Sécurité SAP : entre désir et réalité
Récemment, le Deutschsprachige SAP-Anwendergruppe e.V. (DSAG) a de nouveau interrogé un cercle choisi de membres, dont des entreprises suisses, sur le thème de la sécurité SAP. L'enquête était divisée en deux parties, l'une générale et l'autre spécialisée, et a notamment permis de constater que la sécurité par défaut, la sécurité par conception et les outils de gestion de la sécurité sont nécessaires de toute urgence et que SAP doit y contribuer de manière décisive.
Selon l'analyse des tendances de la DSAG, la volonté d'investir en plus dans la sécurité des systèmes SAP a diminué de 13% par rapport à l'année précédente pour atteindre 42%. En outre, toutes les tailles d'entreprises sont d'avis que les solutions Cloud nécessitent d'autres stratégies et concepts de sécurité que les solutions traditionnelles. Un sujet sur lequel 91 pour cent des grandes entreprises et 88 pour cent des petites entreprises sont d'accord. "Nous exigeons également pour l'environnement cloud une sécurité dès la conception et une sécurité par défaut. Le groupe de travail DSAG Cloud-Security s'occupe de ce sujet", commente le Dr Alexander Ziesemer, porte-parole du groupe de travail DSAG Security & Vulnerability Management.
Tableau de bord de sécurité demandé
Seuls 11 % des sondés (contre 15 % l'année précédente) utilisent un tableau de bord de sécurité pour avoir une vue d'ensemble de leurs paramètres de sécurité. 76% ne l'utilisent pas (72% l'année précédente). Un bon tableau de bord est une condition essentielle pour pouvoir développer et mettre en œuvre de meilleurs concepts de sécurité. "L'année dernière, nous avons déjà communiqué à SAP l'exigence d'un standard pour un tableau de bord de sécurité SAP complet. Malheureusement, il n'existe pas de solution à ce jour", résume Alexander Ziesemer.
Il y a encore quelques points de pourcentage entre le souhait et la réalité en ce qui concerne la satisfaction vis-à-vis du soutien de SAP en matière de sécurité du système. Seuls 4 % des personnes interrogées ont attribué la note 1 (6 en Suisse) et 18 % la note 2 (5 en Suisse). La note 3 (4 en Suisse) est attribuée par 49 % des sondés. Des valeurs qui se sont détériorées par rapport à 2018. "Cela indique clairement qu'un soutien encore meilleur est nécessaire de la part de SAP sous la forme de livres blancs régulièrement mis à jour, de recommandations d'actions et de guides de sécurité", explique le Dr Alexander Ziesemer à propos de ce résultat.
Selon l'enquête, elles sont utilisées pour les directives de sécurité SAP internes à l'entreprise (72 %), comme orientation lors de l'exploitation (64 %) et comme argumentaire vis-à-vis de la direction et des services spécialisés (48 %).
Sécurité exigée par défaut
Dans la partie spécifique de l'enquête, il a été question, entre autres, de la demande de sécurité par défaut. Autrement dit, que les composants de sécurité soient livrés activés par défaut dans les nouvelles versions et les nouveaux services. Alors qu'ils étaient encore 78 % en 2018, 84 % attendent ce "service" de SAP un an plus tard. "L'étroite collaboration avec SAP montre que davantage de sécurité par défaut est également possible à l'avenir. Des progrès significatifs ont déjà pu être réalisés sur des points concrets tels que le cryptage, la journalisation (logging) et la surveillance", explique Alexander Ziesemer.
La sécurité reste importante dans le domaine on-premise
Les grandes entreprises (45%) et les entreprises de taille moyenne (41%) considèrent l'intégration des produits SAP Cloud dans un concept de sécurité correspondant comme un très grand défi. Seules 35% des petites entreprises partagent cette impression. Il est intéressant de noter que le thème du cloud ne figure pas dans le top 3 des principaux champs d'action. Comme l'année dernière, la première position est occupée par la sécurité par défaut, suivie par les directives de sécurité SAP. La gestion des correctifs a pris la troisième place et a supplanté la sensibilisation à la sécurité SAP. "Pour les entreprises, outre la sécurité du cloud, les questions de sécurité autour du domaine on-premise resteront au centre des préoccupations. Car tout ce qui brille n'est pas encore cloud", résume le Dr Alexander Ziesemer.
Conclusion de l'enquête
La principale conclusion de l'enquête sur les tendances est la suivante : une sécurité accrue dès la conception et par défaut reste une exigence importante. De meilleurs concepts de sécurité, surtout dans l'environnement cloud, sont absolument nécessaires, mais ils restent difficiles à mettre en œuvre sans un tableau de bord adéquat. Cela signifie que dans le domaine de la sécurité SAP, il faut davantage de normes et un soutien encore meilleur de la part de SAP. La DSAG collabore déjà avec SAP sur ce thème.
Mais le Dr Alexander Ziesemer déduit également des résultats des recommandations d'action concrètes pour les entreprises utilisatrices : "Obtenez la transparence sur la sécurité et le paysage de vos systèmes SAP pour la planification des activités ultérieures. Commencez par les bases de la sécurité comme les interfaces, le cryptage et les paramètres". Selon lui, il faut sensibiliser à la sécurité informatique à tous les niveaux, des employés aux cadres et aux dirigeants. En outre, il est important d'actualiser régulièrement les directives de sécurité SAP en raison du rythme élevé des innovations. En outre, les nouveaux systèmes SAP devraient être installés avec les principaux paramètres de sécurité actuels (Security by default). Sans oublier les systèmes externalisés, par exemple dans le cloud, qui doivent également être connectés de manière sécurisée au réseau de l'entreprise.
Source : www.dsag-ev.ch
