Seule une strat\u00e9gie de cyberd\u00e9fense int\u00e9gr\u00e9e, prenant en compte l'ensemble de l'informatique, peut \u00e9liminer les vuln\u00e9rabilit\u00e9s potentielles et offrir une protection fiable contre les menaces.<\/p>\n
L'augmentation g\u00e9n\u00e9rale des risques pour la s\u00e9curit\u00e9 informatique a conduit de nombreuses entreprises \u00e0 initier des projets de s\u00e9curit\u00e9, mais \u00e0 exclure le monde SAP. Cela n'est plus acceptable aujourd'hui, d'autant plus que les donn\u00e9es SAP sont g\u00e9n\u00e9ralement critiques pour l'entreprise.<\/p>\n
Mais quelle est la raison de cette prise en compte insuffisante du th\u00e8me de la s\u00e9curit\u00e9 SAP ? Il y a plusieurs raisons \u00e0 cela. Ainsi, le th\u00e8me de la s\u00e9curit\u00e9 SAP ne figure souvent pas \u00e0 l'agenda informatique du RSSI, car il est jug\u00e9 trop complexe et tr\u00e8s sp\u00e9cifique.<\/p>\n
C'est ce que montrent les valeurs empiriques de NTT Com Security issues de nombreux projets clients dans les domaines de la s\u00e9curit\u00e9 de l'information et de la gestion des risques. De plus, les d\u00e9partements SAP sont g\u00e9n\u00e9ralement des unit\u00e9s autonomes qui veulent conserver leur ind\u00e9pendance et sont parfois ferm\u00e9s \u00e0 toute influence du reste de l'informatique.<\/p>\n
De plus, les d\u00e9partements informatiques de SAP manquent souvent du savoir-faire n\u00e9cessaire en mati\u00e8re de s\u00e9curit\u00e9. Dans le domaine de la pr\u00e9vention, SAP Single Sign-On pour l'acc\u00e8s s\u00e9curis\u00e9 aux syst\u00e8mes SAP et non-SAP ou SAP Identity Management pour une gestion efficace des utilisateurs, SAP Access Control pour une attribution des autorisations conforme aux r\u00e8gles et aux lois ou Code Vulnerability Analyzer pour un contr\u00f4le automatique et manuel du code source.<\/p>\n
Pour identifier en temps r\u00e9el les attaques et les tentatives de fraude, SAP a d\u00e9velopp\u00e9 les solutions SAP Enterprise Threat Detection et SAP Fraud Management. Mais la seule disponibilit\u00e9 de ces outils ne signifie pas qu'ils sont utilis\u00e9s de mani\u00e8re g\u00e9n\u00e9ralis\u00e9e :<\/p>\n
SAP Enterprise Threat Detection, par exemple, qui assure l'\u00e9valuation et l'analyse des \u00e9v\u00e9nements de s\u00e9curit\u00e9 dans l'environnement SAP et qui a \u00e9t\u00e9 con\u00e7u pour \u00eatre reli\u00e9 aux syst\u00e8mes SIEM traditionnels, n'est pas encore utilis\u00e9 par de nombreuses entreprises.<\/p>\n
Mais m\u00eame si des outils de s\u00e9curit\u00e9 SAP sont utilis\u00e9s de mani\u00e8re isol\u00e9e du c\u00f4t\u00e9 de l'entreprise, un probl\u00e8me subsiste : Seule une solution de s\u00e9curit\u00e9 enti\u00e8rement int\u00e9gr\u00e9e offre une protection fiable.<\/p>\n
Pourtant, des silos de s\u00e9curit\u00e9 inefficaces se trouvent encore dans de nombreuses entreprises. C'est ce qu'a r\u00e9v\u00e9l\u00e9 une \u00e9tude r\u00e9cente de Dell \u00e0 laquelle 175 entreprises allemandes ont particip\u00e9. L'un des principaux r\u00e9sultats de cette \u00e9tude est que la s\u00e9curit\u00e9 informatique est souvent organis\u00e9e en fonction des applications et rel\u00e8ve de la responsabilit\u00e9 de diff\u00e9rents d\u00e9partements de l'entreprise.<\/p>\n
Ainsi, seules 23% des entreprises interrog\u00e9es disposent d'un service de s\u00e9curit\u00e9 informatique central qui englobe \u00e9galement l'environnement d'applications distribu\u00e9es et donc SAP.<\/p>\n
Il suffit d'aborder un sujet aussi simple que la gestion des utilisateurs pour constater que deux mondes dominent souvent. Dans de nombreuses entreprises, l'environnement SAP est encore s\u00e9par\u00e9 du reste de l'informatique et les concepts d'autorisation ne sont pas mis en \u0153uvre dans l'ensemble de l'entreprise.<\/p>\n
Dans presque toutes les entreprises, le service d'annuaire Microsoft Active Directory (AD) est aujourd'hui un \u00e9l\u00e9ment central de l'infrastructure globale. L'AD prend en charge de nombreuses t\u00e2ches qui vont bien au-del\u00e0 de la simple gestion des comptes utilisateurs et comprennent par exemple aussi l'authentification et l'autorisation de syst\u00e8mes non bas\u00e9s sur Windows comme les serveurs Linux ou les applications. Mais un domaine reste \u00e9tonnamment souvent ignor\u00e9 : l'infrastructure SAP.<\/p>\n
Mais l'int\u00e9gration n'est qu'un c\u00f4t\u00e9 de la m\u00e9daille, il est tout aussi important d'\u00e9liminer les failles de s\u00e9curit\u00e9 existantes - et elles sont fr\u00e9quentes dans le monde SAP. Il manque par exemple l'activation du cryptage ou la s\u00e9paration des autorisations administratives.<\/p>\n
Souvent, il n'y a pas non plus de segmentation entre le front-end et le back-end et une strat\u00e9gie de gestion des correctifs n'existe pas. Un probl\u00e8me central est en outre que, dans l'environnement SAP en particulier, les concepts d'autorisation d'acc\u00e8s et les proc\u00e9dures de gestion des changements sont souvent mis en \u0153uvre uniquement en fonction de l'utilisateur - et non du point de vue de la s\u00e9curit\u00e9.<\/p>\n
Les d\u00e9fis sont donc \u00e9vidents et SAP lui-m\u00eame aborde de plus en plus le th\u00e8me de la s\u00e9curit\u00e9 dans le cadre de plusieurs initiatives. L'expert en s\u00e9curit\u00e9 NTT Com Security investit conjointement avec SAP dans la coop\u00e9ration afin de pouvoir proposer aux clients des concepts de solutions globales.<\/p>\n
Alors que SAP est \u00e0 l'aise dans l'informatique SAP, NTT Com Security dispose \u00e0 la fois du savoir-faire SAP et de l'acc\u00e8s au d\u00e9partement informatique g\u00e9n\u00e9ral qui est responsable de la s\u00e9curit\u00e9 informatique \u00e0 l'\u00e9chelle de l'entreprise. NTT Com Security peut donc quasiment jouer un r\u00f4le d'\"interm\u00e9diaire\" pour les questions de s\u00e9curit\u00e9 des donn\u00e9es critiques de l'entreprise.<\/p>\n
La cybermenace pour les applications SAP ne peut \u00eatre \u00e9cart\u00e9e de mani\u00e8re fiable que si elle est int\u00e9gr\u00e9e dans la strat\u00e9gie de s\u00e9curit\u00e9 globale d'une entreprise. Cela signifie qu'il est essentiel de prendre en compte le monde SAP dans les projets de s\u00e9curit\u00e9 et dans la mise en \u0153uvre d'une strat\u00e9gie de cyberd\u00e9fense globale.<\/p>\n
Lors de la mise en \u0153uvre d'une telle strat\u00e9gie, il convient d'opter pour une approche s\u00e9quentielle. Le point de d\u00e9part est l'analyse et l'\u00e9tablissement du profil de risque du paysage informatique, y compris l'environnement SAP, l'introduction de l'outil n'intervenant qu'\u00e0 la fin de la cha\u00eene de processus.<\/p>\n
L'\u00e9valuation des risques (Risk Insight) consiste \u00e0 classifier tous les processus et donn\u00e9es \u00e0 prot\u00e9ger, y compris, bien s\u00fbr, ceux qui se trouvent dans le monde SAP. Toutes les autres mesures doivent ensuite se baser sur cette \u00e9valuation dans le cadre d'une strat\u00e9gie de cyberd\u00e9fense de bout en bout. Les \u00e9l\u00e9ments cl\u00e9s de cette strat\u00e9gie sont les quatre piliers centraux que sont la pr\u00e9vention, la d\u00e9tection, la d\u00e9fense et la r\u00e9action.<\/p>\n
Dans le domaine de la pr\u00e9vention, il s'agit d'une part de la gestion de l'infrastructure et du r\u00e9seau du c\u00f4t\u00e9 de l'entreprise, avec des mesures de s\u00e9curit\u00e9 classiques comme une protection du p\u00e9rim\u00e8tre avec des passerelles de messagerie incluant des filtres anti-spam et anti-malware, des pare-feux de nouvelle g\u00e9n\u00e9ration, des syst\u00e8mes VPN ou des solutions de sandboxing dynamiques.<\/p>\n
D'autre part, les applications et donn\u00e9es strat\u00e9giques (SAP) doivent \u00eatre davantage prises en compte et s\u00e9curis\u00e9es.<\/p>\n
L'\u00e9tape suivante est la d\u00e9tection, c'est-\u00e0-dire une analyse de s\u00e9curit\u00e9 compl\u00e8te avec l'\u00e9valuation de donn\u00e9es en temps r\u00e9el et une surveillance proactive. Une surveillance efficace ne s'\u00e9tend pas seulement aux journaux et aux alertes du syst\u00e8me, mais comprend \u00e9galement, par exemple, des analyses comportementales de l'environnement informatique d'une entreprise, qui permettent de d\u00e9tecter les processus inhabituels.<\/p>\n
Un \u00e9l\u00e9ment indispensable d'une solution de s\u00e9curit\u00e9 compl\u00e8te est la possibilit\u00e9 de d\u00e9tecter les menaces \u00e0 un stade pr\u00e9coce, c'est-\u00e0-dire l'utilisation de syst\u00e8mes de d\u00e9tection pr\u00e9coce. Il est \u00e9vident qu'une entreprise ne peut gu\u00e8re mettre en place une protection compl\u00e8te contre les cyberattaques de mani\u00e8re totalement autonome, d'une part parce que les menaces sont trop h\u00e9t\u00e9rog\u00e8nes et surtout trop dynamiques, d'autre part parce que les co\u00fbts sont trop \u00e9lev\u00e9s.<\/p>\n
C'est l\u00e0 que les SOC (Security Operations Center) des fournisseurs de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s (MSS) entrent en jeu en tant que centres de d\u00e9fense proactifs pour les entreprises.<\/p>\n
Enfin, une entreprise devrait \u00e9galement \u00eatre pr\u00e9par\u00e9e \u00e0 un cas d'urgence, appel\u00e9 incident, car une protection \u00e0 100 % devrait rester une utopie. Cela signifie qu'il faut mettre en place une proc\u00e9dure de r\u00e9ponse \u00e0 l'incident qui puisse \u00eatre appel\u00e9e en cas de danger et qui permette d'emp\u00eacher une fuite de donn\u00e9es involontaire.<\/p>\n
Une chose doit \u00eatre claire : Les pirates ne font pas la diff\u00e9rence entre les applications SAP et l'informatique en g\u00e9n\u00e9ral. L'important dans la mise en \u0153uvre d'une strat\u00e9gie de cyberd\u00e9fense est donc l'approche globale qui int\u00e8gre la surveillance et la s\u00e9curisation de l'infrastructure SAP comme facteur de r\u00e9ussite important. Ce n'est qu'avec un concept aussi complet qu'un utilisateur SAP peut aujourd'hui r\u00e9aliser une s\u00e9curit\u00e9 maximale de l'informatique et des informations.<\/p>","protected":false},"excerpt":{"rendered":"
Les entreprises accordent la plus haute priorit\u00e9 \u00e0 la s\u00e9curit\u00e9 informatique, mais le monde SAP est souvent laiss\u00e9 de c\u00f4t\u00e9. Cette approche ne r\u00e9pond plus aux exigences actuelles. <\/p>","protected":false},"author":100,"featured_media":60767,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,1605],"tags":[5238,369,15155],"coauthors":[26015,32783],"class_list":["post-60926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag1604","tag-change-management","tag-it","tag-risikomanagement","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"
Unternehmen r\u00e4umen IT-Sicherheit h\u00f6chste Priorit\u00e4t ein, die SAP-Welt bleibt oft unber\u00fccksichtigt. Heutigen Anforderungen wird dieses Vorgehen nicht mehr gerecht. <\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 16-04<\/a>","author_info_v2":{"name":"Kai Grunwitz, NTT Security","url":"https:\/\/e3mag.com\/fr\/author\/kai-grunwitz\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/60926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/100"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=60926"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/60926\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/60767"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=60926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=60926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=60926"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=60926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}