S_E - Fotolia
SAP : Onapsis veut aider à identifier les problèmes de sécurité
Avec Business Risk Illustration, ce spécialiste de la sécurité des ERP veut aider les entreprises à identifier et traiter les vulnérabilités de leurs environnements SAP.
Spécialiste de la sécurité des déploiements ERP, Onapsis vient de présenter le programme Business Risk Illustration (BRI). Ce dernier permet aux organisations d'évaluer les failles de sécurité de leurs systèmes SAP, de leur configuration aux développements personnalisés.
Les ERP constituent des cibles de choix pour les cyber-délinquants : ils recèlent une grande partie des données les plus précieuses d'une organisation. Las, comme le relevait Juan Pablo Perez Etchegoyen, directeur technique d’Onapsis, il y a trois ans, lors d’un entretien, « chez chacun de nos nouveaux clients, nous découvrons des systèmes SAP qui ne sont pas correctement administrés et tendent à être exposés, du fait de vulnérabilités non corrigées, ou encore de défauts de configuration ». Un an plus tard, une étude du groupe des utilisateurs de SAP au Royaume-Uni et en Irlande mettait en évidence des inquiétudes soulignant que les choses n’avaient guère progressé.
Pour Jason Fruge, directeur de la sécurité de l'information chez Fossil, la sécurité des systèmes SAP est un problème sérieux qui ne reçoit pas l'attention qu’il mérite : « si notre déploiement SAP venait à s’effondrer, nous arrêterions l’activité. Il n'y a rien que nous puissions faire sans lui ». C’est donc le socle d’applications critiques.
Fossil s'est tourné vers le service BRI d’Onapsis, lequel a identifié des vulnérabilités susceptibles d’affecter l’activité de l’entreprise de manière significative.
Le service BRI montre comment une entité non autorisée peut s’immiscer dans un système SAP et identifie où se trouvent les vulnérabilités spécifiques. L'analyse initiale n’a demandé que quelques heures sur l'environnement de production du groupe Fossil. Dans le cadre de ce service, les équipes d’Onapsis imitent le comportement d’attaquants pour identifier les systèmes SAP cibles de l'organisation et détecter les vulnérabilités ou les erreurs de configuration. Les applications et systèmes SAP sont ensuite évalués sur la base du Business Application Risk Maturity Model d'Onapsis. Ce dernier permet d’établir une note de risque sur une échelle à six niveaux.