{"id":23780,"date":"2016-07-01T16:11:53","date_gmt":"2016-07-01T14:11:53","guid":{"rendered":"http:\/\/e3mag.com\/?p=23780"},"modified":"2019-04-01T10:11:16","modified_gmt":"2019-04-01T08:11:16","slug":"politique-de-securite-et-solutions-efficaces","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/politique-de-securite-et-solutions-efficaces\/","title":{"rendered":"Politique de s\u00e9curit\u00e9 et solutions efficaces"},"content":{"rendered":"<p>La propagation de la faille Invoke Servlet dans les impl\u00e9mentations SAP-NetWeaver non mises \u00e0 jour ou mal configur\u00e9es montre actuellement les lacunes de la s\u00e9curit\u00e9 des impl\u00e9mentations SAP.<\/p>\n<p>Bien qu'un correctif ait \u00e9t\u00e9 mis \u00e0 disposition par SAP il y a six ans d\u00e9j\u00e0, il existe encore au printemps 2016 des indices d'un exploit de la faille de s\u00e9curit\u00e9 dans 36 entreprises aux Etats-Unis, au Royaume-Uni, en Allemagne, en Chine, en Inde, au Japon et en Cor\u00e9e du Sud.<\/p>\n<p>13 des entreprises concern\u00e9es g\u00e9n\u00e8rent plus de 13 milliards de dollars de chiffre d'affaires par an. La vuln\u00e9rabilit\u00e9 peut permettre un contr\u00f4le total non autoris\u00e9 des syst\u00e8mes SAP affect\u00e9s.<\/p>\n<p>Si la volont\u00e9 d'am\u00e9liorer la s\u00e9curit\u00e9 SAP ne devrait pas faire d\u00e9faut, ce sont les ressources qui semblent manquer. Il faut y rem\u00e9dier : un \u00e9l\u00e9ment cl\u00e9 est la mise en place de solutions contextuelles pour l'inventaire et la surveillance des vuln\u00e9rabilit\u00e9s, ainsi que pour la d\u00e9tection et la r\u00e9action imm\u00e9diate aux \u00e9v\u00e9nements et aux acc\u00e8s inhabituels.<\/p>\n<p>Ils permettent et exigent un processus de s\u00e9curit\u00e9 complet afin d'\u00e9viter de telles pannes.<\/p>\n<p>Un plan en cinq points permet d'\u00e9tablir et de mettre en \u0153uvre le processus de s\u00e9curit\u00e9 SAP \u00e0 l'\u00e9chelle de l'entreprise :<\/p>\n<ol>\n<li>D\u00e9couper la topologie SAP : L'analyse de l'infrastructure SAP donne une vue d'ensemble de tous les syst\u00e8mes SAP, y compris les syst\u00e8mes de d\u00e9veloppement et de gestion de la qualit\u00e9. Une topologie automatis\u00e9e et continue montre quels processus commerciaux un syst\u00e8me supporte et quelles informations chaque syst\u00e8me stocke et traite. C'est la seule fa\u00e7on d'\u00e9valuer l'impact des points faibles.<\/li>\n<li>Identifier et \u00e9valuer les risques : l'\u00e9tape suivante consiste \u00e0 inventorier et \u00e0 \u00e9valuer les risques r\u00e9sultant de mauvaises configurations lors de la mise en \u0153uvre. L'\u00e9valuation se fait \u00e0 partir des exigences du secteur ou de la politique de s\u00e9curit\u00e9 dans les entreprises. L'\u00e9tape suivante permet de classer les mesures de d\u00e9fense par ordre de priorit\u00e9.<\/li>\n<li>R\u00e9unir les parties prenantes autour d'une table : plusieurs acteurs sont g\u00e9n\u00e9ralement responsables d'une infrastructure SAP. Mais le dialogue s'av\u00e8re difficile. Les d\u00e9partements SAP, les \u00e9quipes de s\u00e9curit\u00e9 de l'information ainsi que les CISO et CDO ne se concertent souvent pas. Les d\u00e9partements sp\u00e9cialis\u00e9s se concentrent sur la productivit\u00e9 des syst\u00e8mes SAP. Le niveau C ne voit peut-\u00eatre pas que la s\u00e9curit\u00e9 SAP doit faire partie de la strat\u00e9gie globale de s\u00e9curit\u00e9 informatique. Les administrateurs de la s\u00e9curit\u00e9 informatique manquent souvent de visibilit\u00e9 sur les applications SAP et leurs \u00e9changes de donn\u00e9es. L'inventaire et l'\u00e9valuation des risques et des vuln\u00e9rabilit\u00e9s fournissent une base de discussion qui permet \u00e0 toutes les parties concern\u00e9es d'identifier les probl\u00e8mes et de r\u00e9partir les responsabilit\u00e9s de mani\u00e8re claire et \u00e9quitable.<\/li>\n<li>D\u00e9finir un plan d'action : Un plan d'action commun int\u00e8gre la s\u00e9curit\u00e9 SAP dans les initiatives de s\u00e9curit\u00e9 existantes et utilise \u00e9galement le cadre de s\u00e9curit\u00e9 informatique existant. Pour ce faire, il convient d'adopter une approche flexible qui combine des mesures de pr\u00e9vention, de d\u00e9tection et de d\u00e9fense contre les menaces. Les crit\u00e8res CIS (Critical Security Controls) de sans.org constituent de bons crit\u00e8res pour un tel plan de s\u00e9curit\u00e9. En outre, les entreprises devraient mettre en place des services qui les informent en permanence des risques de s\u00e9curit\u00e9 informatique actuels, tant g\u00e9n\u00e9raux que sp\u00e9cifiques \u00e0 SAP. Un \u00e9l\u00e9ment important du plan d'action est la mise \u00e0 jour des syst\u00e8mes SAP par les correctifs de l'\u00e9diteur.<\/li>\n<li>Mesurer les progr\u00e8s r\u00e9alis\u00e9s : Le CISO d\u00e9finit les objectifs communs de la politique de s\u00e9curit\u00e9 SAP de l'entreprise et mesure les progr\u00e8s gr\u00e2ce \u00e0 des \u00e9valuations continues de la situation en mati\u00e8re de s\u00e9curit\u00e9. Les technologies modernes fournissent des rapports delta qui documentent les changements de la configuration de s\u00e9curit\u00e9.<\/li>\n<\/ol>\n<p>La s\u00e9curit\u00e9 SAP devient r\u00e9alisable d\u00e8s que les solutions techniques permettent la mise en \u0153uvre d'une strat\u00e9gie de s\u00e9curit\u00e9 qui, \u00e0 l'\u00e9tape suivante, devient partie int\u00e9grante de la s\u00e9curit\u00e9 informatique g\u00e9n\u00e9rale d'une entreprise.<\/p>\n<p>Actuellement, les entreprises ont un grand besoin de rattrapage, qui commence d\u00e9j\u00e0 par l'attribution litigieuse ou inexistante des responsabilit\u00e9s : les d\u00e9partements sp\u00e9cialis\u00e9s SAP, les \u00e9quipes de s\u00e9curit\u00e9 de l'information ainsi que les CISO et CDO n'agissent souvent pas de mani\u00e8re coordonn\u00e9e.<\/p>\n<p>Les d\u00e9partements sp\u00e9cialis\u00e9s se concentrent davantage sur la productivit\u00e9 des syst\u00e8mes SAP. Le niveau C ne voit parfois pas que la s\u00e9curit\u00e9 SAP doit faire partie int\u00e9grante de la strat\u00e9gie globale de s\u00e9curit\u00e9 informatique.<\/p>\n<p>Les administrateurs de la s\u00e9curit\u00e9 informatique manquent souvent de visibilit\u00e9 sur les applications m\u00e9tier et l'\u00e9change de donn\u00e9es. Une r\u00e9partition peu claire des responsabilit\u00e9s et un faible \u00e9change d'informations sont souvent \u00e0 l'origine de lacunes dans la s\u00e9curit\u00e9 SAP.<\/p>\n<p>Une politique de s\u00e9curit\u00e9 SAP coh\u00e9rente commence donc tout d'abord par la cr\u00e9ation d'une base de discussion par le biais d'une \u00e9valuation continue et d'une \u00e9valuation des risques pour toutes les parties concern\u00e9es. Mais ces r\u00e9sultats doivent \u00e9galement \u00eatre int\u00e9gr\u00e9s dans la politique g\u00e9n\u00e9rale de s\u00e9curit\u00e9 informatique.<\/p>","protected":false},"excerpt":{"rendered":"<p>Les impl\u00e9mentations SAP sont de plus en plus la cible d'attaquants externes et internes. Des solutions logicielles adapt\u00e9es et des strat\u00e9gies de s\u00e9curit\u00e9 compl\u00e8tes permettent de mettre en \u0153uvre efficacement la s\u00e9curit\u00e9 SAP. <\/p>","protected":false},"author":79,"featured_media":23781,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,1609],"tags":[906,5957,117],"coauthors":[22310],"class_list":["post-23780","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1607","tag-implementierung","tag-sap-netweaver","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",400,188,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-768x362.jpg",768,362,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-100x47.jpg",100,47,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-480x226.jpg",480,226,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-640x301.jpg",640,301,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-720x339.jpg",720,339,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-960x452.jpg",960,452,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",600,283,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",600,283,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>SAP-Implementierungen r\u00fccken zunehmend in den Fokus externer und interner Angreifer. Geeignete Softwarel\u00f6sungen und umfassende Sicherheitsstrategien setzen SAP-Sicherheit effektiv um. <\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/fr\/categorie\/gestion\/\" rel=\"category tag\">Business-Management<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/categorie\/mag1607\/\" rel=\"category tag\">MAG 16-07<\/a>","author_info_v2":{"name":"Mariano Nunez, Onapsis","url":"https:\/\/e3mag.com\/fr\/author\/mariano-nunez\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/23780","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/79"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=23780"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/23780\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/23781"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=23780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=23780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=23780"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=23780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}