoncer son succès : Le développement des tableaux de bord Pathlock a été mené à bien et couvre bien plus que les simples environnements SAP. "Car", explique Piyush Pandey, CEO de Pathlock, lors d'un entretien exclusif à l'E3, "l'époque des ERP statiques singuliers est révolue. 

Les solutions SAP restent l'élément principal de l'infrastructure de ligne de métier de nombreuses entreprises, mais les solutions d'autres fournisseurs, notamment Oracle, prennent de plus en plus d'importance. Par exemple, nombre de nos entreprises clientes SAP gèrent une ou plusieurs instances Oracle ERP à la suite de fusions et d'acquisitions. La gestion des droits d'accès, y compris les rôles, mais aussi les règles SoD (Segregation of Duties) et d'autres aspects liés à l'identité, à l'accès et à la sécurité sont essentiels pour protéger ces applications stratégiques".

De plus, de nombreux systèmes critiques pour l'entreprise suivent la tendance à se déplacer vers le cloud, par exemple avec des solutions SAP comme SuccessFactors ou Ariba. Le champ d'application des contrôles d'accès centralisés s'étend ainsi au-delà des systèmes Abap traditionnels et même de SAP. Les exigences envers les solutions augmentent, soit en prenant en charge un éventail plus large de systèmes, soit en fournissant des points d'intégration appropriés avec d'autres solutions. Pour réussir à mettre en œuvre des contrôles adéquats, il est essentiel que tous les systèmes soient couverts par une solution efficace de gestion des risques, pour la gestion du contrôle d'accès et des contrôles SoD, ainsi que pour la mise en œuvre d'une gouvernance d'accès appropriée.

Cela se reflète également dans l'annonce faite pour le Leadership Compass de cette année par l'analyste technologique de premier plan KuppingerCole, qui met l'accent sur une prise en charge complète à la fois des environnements SAP et des applications commerciales d'autres fournisseurs : "Les besoins des clients en matière de solutions de contrôle d'accès pour leurs applications commerciales évoluent rapidement. De nombreuses entreprises ont besoin de solutions qui couvrent un certain nombre d'ERP de différents fournisseurs et qui fonctionnent dans différents modèles".

Modèles de rôles

Toutefois, de nombreux fournisseurs manquent encore d'une longue expérience en matière de modèles de rôles de meilleures pratiques, de jeux de règles d'accès critiques et de jeux de rôles SoD pour les solutions non-SAP, constate Martin Kuppinger dès 2022, en soulignant comme exemple d'exception le soutien profond de Pathlock pour les systèmes Oracle. Il souligne que la fusion de Pathlock a donné naissance à "un grand concurrent pour SAP sur le marché de la sécurité". Ralf Kempf commente : "Nous prenons ce jugement comme un compliment et une confirmation, mais surtout comme une incitation à toujours garder une longueur d'avance sur le développement et à réaliser la cyberdéfense la plus complète et la meilleure possible avec notre suite Pathlock, qu'elle soit sur site, basée sur le web ou hybride, pour SAP et de nombreux autres ERP et solutions".

pathlock.com