Protéger les joyaux de la couronne

Les clients SAP du monde entier sont actuellement engagés dans un processus de transformation numérique. De votre point de vue, quels changements le passage à SAP S/4 Hana entraîne-t-il pour la sécurité des données ?

Holger Hügel : Outre la consultation via la pile NetWeaver, Hana offre également la possibilité d'accéder aux données directement ou via Hana XSA. De ce fait, la base de données dispose inévitablement de son propre concept d'autorisation, qu'il convient d'intégrer dans le concept existant.

De plus, Hana, en tant que plate-forme, offre de nombreuses nouvelles interfaces d'application qui comportent toutes en soi des risques de sécurité. Le risque que des données quittent le système SAP de manière incontrôlée augmente.

Le transfert de données en arrière-plan entre SAP et les applications tierces, largement "opaque" pour les responsables de la sécurité, est également en augmentation, ce qui accroît la surface d'attaque pour les piratages et les attaques d'initiés.

Pour pouvoir continuer à sécuriser les données SAP de manière fiable à l'avenir, les entreprises doivent anticiper et utiliser des solutions techniques qui minimisent ces risques.

Selon vous, à quoi pourrait ressembler un concept d'autorisation qui intègre le nouveau et l'ancien monde ?

colline : Les concepts d'autorisation futurs s'orientent d'abord vers les processus et les données qui y sont traitées. Ils suivent en quelque sorte les données tout au long de la chaîne de traitement, tout au long de leur cycle de vie.

Le besoin de protection des données en découle, ce qui correspond en fin de compte à une classification des données et débouche sur un système d'autorisation centré sur les données. Cette approche élargit le concept actuel basé sur les rôles, mais ne le remplace pas. En effet, la classe de protection décrit clairement quel rôle est autorisé à traiter certaines données et de quelle manière.

Quelles expériences avez-vous faites à ce sujet dans la pratique ? Existe-t-il déjà des entreprises qui classifient leurs données de manière continue et sans faille ?

Andreas Opfer : Bien que des représentants du secteur automobile, en particulier, se soient déjà engagés sur le thème de la classification des données, il n'existe pas encore, à ma connaissance, de normes industrielles et sectorielles qui définissent précisément ce qui se cache derrière le statut "confidentiel", par exemple, et quelles sont les conséquences de ce statut sur le traitement des données.

Pour pouvoir sécuriser les chaînes de processus avec leurs partenaires et fournisseurs dans notre monde de plus en plus interconnecté, les entreprises ont encore un besoin urgent de rattraper leur retard dans ce domaine.

Comment pouvons-nous nous imaginer la mise en œuvre organisationnelle et technique des nouvelles approches de sécurité dans la pratique ?

colline : Pour suivre le rythme de l'évolution rapide et de l'interchangeabilité des technologies informatiques actuelles, les processus clés des entreprises seront à l'avenir de plus en plus gérés par des architectures de plateformes.

Dans un monde numérique, la sécurité informatique fait sans aucun doute partie de ces processus clés et nécessite sa propre plate-forme. Aujourd'hui, on trouve souvent des systèmes centraux de gestion des identités qui assument ce rôle.

Celles-ci ne sont toutefois viables que si elles permettent une conception de la sécurité centrée sur les données. Dans tous les cas, il convient de miser sur des plateformes standard établies, supportées par toutes les applications courantes en tant qu'"instance de sécurité".

Les victimes : Et c'est précisément là que Secude apporte son aide avec la solution de sécurité des données SAP Halocore. C'est la seule solution qui permet d'appliquer les normes de sécurité Microsoft AIP/RMS à l'environnement SAP, et elle est bien sûr aussi certifiée pour S/4 Hana.

Comme SAP est devenu la plaque tournante des données dans la plupart des entreprises, les données sont échangées avec de nombreux systèmes satellites via différentes interfaces, qu'elles soient manuelles ou automatisées.

La classification automatisée des données intégrée dans Halocore permet d'appliquer le profil RMS approprié, à condition que les données soient autorisées à quitter SAP. Sans autorisation correspondante, l'exportation des données est empêchée.

Comment les entreprises peuvent-elles intégrer ces étapes dans leurs projets de migration actuels ?

Les victimes : Nous comprenons très bien que des projets de migration aussi importants que S/4 Hana mobilisent une grande partie des ressources. C'est pourquoi de nombreux clients essaient d'écarter du projet toute augmentation supplémentaire de la complexité. Mais aujourd'hui, la sécurité des données n'est plus une option, c'est une nécessité.

Le RGPD oblige et les attaques contre l'IP des entreprises se multiplient. Les changements d'architecture qui accompagnent S/4 Hana sont aussi l'occasion de passer au crible toutes les architectures informatiques dans le cadre de petits sous-projets achevés et de les adapter si nécessaire au cours de la migration.

Les coûts sont les plus bas dans le cadre de la migration vers S/4-Hana. Par la suite, cela devient de plus en plus coûteux. En outre, de nombreux outils de migration, par exemple pour les données et le code personnalisé Abap, permettent de réduire la complexité et de maîtriser les risques.

Halocore, par exemple, peut être implémenté en quelques jours et protège les "joyaux de la couronne" des clients SAP dès le premier jour, aussi bien avant qu'après la migration vers S/4 Hana.