Sécurité SAP : fermer les yeux ne sert à rien

Une enquête récente menée auprès des membres du groupe d'utilisateurs SAP germanophones (DSAG) met en lumière des tendances intéressantes dans l'approche de la sécurité dans l'environnement SAP et en déduit des exigences concrètes.

Commençons par le positif : 87% des membres de la DSAG interrogés connaissent les directives générales ou une stratégie en matière de sécurité SAP dans leur entreprise. En outre, 55% des personnes interrogées ont investi au cours des douze derniers mois afin de sécuriser leurs systèmes SAP et de minimiser les risques.

Dans ce contexte, 78 % des personnes interrogées estiment qu'il serait judicieux que les éléments de sécurité correspondants soient déjà activés par défaut dans les mises à jour, les nouvelles versions et les services pour les systèmes SAP (Security by Default).

SolMan au lieu du tableau de bord de sécurité SAP

Aussi indispensables que soient les concepts de sécurité, ils ne peuvent guère être mis en œuvre sans un tableau de bord digne de ce nom. Pourtant, 72 % des personnes interrogées n'utilisent pas encore de tableau de bord central de sécurité SAP pour avoir une vue d'ensemble de leurs paramètres de sécurité.

"Certains utilisateurs font confiance à SAP Solution Manager pour cela. Mais sa fonction première n'est pas, à notre avis, de reproduire les fonctionnalités d'un tableau de bord de sécurité complet.

En collaboration avec nous, SAP pourrait élaborer un standard pour un tableau de bord de sécurité SAP complémentaire, afin de répondre aux exigences de sécurité du point de vue de la DSAG".

Alexander Ziesemer, porte-parole du groupe de travail SAP Security Vulnerability Management au sein du groupe de travail Security, en est convaincu.

La sécurité du réseau a de la marge

En ce qui concerne la sécurité du réseau, 54 % des personnes interrogées ont séparé et protégé leur réseau de serveurs SAP des autres réseaux.

"Un bon résultat, mais qui peut tout de même être fortement amélioré. Ce chiffre doit encore nettement augmenter. Car cela signifie actuellement que 46 % n'ont pas encore pris les mesures de sécurité adéquates".

lance Alexander Ziesemer aux entreprises.

Actuellement, 20 % des personnes interrogées disposent de concepts pour sécuriser les processus basés sur l'Internet des Objets. Là encore, Ralf Peters, membre du comité directeur de DSAG, estime qu'il est nécessaire d'agir, tant au niveau des entreprises que de SAP :

"Les projets d'Internet des objets nécessitent une architecture de sécurité de bout en bout ou des modèles de contrôle correspondants. Les deux nécessitent des solutions appropriées".

Ordre de travail Cloud

L'initiative SAP continue d'être sollicitée en ce qui concerne le cloud computing. Plus de la moitié des personnes interrogées (55%) ont connecté des systèmes SAP à un cloud et accèdent aux fonctionnalités correspondantes directement via Internet.

Il y a un large consensus (87%) sur le fait que les solutions cloud nécessitent des stratégies et des concepts de sécurité différents et spécifiques. En outre, 81% estiment que l'intégration des produits SAP en nuage dans leurs propres concepts de sécurité constitue un défi très important ou important.

"Nous en déduisons que SAP doit continuer à travailler intensivement sur la sécurité des produits Cloud, par exemple par une gestion uniforme des identités et des autorisations intégrée dans les processus".

résume Ralf Peters.

Thème principal : les interfaces

A noter dans ce contexte : la thématique du cloud est actuellement encore secondaire pour les personnes interrogées.

"La sécurité des interfaces, les directives de sécurité SAP et les formations de sensibilisation à ce sujet à tous les niveaux de l'entreprise sont actuellement considérées comme primaires.

Par exemple, seules 12 % des entreprises interrogées ont mis à l'ordre du jour des formations à la sécurité portant sur des contenus liés à SAP".

commente Alexander Ziesemer.