Sécurité informatique - plus de guirlandes, s'il vous plaît

Je suis un grand fan du podcast Pessimists Archive. Jason Feifer raconte de manière passionnante et pas du tout poussiéreuse l'histoire de la résistance au changement.

Des choses qui sont aujourd'hui considérées comme plutôt conservatrices et établies étaient révolutionnaires et souvent "du diable" lors de leur introduction. Ainsi, au début des années 1800, la valse était aussi scandaleuse que le rock 'n' roll plus tard. Des gens se sont même battus en duel à cause de l'honorabilité de la valse. Ce n'est pas possible ?

Pour savoir si quelque chose est pris au sérieux, je regarde si quelqu'un est prêt à payer pour cela. Et la sécurité pour SAP est désormais prise au sérieux. Aujourd'hui, je constate que les entreprises sont prêtes à changer les choses.

Mais seulement dans la mesure où cela change le moins possible ce qui est déjà établi. On demande alors de nouvelles autorisations SAP, qui ne doivent pas être conflictuelles et s'intégrer dans le concept existant. Mais le concept pour l'entreprise est en général d'effectuer manuellement un travail de masse avec de la main d'œuvre.

Sommaire, sujet aux erreurs, ennuyeux et totalement interchangeable. Dans des dizaines d'entreprises que j'ai personnellement rencontrées, les administrateurs continuent de travailler sur le thème de la sécurité informatique comme avant l'introduction de l'iPhone. C'était en 2007.

Tandis que dans de nombreuses entreprises, on s'efforce de faire en sorte que les collaborateurs et les clients puissent accéder au système SAP via de nouvelles interfaces Fiori, l'ambiance dans la salle des machines est sombre et inquiétante. Il n'y a pas d'orchestration ni de contrôle, on jette du charbon dans le feu.

Maintenir des centaines de rôles synchronisés sur des serveurs frontaux et back-end sans investir dans des concepts et des outils de gestion des rôles et des identités est - un concept dépassé.

Exploiter un système SAP sans avoir mis en place une surveillance de la sécurité est un concept dépassé. Ne pas investir dans la formation systématique des collaborateurs en matière de sécurité SAP est - vous vous en doutez - un concept dépassé.

Et les nouveaux collaborateurs sont de moins en moins disposés à accepter cela. Pourquoi le feraient-ils, puisqu'ils ont le choix - il y a suffisamment d'employeurs qui recherchent d'urgence du personnel compétent et motivé.

Pourquoi un jeune collaborateur devrait-il alors s'engager dans des jobs abrutissants avec de vieux concepts ? Alors que dans d'autres entreprises, il peut développer des concepts et configurer des outils qui font le travail répétitif à sa place ?

L'étude "get in IT 2017-2018" indique que

"Les talents informatiques veulent travailler de manière innovante et devenir des experts dans leur domaine".

Nous nous trouvons donc dans la situation folle où le budget est disponible, mais où le succès n'est pas au rendez-vous. Parce qu'un concept de sécurité durable doit toujours être géré par un personnel compétent. Et ce dernier n'a pas envie de jouer la carte du "avant, il y avait plus de guirlandes".

Ce n'est pas comme si quelqu'un avait fait quelque chose de mal. Mais si les clients existants de SAP veulent continuer à exister en toute sécurité dans la réalité actuelle et ne pas faire la une des journaux en tant que divulgateurs de données ou faire faillite lorsqu'il s'agit de secrets d'entreprise tels que des recettes, il faut aussi recruter des collaborateurs pour les y aider. Et les entreprises doivent également accepter qu'il y a plus à changer qu'un simple "coup de chiffon humide dans le système SAP".

Dans l'histoire de toutes les innovations, il y a toujours eu une ou plusieurs personnes qui ne se sont pas laissées détourner de l'idée de la nouveauté. Même si tout le monde a râlé, s'est moqué ou a freiné. Cette personne doit exister dans chaque entreprise. Celui qui explique patiemment les avantages de la nouveauté, sans brusquer ceux qui aspirent encore à l'ancien.

A la fin de la journée, c'est comme une valse : les jeunes ne se laisseront pas distraire parce qu'ils comprennent le nouveau monde et prennent la sécurité informatique aussi sérieusement qu'elle est nécessaire de nos jours.

Il ne s'agit pas de modifier manuellement les rôles ou de créer des utilisateurs. Pour cela, on développe un concept et on utilise des outils établis. Ainsi, on a le temps de s'informer sur les nouveaux risques de sécurité et de planifier des contre-mesures.