Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 15-06

Sécurité vs. innovation ?

Que serait le monde sans inventions ? Les innovations, comme une application de paiement révolutionnaire ou des toilettes commandées par smartphone, sont censées nous faciliter la vie. Dans les toilettes numériques silencieuses, la commande se faisait toutefois par protocole Bluetooth avec un code PIN fixe enregistré - un jeu d'enfant pour les pirates informatiques ! Et s'il s'agissait d'une pompe à insuline portée sur le corps ?
Raimund Genes, Trend Micro
21 juin 2015
Contenu :
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

L'application pour smartphone permet d'ouvrir et de fermer le couvercle, d'actionner la chasse d'eau, d'activer le bidet ou de mettre en marche le diffuseur de parfum à l'aide d'une télécommande.

La sécurité n'a manifestement pas été le critère de conception décisif, le code PIN Bluetooth non modifiable ("0000") peut également être considéré comme une invitation directe aux pirates informatiques.

Même s'il est vrai que les dommages financiers potentiels sont limités - même si quelqu'un actionne la chasse d'eau 24 heures sur 24 - et que le danger aigu pour la vie humaine n'est certainement pas présent ici.

Des toilettes silencieuses 2.0 à la voiture du futur...

Mais la plaisanterie s'arrête au plus tard avec les appareils médicaux comme la pompe à insuline. Il existe de nombreux exemples de ce type - même dans des domaines où les attaquants pourraient tout à fait causer des dommages considérables.

Il suffit de penser à l'industrie automobile, où l'informatique prend de plus en plus de place. L'accent est mis sur les innovations ainsi que sur une entrée aussi rapide que possible sur le marché.

Les experts en sécurité ne font souvent pas partie des équipes de produits responsables de ces nouvelles solutions. C'est pourquoi, au début, on n'accorde pas beaucoup d'attention à la sécurité. Malheureusement, de telles décisions peuvent alors avoir des conséquences négatives importantes.

C'est le cas, par exemple, lorsque les nouveaux produits suscitent l'intérêt des pirates informatiques - et lorsque ces pirates se heurtent ensuite à des obstacles de sécurité inexistants ou très faciles à surmonter.

...la sécurité risque de passer à la trappe

On peut également observer une telle tendance dans les projets informatiques lorsque des innovations sont introduites : L'accent est mis sur l'amélioration des performances, la réduction des coûts ou l'optimisation des processus - mais on parle plus rarement de ce qui doit être entrepris et adapté du côté de la sécurité.

Pendant la phase de preuve de concept, on se concentre principalement sur la question de savoir si les attentes envers l'innovation sont satisfaites. Une fois que la phase POC est passée avec succès et que l'on passe à la planification de l'introduction des serveurs de production, on constate que les directives de l'entreprise ne sont pas encore tout à fait respectées parce que l'innovation est encore trop récente et que les fonctions de sécurité manquantes doivent encore être ajoutées dans les futures versions.

Ou, comme le décrivent certains guides d'installation, de ne pas utiliser les composants de sécurité sur la nouvelle innovation en raison de la perte de performance.

Au croisement de l'informatique et du métier

Et maintenant ? Attendre ou introduire ? C'est là qu'apparaît ultérieurement un champ de tension entre la sécurité informatique, qui insiste à juste titre sur le fait que les directives internes doivent être respectées, car les compromis dans ce domaine entraînent généralement très rapidement des dommages, et le domaine spécialisé, qui souhaite introduire des innovations le plus rapidement possible.

Du point de vue de la sécurité, il ne reste qu'à dire que plus la nouvelle innovation est critique pour l'entreprise, plus elle est intéressante pour l'attaquant. Miser ici sur des compromis en matière de sécurité peut avoir des conséquences fatales.

D'ailleurs, contrairement aux toilettes 2.0, qui existent réellement au Japon, l'"application payante révolutionnaire" mentionnée ci-dessus fait partie d'un jeu en ligne. Ici, une entreprise - bien sûr fictive - est sur le point de lancer une application sur le marché, les mesures publicitaires ont été lancées avec succès, mais des failles de sécurité ou des attaques ciblées pourraient compromettre le projet.

En tant que DSI, les joueurs doivent prendre de nombreuses décisions et résoudre des problèmes pendant les derniers préparatifs du lancement prévu.

Essayez-le - sous http://targetedattacks.trendmicro.com/ger le jeu "Attaque ciblée - Le jeu" peut être lancé gratuitement. Il n'est pas nécessaire de fournir des informations personnelles pour pouvoir le lancer.

avatar
Raimund Genes, Trend Micro

Raimund Genes a été directeur de la technologie chez Trend Micro.


Tous les articles de l'auteur

Écrire un commentaire

L'archivage : plus que le classement et l'élimination

Evolution du client avec des charges héritées du passé

L'IA fait partie intégrante de la vie quotidienne

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.