Nouvelles

Journée de la protection des données : Sécurisez votre système SAP sans compromis

Rédigé par Salomé Jaussaud | 28 janv. 2021 11:12:20

 

Aujourd'hui, c'est la Journée de la protection des données ! Une journée consacrée à la sensibilisation et à l'importance de la protection des données dans le monde entier. Cette journée est devenue plus populaire depuis l'entrée en vigueur du RGPD. Aujourd'hui, nous réfléchissons à la définition de ce qui constitue des données personnelles et à la manière de les protéger au niveau personnel et commercial. Remontons dans le temps pour comprendre pourquoi une telle journée a été créée.

 

Saviez-vous que ... le code de déverrouillage "secret" de tous les missiles nucléaires américains Minuteman a été défini pendant près de 20 ans, pendant la guerre froide, par le code incroyablement simple de huit zéros : (00000000) ?

 

Aujourd'hui, on trouverait ça insensé ! Le domaine de la sécurité des données s'est développé radicalement avec l'internet et la numérisation. Il a entraîné une explosion de données d'une ampleur inimaginable (les experts estiment qu'en 2020, le monde a accumulé environ 44 Zettaoctets de données). Toutes ces données ont également entraîné la nécessité de protéger cette ressource.

Combien de données sont créées chaque jour ?

Content courtesy of: Raconteur, World Economic Forum, WhistleOut(Youtube), Gamesindustry.bizTechjury, WhistleOut(Gaming) 

 

Les données sont synonymes de richesse, et comme toute richesse, elles attirent l'appétit des malfaiteurs. Il y a une cyber-attaque toutes les 39 secondes dans le monde. Les brèches de sécurité ont provoqué l'exposition de 36 milliards de données au cours du premier semestre 2020.

La protection des données est plus qu'une simple bonne pratique, c'est la loi.

La protection des données est une bonne pratique qui garantit non seulement la sécurité de la propriété intellectuelle de votre entreprise (prix, recettes, formules...), mais aussi la protection de vos clients, fournisseurs et employés contre les atteintes aux données. Toutefois, de nouvelles réglementations en matière de protection des données, telles que le règlement général sur la protection des données (RGPD), font de la protection des données plus qu'une simple bonne pratique, c'est la loi.

 

Similaires au RGPD, différentes réglementations sont en place dans d’autres parties du monde.

Retour sur les amendes RGPD de 2020

Une chose est sûre, l'année 2020 a été stricte. L'Union européenne (UE) a publié environ 518,5 millions d'euros de sanctions suite à des atteintes envers la protection des données.

 

Un total de 272 millions d'euros d'amendes ont été infligées par les autorités européennes de protection des données depuis 2018. Les autorités qui se sont vu appliquer les amendes les plus élevées sont le GPDP (Italie) et le BfDI (Allemagne), qui représentent plus de la moitié de ces amendes.

Une affaire importante a été l'amende infligée par le UK Information Commissioner's office à British Airways pour une violation de données en 2018, qui a été ramenée de 183 millions de livres à 20 millions de livres en raison de la pandémie COVID-19 et de son impact dévastateur sur l'industrie aérienne. Elle reste néanmoins la 4e amende la plus élevée jamais enregistrée par le RGPD.

 

La plus grosse amende a été infligée en France. La CNIL (France) a infligé une sanction de 50 millions d'euros à Google, pour le manque de transparence sur la manière dont les données ont été collectées auprès des personnes concernées et utilisées pour le ciblage de la publicité.

SAP, cible de taille par les cyber hackers

Dans un rapport, SAP a indiqué que "77% des recettes mondiales de transactions touchent un système SAP". Cela fait de la protection des données au sein des systèmes SAP un sujet critique.

Pour répondre à ces défis de sécurité SAP, EPI-USE Labs a développé une série de solutions pour réduire les risques.

Options de confidentialité des données pour les systèmes de production

La Suite Data Privacy combine des solutions pour localiser et "redacter" les données personnelles identifiables (IP) dans tout votre paysage SAP afin de respecter les articles 15 et 17 du RGPD. De nombreuses organisations commencent par un nettoyage de masse des données afin de supprimer toute donnée pour laquelle elles n'ont plus de base légale.

Anonymisation dans les systèmes de non-production

L'accord de traitement des données de SAP stipule que "le client n'accordera pas à SAP l'accès aux systèmes des détenteurs de licence ou aux informations personnelles (du client ou d'un tiers) à moins que cet accès ne soit essentiel à l'exécution des services SAP. Le client ne doit pas stocker de données personnelles dans des environnements non productifs". Cela signifie que SAP n'assume aucune responsabilité si des données sensibles se retrouvent non protégées dans des systèmes non productifs.

 

EPI-USE Labs vous recommande d'utiliser Data Sync Manager pour copier uniquement les données dont vous avez besoin pour vos tests et pour anonymiser toutes les données sensibles avec Data Secure.

Suivi proactif des risques

Comme mentionné au début, les menaces externes et internes aux systèmes de piratage sont une réalité. Avoir une visibilité sur ce qui se passe dans l'ensemble de votre infrastructure IT peut vous aider à identifier les attaques au fur et à mesure qu'elles se produisent et à les arrêter grâce à l'IA intégrée. Splunk Enterprise Security est un leader sur le marché de la détection et de la résolution des menaces. EPI-USE Labs a développé un connecteur pour Splunk et SAP. EPI-USE Labs a une connaissance approfondie du modèle sémantique avancé de SAP qui alimente notre Suite SAP Landscape Optimisation bien établie pour les grandes entreprises.

Cenoti se repose sur la même technologie et s'intègre nativement dans Splunk Enterprise Security et son CIM.

 

En savoir plus sur Cenoti

Risque d'Accès et conformité

Un autre aspect important de la sécurité dans SAP est de ne donner accès aux données sensibles qu'aux personnes qui en ont besoin. SAP a mis en place des rôles et des autorisations. Leur gestion peut vite devenir une tâche gigantesque si vous voulez mettre en place une séparation des tâches pour empêcher les activités frauduleuses.

 

Crowe UK estime que la fraude représente 40 % de l'ensemble de la cybercriminalité au Royaume-Uni. Découvrez pourquoi la GRC Business-centric est la meilleure solution.

 

Pour en savoir plus sur la sécurité SAP, consultez le prochain Groupe d'Utilisateurs virtuel d'EPI-USE Labs.