Gestion et gouvernance des identités

Qu'il s'agisse de relations internationales entre États ou de protéger les habitations contre les cambriolages et les réseaux d'entreprises contre les cybercriminels, la sécurité joue un rôle primordial dans la vie quotidienne.

Les réseaux d'entreprise sont soumis à la même règle que la porte d'entrée : il n'y a pas de garantie et si l'on ne s'occupe pas de sa propre sécurité de manière conséquente, on risque de se retrouver au bout du compte dans le pire des cas. Alors que les conséquences d'un cambriolage à domicile sont largement prévisibles - et la plupart du temps remboursées par l'assurance -, une planification et une mise en œuvre négligentes de la cybersécurité peuvent rapidement entraîner des dommages immenses et une perte de réputation à grande échelle pour les entreprises.

Comme de nombreuses entreprises travaillent actuellement à la mise en œuvre de nouveaux concepts pour leur propre architecture informatique dans le cadre de leur transformation numérique, les questions de cybersécurité sont de plus en plus au centre des préoccupations des responsables et des décideurs.

Par exemple, si une partie des applications et des bases de données est transférée vers des fournisseurs de cloud traditionnels dans le cadre d'un déménagement des systèmes et paysages SAP utilisés jusqu'à présent vers S/4 Hana, des vulnérabilités potentielles apparaissent naturellement au sein de l'architecture prévue.

Si, par le passé, toutes les bases de données et applications étaient par exemple protégées par un pare-feu propre dans le cadre de solutions sur site au sein du propre réseau, l'externalisation et l'extension entraînent diverses difficultés qui doivent être clarifiées dans le cadre d'évaluations de cybersécurité. Une situation particulièrement critique se présente lorsque l'entreprise traite également des données de tiers et des informations personnelles.

[adrotate banner="284″]

Les trois piliers de la cybersécurité dans les environnements hybrides

Afin d'éviter tout accès non autorisé à leur propre architecture et infrastructure informatique, les responsables doivent avant tout se concentrer sur trois piliers et élaborer des stratégies appropriées pour les intégrer dans le processus de transformation numérique.

Étant donné que les cybercriminels utilisent toutes les possibilités disponibles pour compromettre un réseau, il convient d'élaborer des directives d'authentification claires. Celles-ci régissent la communication à l'intérieur et à l'extérieur de la propre infrastructure et familiarisent finalement aussi les collaborateurs avec les directives de cybersécurité par des formations régulières.

Pour garantir que seules les personnes autorisées ont accès aux données et aux applications au sein d'une organisation, il faut trouver une approche qui, d'une part, retarde le moins possible le travail des employés par des procédures de connexion répétées et qui, d'autre part, est suffisamment sûre pour garantir une appartenance réelle à l'entreprise. Les solutions d'authentification unique, par exemple, peuvent constituer une approche adéquate.

En ce qui concerne le flux de données, qui doit également pouvoir avoir lieu en dehors du propre réseau de l'entreprise, le choix des solutions possibles s'avère parfois plus difficile. Il est toutefois certain que le flux de données doit être sécurisé à tout moment et disposer d'un cryptage de bout en bout.

Si, par exemple, l'utilisation d'un grand prestataire de services cloud est prévue, les structures WAN redondantes constituent une bonne solution. Pour les collaborateurs qui travaillent de manière décentralisée, des tunnels VPN cryptés de bout en bout peuvent également constituer une solution appropriée.

Pendant que ces deux piliers centraux de la cybersécurité sont mis en œuvre par des stratégies appropriées, les employés doivent être préparés à la nouvelle infrastructure technologique. Outre des formations régulières sur la cybersécurité, il convient de s'assurer que tous les employés connaissent les avantages des nouvelles applications et comprennent leur fonctionnement.

Comme pour tous les autres secteurs d'activité, les collaborateurs sont la clé de voûte de la réussite de l'entreprise. Ils sont donc un atout essentiel pour la stratégie de cybersécurité d'une entreprise et ne doivent pas être négligés lors de la planification. En fin de compte, seuls les collaborateurs qui travaillent avec succès avec les solutions et les applications correspondantes permettent d'obtenir les gains de productivité souhaités.

Grâce au processus de transformation numérique, les entreprises peuvent créer une immense valeur ajoutée pour leurs propres collaborateurs et processus. Cependant, de nombreux responsables prennent à la légère la planification d'une stratégie de cybersécurité fonctionnelle et ne sont pas conscients des menaces potentielles.

Dans le pire des cas, les avantages acquis sont directement réduits à néant et la confiance en la marque, construite au fil des années, est perdue. Pour y remédier, il faut se concentrer sur les trois principaux piliers de la cybersécurité. Par ailleurs, les responsables doivent toujours être conscients qu'une stratégie mise en place peut devenir inutile dans quelques années face aux nouvelles formes d'attaques si elle n'est pas développée de manière conséquente. Il est donc tout aussi dangereux de s'appuyer sur de prétendus acquis du passé que de laisser sa porte d'entrée grande ouverte.

Entretien avec la presse : La cybersécurité du point de vue de l'utilisateur

Monsieur Lindackers, depuis quelque temps, Barmer utilise un système central de gestion des identités. Comment est née cette coopération et quels projets ont déjà été mis en œuvre ensemble ?

LindackersNous nous appuyons sur un environnement SAP sur site complet, dans lequel plusieurs milliers de rôles et de collaborateurs sont enregistrés.

Une étape évidente a donc été d'utiliser également cet environnement système pour gérer les droits d'accès et les autorisations générales à l'aide de SAP Identity Management, afin de couvrir les aspects centraux de la cybersécurité.

Suite à un appel d'offres, nous avons collaboré avec les employés de Devoteam. Depuis 2016, nous avons successivement porté les rôles et l'attribution des autorisations pour tous les collaborateurs sur la gestion centrale des identités SAP.

Quelles sont les difficultés que vous avez rencontrées dans le cadre de la transition ?

LindackersDans tous les cas, nous devions garantir un haut niveau de sécurité dans le traitement des données pertinentes. La gestion de l'organisation a permis d'automatiser une grande partie des autorisations (par exemple les affectations de lecteurs et les rôles SAP), mais nous avons également dû nous appuyer sur des approbations manuelles à plusieurs niveaux par des supérieurs hiérarchiques et des responsables fonctionnels spécifiques.

Entretien avec Benjamin Lindackers, chef d'équipe SAP Competence Center chez Barmer

Quels sont les avantages de l'implémentation de SAP Identity Management pour vous ?

LindackersNous pouvons aujourd'hui nous appuyer sur des flux de travail numériques automatisés pour accélérer l'octroi des autorisations et respecter en permanence les directives de l'entreprise.

En outre, nous avons mis en place un processus de recertification, les affectations manuelles doivent ainsi être revalidées au bout d'un an. Dans l'ensemble, nous avons donc atteint un certain nombre d'objectifs et sommes très satisfaits des résultats, tant du côté de la direction que du côté des collaborateurs.

La pandémie Covid-19 a certainement posé d'autres défis dans ce domaine. Le thème du cloud joue-t-il un rôle croissant chez vous ?

Quels sont les avantages d'un tel partenariat ?

LindackersLa pandémie a posé des défis à tous les secteurs. Alors que la vie de bureau traditionnelle s'est déplacée en très peu de temps vers le home office, les travaux nécessaires à l'infrastructure se sont également déroulés en arrière-plan chez nous.

Avec l'aide de nos partenaires, nous avons réussi à mettre en place des autorisations pour tous nos collaborateurs dans un délai très court. Nous avons également réussi à mettre en place les autorisations pour les outils de collaboration numérique et à intégrer les collaborateurs externes dans notre infrastructure numérique.

Dans un secteur sensible à la protection des données comme le nôtre, les applications en nuage ont longtemps été regardées d'un œil critique. Nous observons toutefois un changement de mentalité, renforcé par la pandémie, notamment grâce à la disponibilité de solutions de plus en plus sécurisées. En raison des informations et des données sensibles avec lesquelles nous travaillons, le thème de la cybersécurité est une priorité absolue.

Quels sont les développements et les projets en matière de cybersécurité de la Commission européenne ?
Barmer pour l'avenir ?

LindackersSur la base de notre expérience des dernières années, l'automatisation de la gestion des attributions de droits d'accès est une préoccupation majeure. Nous voulons réduire autant que possible les processus manuels et les rendre ainsi encore plus efficaces.

En outre, nous travaillons actuellement à l'exécution de nos systèmes SAP de développement et d'assurance qualité via une instance propre de gestion des identités.

Dans ce projet, il existe encore une fois des exigences propres en matière de politique d'entreprise et de gouvernance. La migration vers le cloud est également un projet sur lequel nous travaillons de plus en plus.

Merci pour cette conversation.