Information et éducation par et pour la communauté SAP
Gestion informatique, MAG 16-04

SAP et la sécurité - deux mondes séparés ?

Les entreprises accordent la plus haute priorité à la sécurité informatique, mais le monde SAP est souvent laissé de côté. Cette approche ne répond plus aux exigences actuelles.
Kai Grunwitz, NTT Security
Patrick Schraut, NTT Com Secutity
2 mai 2016
Contenu :
2016
avatar
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Seule une stratégie de cyberdéfense intégrée, prenant en compte l'ensemble de l'informatique, peut éliminer les vulnérabilités potentielles et offrir une protection fiable contre les menaces.

L'augmentation générale des risques pour la sécurité informatique a conduit de nombreuses entreprises à initier des projets de sécurité, mais à exclure le monde SAP. Cela n'est plus acceptable aujourd'hui, d'autant plus que les données SAP sont généralement critiques pour l'entreprise.

Mais quelle est la raison de cette prise en compte insuffisante du thème de la sécurité SAP ? Il y a plusieurs raisons à cela. Ainsi, le thème de la sécurité SAP ne figure souvent pas à l'agenda informatique du RSSI, car il est jugé trop complexe et très spécifique.

C'est ce que montrent les valeurs empiriques de NTT Com Security issues de nombreux projets clients dans les domaines de la sécurité de l'information et de la gestion des risques. De plus, les départements SAP sont généralement des unités autonomes qui veulent conserver leur indépendance et sont parfois fermés à toute influence du reste de l'informatique.

De plus, les départements informatiques de SAP manquent souvent du savoir-faire nécessaire en matière de sécurité. Dans le domaine de la prévention, SAP Single Sign-On pour l'accès sécurisé aux systèmes SAP et non-SAP ou SAP Identity Management pour une gestion efficace des utilisateurs, SAP Access Control pour une attribution des autorisations conforme aux règles et aux lois ou Code Vulnerability Analyzer pour un contrôle automatique et manuel du code source.

Pour identifier en temps réel les attaques et les tentatives de fraude, SAP a développé les solutions SAP Enterprise Threat Detection et SAP Fraud Management. Mais la seule disponibilité de ces outils ne signifie pas qu'ils sont utilisés de manière généralisée :

SAP Enterprise Threat Detection, par exemple, qui assure l'évaluation et l'analyse des événements de sécurité dans l'environnement SAP et qui a été conçu pour être relié aux systèmes SIEM traditionnels, n'est pas encore utilisé par de nombreuses entreprises.

Mais même si des outils de sécurité SAP sont utilisés de manière isolée du côté de l'entreprise, un problème subsiste : Seule une solution de sécurité entièrement intégrée offre une protection fiable.

Pourtant, des silos de sécurité inefficaces se trouvent encore dans de nombreuses entreprises. C'est ce qu'a révélé une étude récente de Dell à laquelle 175 entreprises allemandes ont participé. L'un des principaux résultats de cette étude est que la sécurité informatique est souvent organisée en fonction des applications et relève de la responsabilité de différents départements de l'entreprise.

Ainsi, seules 23% des entreprises interrogées disposent d'un service de sécurité informatique central qui englobe également l'environnement d'applications distribuées et donc SAP.

Des mondes séparés et des failles de sécurité

Il suffit d'aborder un sujet aussi simple que la gestion des utilisateurs pour constater que deux mondes dominent souvent. Dans de nombreuses entreprises, l'environnement SAP est encore séparé du reste de l'informatique et les concepts d'autorisation ne sont pas mis en œuvre dans l'ensemble de l'entreprise.

Dans presque toutes les entreprises, le service d'annuaire Microsoft Active Directory (AD) est aujourd'hui un élément central de l'infrastructure globale. L'AD prend en charge de nombreuses tâches qui vont bien au-delà de la simple gestion des comptes utilisateurs et comprennent par exemple aussi l'authentification et l'autorisation de systèmes non basés sur Windows comme les serveurs Linux ou les applications. Mais un domaine reste étonnamment souvent ignoré : l'infrastructure SAP.

Mais l'intégration n'est qu'un côté de la médaille, il est tout aussi important d'éliminer les failles de sécurité existantes - et elles sont fréquentes dans le monde SAP. Il manque par exemple l'activation du cryptage ou la séparation des autorisations administratives.

Souvent, il n'y a pas non plus de segmentation entre le front-end et le back-end et une stratégie de gestion des correctifs n'existe pas. Un problème central est en outre que, dans l'environnement SAP en particulier, les concepts d'autorisation d'accès et les procédures de gestion des changements sont souvent mis en œuvre uniquement en fonction de l'utilisateur - et non du point de vue de la sécurité.

Les défis sont donc évidents et SAP lui-même aborde de plus en plus le thème de la sécurité dans le cadre de plusieurs initiatives. L'expert en sécurité NTT Com Security investit conjointement avec SAP dans la coopération afin de pouvoir proposer aux clients des concepts de solutions globales.

Alors que SAP est à l'aise dans l'informatique SAP, NTT Com Security dispose à la fois du savoir-faire SAP et de l'accès au département informatique général qui est responsable de la sécurité informatique à l'échelle de l'entreprise. NTT Com Security peut donc quasiment jouer un rôle d'"intermédiaire" pour les questions de sécurité des données critiques de l'entreprise.

La cybermenace pour les applications SAP ne peut être écartée de manière fiable que si elle est intégrée dans la stratégie de sécurité globale d'une entreprise. Cela signifie qu'il est essentiel de prendre en compte le monde SAP dans les projets de sécurité et dans la mise en œuvre d'une stratégie de cyberdéfense globale.

Lors de la mise en œuvre d'une telle stratégie, il convient d'opter pour une approche séquentielle. Le point de départ est l'analyse et l'établissement du profil de risque du paysage informatique, y compris l'environnement SAP, l'introduction de l'outil n'intervenant qu'à la fin de la chaîne de processus.

L'évaluation des risques (Risk Insight) consiste à classifier tous les processus et données à protéger, y compris, bien sûr, ceux qui se trouvent dans le monde SAP. Toutes les autres mesures doivent ensuite se baser sur cette évaluation dans le cadre d'une stratégie de cyberdéfense de bout en bout. Les éléments clés de cette stratégie sont les quatre piliers centraux que sont la prévention, la détection, la défense et la réaction.

Dans le domaine de la prévention, il s'agit d'une part de la gestion de l'infrastructure et du réseau du côté de l'entreprise, avec des mesures de sécurité classiques comme une protection du périmètre avec des passerelles de messagerie incluant des filtres anti-spam et anti-malware, des pare-feux de nouvelle génération, des systèmes VPN ou des solutions de sandboxing dynamiques.

D'autre part, les applications et données stratégiques (SAP) doivent être davantage prises en compte et sécurisées.

L'étape suivante est la détection, c'est-à-dire une analyse de sécurité complète avec l'évaluation de données en temps réel et une surveillance proactive. Une surveillance efficace ne s'étend pas seulement aux journaux et aux alertes du système, mais comprend également, par exemple, des analyses comportementales de l'environnement informatique d'une entreprise, qui permettent de détecter les processus inhabituels.

Un élément indispensable d'une solution de sécurité complète est la possibilité de détecter les menaces à un stade précoce, c'est-à-dire l'utilisation de systèmes de détection précoce. Il est évident qu'une entreprise ne peut guère mettre en place une protection complète contre les cyberattaques de manière totalement autonome, d'une part parce que les menaces sont trop hétérogènes et surtout trop dynamiques, d'autre part parce que les coûts sont trop élevés.

C'est là que les SOC (Security Operations Center) des fournisseurs de services de sécurité gérés (MSS) entrent en jeu en tant que centres de défense proactifs pour les entreprises.

Enfin, une entreprise devrait également être préparée à un cas d'urgence, appelé incident, car une protection à 100 % devrait rester une utopie. Cela signifie qu'il faut mettre en place une procédure de réponse à l'incident qui puisse être appelée en cas de danger et qui permette d'empêcher une fuite de données involontaire.

Une chose doit être claire : Les pirates ne font pas la différence entre les applications SAP et l'informatique en général. L'important dans la mise en œuvre d'une stratégie de cyberdéfense est donc l'approche globale qui intègre la surveillance et la sécurisation de l'infrastructure SAP comme facteur de réussite important. Ce n'est qu'avec un concept aussi complet qu'un utilisateur SAP peut aujourd'hui réaliser une sécurité maximale de l'informatique et des informations.

avatar
Kai Grunwitz, NTT Security

Kai Grunwitz est Senior Vice President Central Europe chez NTT Security


Tous les articles de l'auteur
avatar
Patrick Schraut, NTT Com Secutity

Patrick Schraut est directeur Consulting & GRC chez NTT Com Security.


Tous les articles de l'auteur

Écrire un commentaire

Il manque 100.000 professionnels de l'informatique

Étude IBM : Obligation d'avoir des agents IA

SAP se prend une raclée

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.