Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 17-04

La protection des données passe par la sécurité des données

Avec le nouveau RGPD de l'UE, la protection des données est devenue l'affaire du chef. À partir de mai 2018, les infractions à ce règlement ne seront plus sanctionnées d'une amende maximale de 300.000 euros, mais d'une amende pouvant aller jusqu'à 20 millions d'euros ou quatre pour cent du chiffre d'affaires mondial, le montant le plus élevé étant retenu. De quoi mettre la puce à l'oreille des directeurs financiers et des DSI.
Holger Hügel, Secude
31 mars 2017
Contenu :
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

En raison notamment des nouvelles règles de l'UE, les conférences sur le thème de la protection des données ont été très fréquentées lors des journées technologiques DSAG de cette année - en particulier celles sur les fonctions dans SAP qui peuvent garantir la protection des données.

Conclusion : SAP est bien placé pour la protection des données, même s'il faut utiliser SAP GRC pour certaines fonctions.

Toutefois, la protection des données ne vaut pas grand-chose si la sécurité des données n'est pas garantie. Il s'agit ici de fermer quelques portes dérobées ouvertes. Dans le système SAP lui-même, les données sont bien protégées par le concept d'autorisation.

Or, les exportations de données, les ordres d'impression et les e-mails provenant de SAP font sortir les données SAP du "havre de protection". En effet, dans SAP, on peut soit télécharger tout ce à quoi on a accès, soit ne pas exporter de données du tout si cette autorisation fait défaut.

À l'ère de l'"économie ouverte", où les entreprises collaborent de plus en plus avec des partenaires, des collaborateurs externes et indépendants, on ne peut pas interdire les exportations - sinon, des processus importants s'arrêtent.

Il est donc nécessaire de contrôler qui peut traiter quelles données et dans quel but en dehors du système SAP. L'échange automatique de données entre les applications et les systèmes, par exemple au moyen de RFC ou d'interfaces de services web, affaiblit également la protection des données.

Il est presque impossible de garantir que le contrôle d'accès et de transfert se déplace avec les données dans le système cible. En effet, différents systèmes ont généralement aussi différents concepts d'autorisation.

La numérisation croissante de ces dernières années a entraîné l'apparition de nombreuses petites applications satellites non SAP autour du SAP ERP, qui échangent des données de manière très intensive avec le SAP central. Avec l'Internet des objets (IoT), le trafic de données devient encore plus intense et les points d'extrémité de données sont encore plus nombreux.

Celui qui pense à la protection des données dans les mois à venir doit donc absolument créer les conditions adéquates et investir dans la sécurité des données. Il est difficile de sécuriser tous les points finaux qui génèrent et consomment des données, ainsi que tous les canaux qui les transportent.

Les attaquants chercheront toujours le point le plus faible et auront rapidement accès aux données sensibles ou critiques pour l'entreprise en raison de la forte interconnexion des systèmes.

C'est pourquoi une approche intelligente et orientée vers l'avenir consiste à protéger les données elles-mêmes. Cela peut être mis en œuvre en classant les informations dès leur création comme base pour un contrôle granulaire des téléchargements.

Ainsi, seules les données qui sont réellement nécessaires dans les systèmes cibles quittent le système source. La condition préalable est que le système cible puisse également garantir la protection des données.

Il est important que la solution de classification soit profondément intégrée dans SAP afin que ce processus puisse être mis en œuvre de manière automatisée. La classification manuelle ralentit les processus et n'est donc souvent pas appliquée de manière conséquente dans le quotidien professionnel.

En outre, le concept d'autorisation SAP peut d'ores et déjà être étendu aux exportations de données grâce aux technologies DRM telles que RMS de Microsoft. Les utilisateurs peuvent ainsi contrôler qui a accès au document crypté et quelles possibilités d'utilisation (lecture, écriture, impression, etc.) sont autorisées.

Si l'on considère le monde de l'exportation et du traitement des données par les employés, qui représentent traditionnellement le plus grand risque pour la sécurité des données, il existe aujourd'hui déjà de très bonnes solutions pour garantir la sécurité même pour les nouvelles exigences de conformité.

Actuellement, les experts travaillent donc déjà sur le prochain défi : la sécurisation des données qui sont transférées automatiquement en arrière-plan entre les applications.

En effet, cette communication "machine-to-machine" va se développer encore plus à l'avenir et le contrôle d'accès est ici encore plus complexe.

CI-SECUDE

avatar
Holger Hügel, Secude

Holger Hügel est vice-président des produits et services chez Secude


Tous les articles de l'auteur

Écrire un commentaire

Intelligence artificielle : le pas de l'idée à la production

Communication numérique pour SAP : Retarus Cloud Services

Atos reçoit le Golden Certificate de SAP en tant que Global Operations Partner

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.