Un plan en cinq points pour une politique de sécurité SAP vraiment efficace
Intégrer la sécurité des systèmes SAP à celle de toute l’infrastructure IT
Paris, le 6 juin 2016 – Face à la multiplication des cyberattaques externes et internes ciblant leurs systèmes SAP, les grandes entreprises mondiales sont sous pression. Elles doivent d’une part recourir à des solutions technologiques pour sécuriser leurs systèmes SAP et d’autre part intégrer ces solutions à une stratégie de sécurité IT globale. Fort de ces années d’expérience dans la protection des systèmes SAP, Onapsis, le spécialiste mondial de la sécurité des applications d’entreprise, propose un plan en cinq points pour mettre en place des processus de sécurité efficaces.
Un des éléments clés d’une politique de sécurité SAP est la mise en œuvre de solutions personnalisées pour déceler et surveiller les failles de manière préventive et identifier les événements et les tentatives d’accès inhabituels et y réagir immédiatement.
Ces solutions permettent de mettre en place un processus de sécurité SAP qui dépasse les limites des compétences des différents collaborateurs et départements de l’entreprise pour s’intégrer à sa politique de sécurité IT globale. Onapsis propose aux entreprises de suivre les cinq étapes ci-dessous pour bâtir une stratégie performante visant à garantir la sécurité de leurs systèmes SAP.
- 1. Analyser l’environnement SAP et sa topologie : La première étape vers la sécurité consiste à analyser la structure globale de l’infrastructure SAP. Cette analyse permet d’avoir une vue d’ensemble du type et du nombre de systèmes SAP utilisés, y compris des systèmes d’amélioration et de gestion de la qualité et des systèmes de développement. À partir de la topologie de son infrastructure SAP, l’entreprise peut mieux comprendre quels sont les processus métier pris en charge par ses systèmes SAP et identifier les informations stockées et traitées par chacun d’eux. Ce n’est qu’après avoir identifié précisément les systèmes SAP en place et leurs interactions qu’il est possible d’évaluer les risques. Dans ce contexte, seule une solution permettant de définir automatiquement la topologie des systèmes SAP produit un résultat rapide.
- 2.Identifier et évaluer les risques potentiels : La deuxième étape consiste à identifier les failles et les risques résultant d’une mauvaise configuration de l’infrastructure. Pour cela, il faut savoir quels effets une mauvaise configuration de la couche transaction assurant la transmission de données et des droits des utilisateurs peut avoir sur les processus métier et les données stratégiques de l’entreprise. L’évaluation des risques se fait donc indépendamment des exigences d’un secteur d’activité ou d’une politique de sécurité spécifique. Il s’agit ensuite de définir par ordre de priorité les mesures à mettre en place pour contrer ces risques.
- 3.Identifier les parties prenantes : Différents acteurs interviennent dans le fonctionnement d’une infrastructure SAP. Il s’agit généralement du directeur des systèmes d’information (DSI) et du directeur financier qui prennent les décisions clés concernant la gestion de l’infrastructure SAP et la sécurité IT. L’administration et la sécurisation de l’environnement SAP incombent quant à elles aux équipes informatiques et SAP Basis. Le département chargé de la sécurité informatique est rarement sollicité alors qu’il joue un rôle essentiel pour mettre en place un processus de sécurité efficace, identifier et communiquer avec toutes les parties prenantes et définir les responsabilités de chacune en matière de sécurité des systèmes SAP.
- 4.Définir un plan d’action global : Il faut définir un plan d’action commun, basé sur le travail préparatoire expliqué ci-dessus, en se servant de l’infrastructure de sécurité IT déjà en place et en intégrant la sécurité des systèmes SAP à la politique de sécurité existante. Il est donc recommandé d’adopter une approche souple qui allie mesures préventives, contrôles réguliers et mesures réactives. Le plan présenté ici s’inspire ainsi des 20 contrôles de sécurité IT essentiels recommandés par l’institut SANS. Par ailleurs, les entreprises doivent se doter de services qui les informent en continu, non seulement sur les risques pour la sécurité IT en général mais aussi sur ceux spécifiques aux systèmes SAP. L’application des patchs de sécurité les plus récents publiés par SAP est également un élément clé du plan d’action. Enfin, en corrélant les failles de ses systèmes et ses exigences en matière de sécurité, l’entreprise est mieux à même d’identifier les risques les plus graves et de prendre les mesures adaptées.
- 5.Mesurer et communiquer les progrès : Cette étape consiste pour les responsables de la sécurité informatique à définir les objectifs communs de la politique de sécurité SAP de l’entreprise et à mesurer les progrès réalisés afin de pouvoir les communiquer en interne. Des rapports pertinents permettent en effet d’encourager les équipes à atteindre les objectifs visés. À l’aide des technologies actuelles, il est par exemple possible d’établir à tout moment des rapports delta, qui documentent les modifications de la configuration de sécurité.
À propos d’Onapsis
Onapsis propose les solutions les plus complètes pour sécuriser les applications SAP et Oracle stratégiques. En tant qu’expert numéro un en cyber-sécurité SAP et Oracle, Onapsis permet aux équipes de sécurité et d’audit d’avoir visibilité, confiance et contrôle vis-à-vis des menaces, cyber-risques et écarts de conformité avancés qui affectent leurs applications d’entreprise.
Basée à Boston, MA, Onapsis fournit plus de 200 clients dont beaucoup font partie du classement Global 2000. Les solutions Onapsis sont également la norme de fait pour d’éminentes sociétés de conseil et d’audit comme Accenture, Deloitte, E&Y, IBM, KPMG et PwC.
Les solutions Onapsis comprennent la plateforme de sécurité Onapsis (OSP), qui est la solution de sécurité certifiée par SAP la plus utilisée sur le marché. Contrairement aux produits de sécurité génériques, les solutions contextuelles Onapsis fournissent des contrôles de vulnérabilité et de conformité préventifs, ainsi que des capacités de détection et de réponse aux incidents en temps réel afin de réduire les risques affectant les processus et les données stratégiques des entreprises. Avec ses interfaces ouvertes, la plateforme peut s’intégrer aux produits leader SIEM, GRC et de sécurité du réseau, et incorpore parfaitement des applications d’entreprise aux programmes existants de réponse aux vulnérabilités, aux risques et aux incidents.
Ces solutions sont alimentées par les Onapsis Research Labs™, qui fournissent continuellement des renseignements essentiels sur les menaces de sécurité affectant les systèmes SAP et Oracle. Les experts des Onapsis Research Labs ont été les premiers à donner une conférence sur les cyberattaques SAP et à découvrir et aider à résoudre jusqu’à présent des centaines de vulnérabilités de sécurité affectant les applications SAP Business Suite, SAP HANA, SAP Cloud et SAP Mobile, ainsi que les plateformes Oracle JD Edwards et Oracle E-Business Suite.
Pour plus d’informations, visitez le site Web www.onapsis.com, ou suivez Onapsis sur Twitter, Google+ ou LinkedIn
Onapsis et Onapsis Research Labs sont des marques déposées par Onapsis, Inc. Tous les autres noms des sociétés ou des produits peuvent être des marques déposées appartenant à leurs sociétés respectives.