Information et éducation par et pour la communauté SAP

Sécurité des données

Les gros titres actuels le prouvent : Prendre la sécurité des données à la légère, c'est risquer son existence. Or, à l'heure de SAP S/4 Hana, la sécurisation des données critiques de l'entreprise est tout sauf un jeu d'enfant. Andreas Opfer et Holger Hügel expliquent ce à quoi les entreprises doivent faire attention aujourd'hui.
Magazine E-3
21 septembre 2017
Andreas Opfer et Holger Hügel de Secude
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Un système d'autorisation SAP existait dès le début, mais dans un système fermé et blindé, la sécurité et la protection des données sont réalisables avec moins d'efforts que dans un ERP connecté à Internet 7 jours sur 7 et 24 heures sur 24.

Même à l'époque de R/2 et de R/3, la gestion des autorisations n'était pas un "jeu d'enfant" et un système ERP n'est jamais un "poney-cour". L'ouverture de la boîte noire R/3 et le cloud computing ont cependant apporté de toutes nouvelles tâches et ont ainsi aidé le "système d'autorisation" à devenir une discipline à part entière.

Secude s'est engagé à relever le défi de la "sécurité des données" et est considéré comme un fournisseur de premier plan au sein de la communauté SAP mondiale. Le rédacteur en chef de l'E-3, Peter Färbinger, s'est entretenu avec Andreas Opfer, directeur général, et Holger Hügel, vice-président des produits et services chez Secude.

Système d'autorisation

Lorsqu'un client SAP entend parler de "sécurité", il pense d'abord à son propre système d'autorisation : Cette approche de la sécurité basée sur les rôles est-elle encore d'actualité ?

"L'accès est et reste moderne, car il garantit une protection suffisante au sein de l'environnement SAP".

explique Andreas Opfer.

"Nous nous concentrons sur le monde extérieur à SAP. Les données quittent le système SAP pour soutenir des processus établis qui sont ensuite traités dans des applications Microsoft".

En dehors de l'environnement SAP, le système d'autorisation ne fonctionne plus, les données sont "hors-la-loi", c'est là que Secude voit un grand danger. Et Holger Hügel ajoute

"Le concept d'autorisation basé sur les rôles dans SAP a toujours été fastidieux pour les clients lorsqu'il s'agissait de sécuriser de manière tout aussi adaptée les processus commerciaux qui y sont représentés, généralement sur mesure.

De nombreux clients SAP racontent en plaisantant qu'ils ont probablement autant de profils SAP que d'utilisateurs. Il existe déjà de nombreuses solutions qui simplifient la sécurité au sein du système SAP. Secude adopte une approche centrée sur les données, basée sur une classification automatisée des données, et se concentre sur les interfaces d'exportation des données dans SAP".

Tout ce que les clients SAP considèrent comme critique ou sensible pour l'entreprise est une donnée à protéger dans SAP, définissent ensemble Andreas Opfer et Holger Hügel. Du point de vue du législateur, les données personnelles en font également partie.

La propriété intellectuelle des clients se situe souvent dans le domaine des données financières, matérielles, de planification de la production et de construction. Les données clients et les conditions tarifaires sont bien entendu également sensibles.

"Pour Secude, il s'agit de les garder dans l'espace protégé du système SAP et de ne les laisser sortir que de manière contrôlée sous forme de téléchargements d'utilisateurs ou de transferts de données. Les téléchargements non autorisés doivent être empêchés et les fichiers d'exportation nécessaires doivent être protégés par un cryptage et des profils d'accès intégrés".

explique Holger Hügel dans l'entretien E-3. Et Andreas Opfer de préciser

"Nous faisons la distinction entre les informations critiques pour l'entreprise, qui sont essentielles à sa pérennité, et les données personnelles, qui devront à l'avenir être particulièrement protégées dans le cadre du règlement général sur la protection des données de l'UE".

Qu'est-ce qui mérite d'être protégé ?

Les informations pertinentes sont par exemple une nouvelle technologie pour la propulsion électrique, qui permet une autonomie de plus de 1000 kilomètres et assure le succès futur et donc le profit du constructeur automobile.

Si cette information devait être dérobée au cours de son voyage à travers l'Internet, sur le trajet entre l'Allemagne et un site de production en Chine, le préjudice serait incalculable.

Les données personnelles ne sont pas seulement les informations SAP RH des propres collaborateurs. Les données clients enregistrées d'un fournisseur de télécommunications doivent également être protégées à l'avenir ou ne doivent pas être perdues.

"Toutes les entreprises qui traitent des données clients sont concernées par le règlement européen, y compris les entreprises de pays non membres de l'UE qui font des affaires en Europe".

souligne Andreas Opfer.

Approche globale

L'approche de Secude en matière de sécurité des données pour SAP s'applique naturellement à toutes les versions, Andreas Opfer : "Nous sommes certifiés pour toutes les versions courantes".

La solution Halocore de Secude fonctionne sur la couche NetWeaver. Même si SAP n'aime plus utiliser cette appellation avec S/4, il s'agit toujours de la même couche sur le plan technique. Holger Hügel : "C'est pourquoi notre solution convient de la même manière à toutes les versions de SAP à partir de la version 7.0".

Les clients SAP existants considèrent toutes ces couches dans leur concept de sécurité des données. Mais la plupart du temps, les différentes couches sont considérées séparément et sans tenir compte des processus d'entreprise et des flux de données, explique Holger Hügel de par sa pratique professionnelle :

"La synchronisation des mises en œuvre techniques respectives fait également souvent défaut. La sécurité des données devrait commencer par les processus et les données qu'ils traitent.

Le besoin de sécurité en découle, qui est ensuite mis en œuvre techniquement dans les différentes couches. La dynamique de l'exploitation SAP exige toutefois aussi une instance centrale, une solution de sécurité qui maintient la cohérence de toutes ces couches de manière automatisée".

"Nous nous concentrons sur toutes les données qui sont traitées dans SAP".

explique Andreas Opfer.

"Cela peut être sur une base de données Hana ou sur n'importe quelle autre, cela ne joue aucun rôle pour nous. Nous considérons également comme données sensibles un dessin CAO issu de la R&D de cette même nouvelle batterie électrique - que j'ai mentionnée en premier lieu - qui est stockée en externe sur un serveur de contenu et qui est traitée et envoyée dans SAP. Tous les autres composants mentionnés, système d'exploitation, etc., sont pour nous d'une importance secondaire".

Le chemin vers S/4 passe par un projet de migration Hana : quels sont les aspects de sécurité auxquels un client SAP existant doit faire attention dans ce cas ?

Hana apporte, en plus de la pile NetWeaver, la possibilité d'accéder aux données directement ou via Hana XSA. De ce fait, Hana dispose également de son propre concept d'autorisation. Holger Hügel commente à ce sujet :

"Il s'agit d'intégrer cela dans le concept actuel ou d'étendre le concept actuel à Hana. En tant que plate-forme, Hana offre de nombreuses nouvelles interfaces d'application, qui comportent toutes en soi des risques de sécurité. Il faut des solutions techniques qui minimisent ces risques".

Le cloud computing

Pour certains clients SAP existants, "SAP on Azure" est une alternative très intéressante à leur propre centre de calcul. La sécurité du point de vue des processus et des données est en soi indépendante du modèle d'exploitation ou de la plateforme d'exploitation de l'application, estime Holger Hügel.

"Mais ce n'est qu'une fois dans le nuage que les clients demandent qui peut accéder aux données et sous quelle forme. Or, l'abus de données par l'initié, donc déjà sur place, représente deux tiers de tous les incidents".

Le cloud ne change rien, sait aussi Andreas Opfer. Même si le centre de calcul est externalisé, les utilisateurs SAP chargent des données sur leur ordinateur local, par exemple dans un tableau Excel, et sont donc tout aussi vulnérables que dans les environnements sur site. Et il attire l'attention sur un fait important :

"Les clients SAP devraient toutefois veiller, dans le cas de modèles d'exploitation externes, à ce que des mécanismes de protection soient également présents lors de l'administration par des prestataires de services.

Une unité opérationnelle SAP basée en Inde et assurant la maintenance des systèmes du client, y compris les sessions de pompiers, a toutes les possibilités de télécharger des données sensibles et critiques à tout moment. C'est un risque considérable qui ne peut pas être protégé par de simples pénalités contractuelles".

Les téléchargements automatiques vers d'autres applications font également partie des prestations de Secude. Et Andreas Opfer souligne avec insistance dans l'entretien d'E-3 que ces téléchargements sont généralement inconnus, car ils sont transmis aux applications tierces via une interface sans l'intervention active de l'utilisateur.

"Secude surveille également ce processus et permet ainsi une transparence à 100 % de tous les téléchargements de données SAP".

explique Andreas Opfer. Lorsque des données sont transférées de SAP vers un autre système, la question se pose de savoir comment le profil de sécurité SAP de ces données est repris et reproduit dans l'autre système. Holger Hügel décrit le scénario ainsi :

"Dans de nombreux cas, comme nous l'avons déjà mentionné, ces profils ne sont pas comparés techniquement. En principe, cela constitue un risque pour la sécurité des données. Si le logiciel standard s'appelle même Microsoft Office, ce qui est très souvent le cas, il n'y a absolument aucune sécurité des données sans Microsoft AIP/RMS. C'est précisément là que Secude intervient de manière transparente et automatisée, en reliant le monde SAP au monde Microsoft".

Le défi consiste à considérer la sécurité comme une discipline permanente, proactive et préventive dans l'exploitation opérationnelle.

"Se contenter de colmater les brèches de sécurité dès qu'elles sont découvertes ne suffit pas".

prévient Hügel. Les clouds renforcent cette nécessité, car les surfaces d'attaque sont tout simplement plus grandes, plus variées et plus complexes. Andreas Opfer connaît parfaitement la situation :

"Les fournisseurs de cloud hésitent à investir dans la sécurité des données ou veulent répercuter les coûts sur leurs clients. En revanche, les clients attendent cette protection de la part du prestataire de services, mais ne le poussent pas à agir. Tir de Hornberger" !

Et Holger Hügel ajoute

"Les fournisseurs de cloud se concentrent généralement sur les attaques extérieures, c'est-à-dire celles menées par des pirates. L'initié qui a accès à l'application SAP n'est pas dans la ligne de mire".

Règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD) est entré en vigueur en mai 2016. Andreas Opfer :

"Beaucoup d'entreprises ne l'ont pas encore réalisé. Nous sommes dans la phase de mise en œuvre, qui a été généreusement prévue pour deux ans. Elle s'achève le 25 mai 2018. Les approches sont très différentes".

Le RGPD a essentiellement augmenté de manière drastique les sanctions en cas d'infraction, de sorte que les directeurs financiers sont devenus attentifs. Les autres aspects ne sont pas nouveaux, du moins pour les clients SAP en Allemagne.

"Les clients SAP devraient identifier précisément les processus dans lesquels ils traitent des données personnelles".

recommande Holger Hügel. Tant que les données ne quittent pas le système SAP pendant le processus, la protection des données est généralement respectée. SAP est plutôt bien placé à cet égard.

"Cependant, les exportations de données doivent absolument être contrôlées de manière automatisée".

souligne Colline.

"Seules les exportations nécessaires et justifiées peuvent quitter le système. La protection des données doit suivre les données, c'est techniquement le plus grand défi et cela nécessite un temps d'avance pour mettre en place des solutions appropriées".

Les clients existants de SAP devraient réagir dès maintenant, et non pas attendre que le premier client porte plainte.

"Secude fournit une solution conforme au RGPD pour toutes les données personnelles d'un environnement SAP".

Andreas Opfer se déclare prêt à partir.

"L'enregistrement de tous les téléchargements volontaires et involontaires - cela représente plusieurs milliers de téléchargements par jour, qui ne peuvent être ni surveillés ni contrôlés sans une 'machine'".

En cas de violation des directives imposées par le RGPD, par exemple, Secude donne l'alerte au moyen du SIEM et permet aux clients de réagir dans le délai de 72 heures imparti et de signaler l'incident aux autorités.

La sécurité des données reste donc en 2018 un thème important et essentiel qu'aucun DSI ne peut ignorer.

Sécurité des données SAP

https://e3mag.com/partners/secude-gmbh/

avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.