Pourquoi les experts en sécurité ne sont pas des experts SAP

Comme les réponses à cette question se ressemblent souvent, il semble y avoir des idées fausses fondamentales concernant la sécurité SAP. Lorsqu'on parle de sécurité, on en vient rapidement à l'homme. Après tout, ce sont les pirates informatiques qui mènent les cyberattaques. Et c'est là que le bât blesse. Seuls des experts en sécurité confirmés ont une chance de tenir tête aux pirates professionnels. Alors que les cybercriminels sont hautement spécialisés, les professionnels des entreprises doivent maîtriser toutes les techniques et avoir des capacités d'analyse poussées. Même le professionnel SAP le plus expérimenté ne peut pas s'attendre à cela. Le secteur de la cybercriminalité est trop complexe et trop dynamique pour qu'il puisse s'y familiariser rapidement. C'est pourquoi il est impératif de mettre SAP en contact avec des spécialistes de la sécurité et d'obtenir une vue d'ensemble complète de la situation en matière de menaces. Car les attaquants ne s'intéressent pas aux silos organisationnels internes.

SAP dans le cloud

La migration des systèmes SAP vers le cloud est une tâche prometteuse. L'adaptation au cloud est un projet très complexe, soumis à des changements constants. C'est pourquoi les collaborateurs doivent être hautement qualifiés. Mais certaines entreprises sont convaincues que leur personnel informatique peut gérer l'informatique existante et qu'il est en même temps expert en sécurité du cloud. Dans la pratique, les experts en sécurité de l'entreprise n'ont souvent pas les connaissances SAP nécessaires, tout comme les spécialistes SAP n'ont souvent que des connaissances rudimentaires en matière de sécurité. Ces entreprises ne forment donc pas leurs spécialistes IT de manière adéquate.

Mais le manque d'expertise en matière de sécurisation d'un environnement SAP basé sur le cloud génère des vulnérabilités dangereuses. Ainsi, les pirates n'ont même pas besoin de se donner la peine d'accéder aux données et aux systèmes - bien camouflés dans un cheval de Troie. Ils passent le pont-levis abaissé, franchissent la porte ouverte en grand et s'installent dans le château. Il faut compter en moyenne une centaine de jours avant que cela ne se remarque. Trois mois pendant lesquels les cybercriminels peuvent causer de gros dégâts. Il ne s'agit pas toujours d'attaques de ransomware ou de DDoS qui attirent l'attention. Certains pirates agissent de manière très subtile, par exemple en récupérant des informations soi-disant insignifiantes. C'est pourquoi les entreprises doivent toujours prendre en compte la sécurité lors de la transformation du cloud.

Une fois de plus, la question se pose : pourquoi les entreprises ne le font-elles pas ? Il semble qu'il n'y ait pas de dialogue efficace entre l'informatique et la direction. Parfois, la direction n'a aucune idée concrète de l'importance de la sécurité SAP pour le bon fonctionnement de l'entreprise. Et les experts en sécurité ne parviennent parfois pas à faire comprendre les avantages de mesures de protection adéquates et leur impact positif sur les activités opérationnelles quotidiennes. Pour un véritable dialogue, les entreprises ont tout intérêt à laisser la technologie de côté dans un premier temps. Il s'agit d'aborder en toute connaissance de cause les possibilités du cloud et la complexité de la sécurité SAP : pour protéger l'infrastructure SAP contre les attaques de pirates, il faut impérativement comprendre que la sécurité SAP est un processus commercial comme un autre. Un processus qui doit être soigneusement modélisé, géré avec des métriques, surveillé avec des outils et optimisé en permanence.

Pour changer le regard sur la sécurité SAP, les entreprises doivent se débarrasser des préjugés courants. Car le malentendu fondamental est l'idée fausse que la sécurité est un sujet informatique. Or, la sécurité du cloud et de SAP doit plutôt être ancrée durablement dans la stratégie de l'entreprise et n'être mise en œuvre concrètement que dans un deuxième temps. C'est un défi qui va bien au-delà du département informatique. Il concerne de nombreux domaines spécialisés. Pour une sécurité SAP efficace, tous, absolument tous doivent tirer à la même corde.