Le casse-tête des interfaces SAP
Les environnements de systèmes SAP se développent et évoluent constamment. Cela est dû à l'évolution générale du marché, comme la mondialisation, qui entraîne des processus commerciaux de plus en plus complexes. Les entreprises se développent, fusionnent et rachètent d'autres sociétés. À cela s'ajoutent les nouvelles tendances de numérisation, par exemple le cloud computing et l'industrie 4.0, qui nécessitent une interconnexion informatique de plus en plus forte.
Au fil des années, des environnements système hétérogènes ont ainsi vu le jour en de nombreux endroits, avec jusqu'à plusieurs milliers d'interfaces de données reliant les applications SAP entre elles, mais aussi avec des systèmes non-SAP.
Outre les interfaces connues, il existe de nombreuses interfaces dont les responsables du système n'ont pas conscience en tant que telles, comme les téléchargements non autorisés de listes via l'interface utilisateur graphique SAP, les accès directs à la base de données ou la communication avec des systèmes externes.
Une échappatoire pour les voleurs de données
Si ces interfaces sont obsolètes, mal configurées ou insuffisamment protégées, elles offrent aux pirates informatiques des portes d'entrée attrayantes pour accéder aux informations. Les voleurs de données, les espions économiques et les saboteurs sont alors en mesure de copier, de modifier ou de supprimer des ensembles de données entiers et de fausser ainsi le résultat du bilan ou de désactiver complètement le système SAP.
Cela peut avoir des conséquences financières et juridiques considérables pour une entreprise, sans compter que sa réputation en pâtit. La pression est accentuée par des lois de protection des données de plus en plus strictes, comme le nouveau règlement général sur la protection des données (RGPD) de l'UE, qui sera obligatoirement appliqué à partir du 25 mai 2018.
Avec le RGPD de l'UE, les règles relatives au traitement des données à caractère personnel par les entreprises et les organismes publics seront uniformisées dans toute l'UE. Celles-ci seront tenues de prendre des mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel, par exemple contre le traitement par des personnes non autorisées et contre la perte accidentelle.
En outre, les obligations de documentation sont renforcées par rapport aux dispositions de protection des données en vigueur jusqu'à présent : le responsable du traitement des données doit ainsi pouvoir prouver la conformité avec les directives européennes relatives au RGPD. Les infractions sont passibles d'amendes élevées pouvant aller jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial d'une entreprise.
Bien que les risques liés aux interfaces SAP non sécurisées soient connus depuis longtemps, la plupart des entreprises ne maîtrisent pas le problème, notamment parce qu'il n'existe pas de transparence globale sur les interfaces existantes.
Pas de documentation centrale
En règle générale, il n'existe pas de service central disposant d'une documentation complète sur toutes les interfaces et les données échangées par ce biais. Souvent, les services spécialisés négocient les interfaces de leurs systèmes SAP directement avec les clients, les fournisseurs ou les fabricants de systèmes, sans que cela ne soit intégré dans un inventaire interentreprises.
Ainsi, il est pratiquement impossible pour les entreprises d'évaluer et de surveiller en permanence les interfaces SAP actuelles afin de les protéger contre d'éventuelles attaques. De même, elles ne sont pas en mesure de se conformer aux dispositions du RGPD de l'UE, car elles ne savent même pas exactement quelles interfaces SAP sont ou peuvent être utilisées pour échanger des informations personnelles.
Toutefois, sans cette connaissance, ils ne peuvent pas non plus prouver qu'ils ont sécurisé les interfaces correspondantes selon l'état de la technique afin de protéger les données à caractère personnel contre les accès non autorisés ou les fuites accidentelles.
Beaucoup de travail pour les analyses manuelles
Pour éviter de tels problèmes et gagner en transparence sur leur paysage d'interfaces, certaines entreprises misent déjà sur des analyses manuelles des paramètres critiques de sécurité des interfaces et sur des statistiques d'exécution.
Toutefois, ces évaluations ne peuvent généralement être réalisées que par échantillonnage, car elles demandent énormément de travail. L'utilisation des différents outils d'analyse proposés sur le marché présente des limites similaires.
Il y a trois raisons principales à cela. D'une part, les solutions existantes se concentrent sur l'évaluation de technologies d'interface individuelles, telles qu'on les trouve en grand nombre les unes à côté des autres dans un environnement de système SAP développé : par exemple Remote Function Call (RFC), HTTP, FTP, Java Connector (JCo) et bien d'autres.
Celui qui veut obtenir un aperçu aussi complet que possible des interfaces actuellement disponibles doit donc analyser chaque technologie individuellement et consolider les résultats manuellement : Cet investissement en temps et en argent est lui aussi considérable.
Les solutions disponibles ne suffisent pas
Un autre inconvénient des solutions disponibles est qu'elles n'analysent les interfaces et les flux de données que localement, c'est-à-dire à partir d'un seul système. Or, pour obtenir une image aussi complète que possible des relations de communication au sein d'un environnement système SAP, chaque interface doit être analysée des deux côtés.
De nombreux outils d'analyse traditionnels se concentrent sur une seule problématique, par exemple sur la question de savoir quelles données sont téléchargées via l'interface utilisateur graphique SAP. Dans tous les cas, ils n'apportent qu'une clarté ponctuelle sur le paysage d'interfaces existant.
Les entreprises peuvent obtenir une vue d'ensemble complète grâce à des solutions telles que Virtual Forge InterfaceProfiler. Elles peuvent créer un modèle ou un ensemble de règles pour le système SAP et l'environnement d'interface souhaités et les comparer aux informations collectées en permanence (analyse théorique/réel).
Les écarts sont alors signalés et documentés. En partant d'un système SAP central, InterfaceProfiler analyse les relations de communication de tout l'environnement système.
Les résultats sont représentés graphiquement et des protocoles des points faibles trouvés, y compris leur criticité, sont générés. En outre, des propositions sont faites pour améliorer la sécurité et la conception technique des interfaces.
Grâce à des fonctions de sécurité spéciales, il est possible, en appuyant sur un bouton, de faire face à de nombreux risques dans le fonctionnement quotidien du système, par exemple de bloquer les autorisations de téléchargement des listes de résultats dans SAP GUI.
De même, les opérations de copier-coller des listes ALV peuvent être évitées. Les autorisations peuvent être représentées de manière claire et finement granulaire dans le cockpit d'InterfaceProfiler - une condition importante pour satisfaire au RGPD.
Un composant de surveillance donne des informations sur les interfaces qui sont encore techniquement fonctionnelles, mais qui ne sont plus utilisées depuis un certain temps. En outre, il est possible de déterminer les intervalles d'utilisation des interfaces encore utilisées et d'identifier ainsi les activités d'interface non autorisées et non planifiées. Tous les événements sont consignés de manière exhaustive et peuvent être signalés activement.
DE 
EN 
ES 
FR 
