Far West BTP - et où est la sécurité SAP ?


En tant que nouvel environnement de développement pour les clients SAP, la Business Technology Platform (BTP) offre des possibilités de variation insoupçonnées et brille par une forte intégration au produit SAP. L'adaptation de la nouvelle plate-forme technologique dans les entreprises clientes est rapide et il règne une sorte d'atmosphère de départ vers le Far West.
On voit encore peu de gouvernance, de structures fixes et de meilleures pratiques, ce qui est dangereux du point de vue de la sécurité de l'information. Il y a des clients qui, du jour au lendemain, sans vérification préalable - qui peut faire quoi ? Est-ce nécessaire ? Et cetera... - se retrouvent avec de nombreux tenants BTP connectés à leur système de production. Souvent, il n'est pas du tout clarifié où se situent les responsabilités, si tous les tenants sont utilisés de manière productive et quelles sont les exigences techniques individuelles qui se cachent derrière. C'est le premier obstacle à franchir.
Le deuxième obstacle se dresse une fois que les directives de gouvernance sont définies. Une fois que l'on a déterminé qui est responsable des tenants BTP, qui est autorisé à les créer et qui approuve un tenant et quand, il faut définir librement l'endroit où l'on connecte le tenant.
Il n'est pas possible de recourir ici à un concept de staging existant, car les meilleures pratiques établies par le passé dans SAP ne fonctionnent que partiellement dans le monde du BTP.
En dehors des nouveaux défis dans le domaine de l'identité et de l'accès (c'est-à-dire la clarification de la manière dont les utilisateurs accèdent aux systèmes, comment et où ils sont provisionnés et autorisés), il convient également de se demander pour les processus BTP établis s'ils sont respectés et efficaces à long terme.
Cela se fait au moyen d'un système de contrôle interne (SCI) qui met continuellement le nouveau processus à l'épreuve et valide par exemple s'il n'existe qu'un certain nombre d'administrateurs pour le compte global BTP. Les 103 recommandations de sécurité déjà publiées montrent notamment que SAP prend au sérieux le thème de la sécurité pour la BTP.
Lignes directrices du BTP
Après avoir clarifié les autorisations et la configuration sécurisée, il s'agit enfin de savoir ce qui se passe dans le contenu de la BTP. La programmation purement Abap/Steampunk n'y est plus une obligation, on peut entre autres développer en Python. S'y ajoutent les développements Fiori - là aussi, c'est le Far West dans le bon sens du terme, c'est-à-dire des possibilités de réalisation sans limites.
La force de la BTP réside dans sa connexion et son intégration au produit phare de SAP, S/4 Hana. Mais il s'agit en principe d'une plate-forme de développement libre, avec les défis que cela implique : Il faut un processus, un ensemble de règles et des directives pour un codage sûr. Il faut développer des mécanismes de contrôle permettant de détecter les écarts. La première chose à faire est de définir les responsabilités et d'établir des processus, indépendamment d'une plate-forme de sécurité telle que SecurityBridge, afin de déterminer comment la surveillance et les examens de gouvernance doivent être organisés. C'est la tâche principale pour assurer la sécurité de SAP sur la BTP. Ce n'est que dans une étape ultérieure que l'on peut configurer le bureau virtuel et vérifier s'il y a des paramètres qui représentent des portes d'entrée potentielles. C'est là qu'une solution de sécurité peut aider à la surveillance, en créant de la transparence et en aidant à identifier les activités critiques et à réagir immédiatement en conséquence dans le processus de l'entreprise.
Aussi prometteuse que soit la technologie, les défis (en matière de sécurité) qui vont de pair avec son utilisation sont tout aussi importants. Pour cela, il faut d'abord de nouvelles règles et de nouveaux processus - la sécurité SAP sera alors également garantie dans la Business Technology Platform. Cela sera d'autant plus important si les dix pour cent d'utilisateurs SAP (selon les sondages actuels) deviennent bientôt 50 pour cent ou plus, qui construisent des extensions sur la nouvelle plate-forme et les utilisent de manière productive.