GDPR : des inquiétudes pour les environnements SAP

Le groupe des utilisateurs SAP du Royaume-Uni et d’Irlande fait apparaître le règlement général de protection des données (RGPD, ou GDPR pour les anglophones) comme une source d’importantes inquiétudes outre-Manche. Mais peut-être aussi le révélateur d’une prise en compte jusque-là limitée de la sécurité des environnements de PGI (ERP).

Le groupe a en effet sondé 102 organisations utilisatrices de SAP dans la région. Et plus de la moitié d’entre elles (51 %) indique avoir des inquiétudes aujourd’hui plus grandes qu’il y a douze mois autour de la conformité de leurs environnements SAP avec le RGPD qui doit entrer en vigueur dans moins d’un an. Et elles sont presqu’autant (49 %) à nourrir des inquiétudes plus vives quant à la sécurité de ces environnements.

En cause, pour 53 % des sondés, l’utilisation croissante du Cloud et, 57 %, celle de la mobilité. Car au total, ils sont 55 % à estimer que la progression de ces deux tendances a renforcé les défis de sécurisation de leurs environnements SAP.

Dans le détail, rien moins que 70 % des utilisateurs sondés indiquent que le contrôle d’accès aux applications portées par ces environnements est un défi. Et ils sont 73 % à juger difficile de trouver un équilibre entre sécurité et conformité d’un côté, et productivité et flexibilité des utilisateurs finaux de l’autre.

Mais il convient de relever que seulement 47 % des sondés indiquent utiliser le composant de gestion de la gouvernance, du risque et de conformité de SAP. Pourquoi ? Pour 35 % de ceux qui ne l’utilisent pas, la raison est simple : trop cher. Et pour 18 % supplémentaires : trop compliqué.

Brian Froom, responsable de la chaire audit, contrôle et sécurité du groupe des utilisateurs de SAP du Royaume-Uni et d’Irlande, estime que le recours croissant au cloud et à la mobilité rend difficile, pour les organisations, « de comprendre pleinement où résident leurs données et comment on y accède ». Pour lui, « beaucoup d’organisations sont dans une impasse lorsqu’il s’agit de trouver un équilibre entre productivité et flexibilité des utilisateurs finaux, et sécurité et conformité ». Et cela malgré la nature critique des environnements SAP. Selon Brian Froom, c’est celle-là même qui fait du contrôle d’accès « un défi permanent ».

L’an passé, Juan Pablo Perez Etchegoyen, directeur technique d’Onapsis, indiquait, lors d’un entretien, que « chez chacun de nos nouveaux clients, nous découvrons des systèmes SAP qui ne sont pas correctement administrés et tendent à être exposés, du fait de vulnérabilités non corrigées, ou encore de défauts de configuration ».

Au printemps 2016, Onapsis a lancé une fonction de patching virtuel pour SAP. Alex Horan, chef de produit chez l’éditeur, expliquait alors vouloir ainsi répondre aux contraintes des entreprises : les progiciels de gestion servent souvent de support à des processus critiques ; les mises à niveau ou les applications de correctifs ne surviennent que de manière extrêmement planifiée, souvent à des intervalles trop espacés pour garantir une remédiation rapide d’éventuelles vulnérabilités identifiées à l’occasion d’analyses effectuées grâce à la plateforme dédiée d’Onapsis. Sans compter des efforts plus concentrés sur la disponibilité que sur la sécurité.