211service.com
La cybersécurité à l'ère de la transformation numérique
en partenariat avec SÈVE
Des technologies telles que l'analyse de données volumineuses, l'Internet des objets (IoT), la blockchain et l'informatique mobile réinventent la façon dont les entreprises gèrent tout, de la prise de décision au service client. L'automatisation de pratiquement tous les processus métier et la connectivité numérique croissante de l'ensemble de la chaîne de valeur créent de l'agilité, mais elles augmentent également considérablement les risques de cybersécurité et les niveaux de menace.
La clé pour faire face à ces risques et menaces consiste à intégrer la sécurité dans les applications, ainsi que dans les appareils interconnectés, dès le départ.
L'exécution de systèmes informatiques dans le cloud prend en charge la flexibilité organisationnelle. À cette fin, les entreprises déplacent de plus en plus les données et les fonctions commerciales (par exemple, les ressources humaines et les achats) entre le cloud et les systèmes hérités sur site.

Michael Golz, SVP et CIO Amériques SAP
Mais alors que les entreprises se lancent dans leur parcours de transformation numérique, elles doivent faire de la cybersécurité une priorité absolue, déclare Michael Golz, CIO, SAP Americas. Nous devons maintenir la confidentialité, l'intégrité et la disponibilité des données dans tous ces contextes : sur site, dans le cloud et dans des environnements hybrides, explique Golz.
La valeur et le volume des données n'ont jamais été aussi élevés, et les terminaux sont plus vulnérables que jamais. C'est particulièrement le cas avec l'IoT, qui en est encore à ses balbutiements. Alors que l'IoT s'étend à tout, des équipements industriels aux appareils grand public, les attaques augmentent non seulement en nombre, mais aussi en sophistication. Les appareils de nouvelle génération sont désormais déployés dans des environnements potentiellement vulnérables tels que les véhicules, les hôpitaux et les centrales énergétiques, augmentant considérablement les risques pour le bien-être humain. Les inquiétudes concernant le piratage de ces appareils, leur transformation en botnets et leur utilisation pour attaquer des ordinateurs et des organisations ciblés augmentent également.

Justin Somaini, CSO mondial, SAP
Toutes les vulnérabilités de la chaîne d'approvisionnement ont désormais un effet de traînée de poudre qui entraîne la perte de millions de dollars et la destruction de la confiance à l'impact, déclare Justin Somaini, CSO mondial, SAP. Avant, il fallait du temps pour exploiter ces faiblesses. De nos jours, c'est très rapide et les dégâts sont immédiats.
Avec des enjeux si importants, les responsables informatiques seniors, y compris les DSI et les CSO, doivent adopter une approche plus proactive pour sécuriser les données critiques. L'analyse médico-légale de ce qui s'est passé après une violation ne suffira pas à sauver des vies ou des carrières de niveau C.
Se concentrer à la fois sur les applications et les données
Les professionnels de la cybersécurité ont l'habitude de sécuriser l'accès à leurs réseaux et applications. Mais la transformation numérique conduit à une explosion des environnements connectés où la protection périmétrique ne suffit plus. Les attaquants et autres individus malveillants continueront de compromettre les liens faibles, ce qui se traduira par un accès approfondi aux réseaux, systèmes et données des entreprises.
Dans un monde numérique, le réseau d'entreprise classique et confiné n'existe plus. Pour cette raison, la sécurité doit être intégrée à toutes les applications en tant que première ligne de défense, explique Somaini. Pour atteindre ce niveau de sécurité, SAP privilégie l'approche de sécurité par défaut, dans laquelle les contrôles de sécurité intégrés d'une application sont, par défaut, définis sur les niveaux de protection les plus élevés. L'idée est d'intégrer la sécurité, plutôt que de demander aux utilisateurs de s'inscrire, dit-il. C'est l'une des caractéristiques d'être plus proactif dans la sécurisation des données : la protection est la posture par défaut.
Les applications dites d'auto-défense sont un autre exemple de sécurité proactive. Cette technique de protection active fournit aux applications des capacités avancées de contrôle d'accès, leur permettant de réagir aux modifications malveillantes du code source et au débogage lors de l'exécution. Le chiffrement de toutes les données en transit est un autre principe fondamental de la cybersécurité préventive, selon Somaini. SAP HANA, par exemple, propose des services de chiffrement pour les données au repos et en vol.
Parmi les facteurs les plus importants pour contrer les menaces internes figurent l'authentification à deux facteurs (qui vérifie l'identité d'un utilisateur via deux méthodes différentes) et les contrôles d'accès basés sur les rôles (qui limitent l'accès de l'utilisateur aux données par fonction), explique Golz. La menace interne est bien réelle. Il y a beaucoup de violations de données aujourd'hui par des personnes qui ont une autorisation légitime trop large. Ils peuvent voir plus que ce à quoi ils ont droit. L'authentification à deux facteurs augmente considérablement la sécurité des communications.
Rapprocher deux mondes
Les enjeux de cybersécurité soulevés par la transformation numérique imposent une meilleure compréhension entre les professionnels de la cybersécurité de l’organisation et ceux qui assurent la sécurité des applications. Traditionnellement, ces groupes ne parlent pas la même langue et ne comprennent pas ce que fait l'autre côté, dit Golz.
Aujourd'hui, la responsabilité de la cybersécurité est généralement partagée entre l'équipe d'application, qui a tendance à se concentrer sur le renforcement et la sécurisation des applications d'entreprise, et les professionnels de la cybersécurité, qui gèrent des aspects tels que les contrôles d'accès et les pare-feu. Ce sont des rôles différents, et ils utilisent des technologies et des termes différents, dit Golz. À l'avenir, alors que l'accent passera de la sécurité traditionnelle du périmètre du réseau à la sécurisation des données d'application, ces deux mondes doivent unir leurs forces pour éviter que les problèmes ne passent entre les mailles du filet, ajoute-t-il.
La transformation numérique rend essentiel que les équipes de cybersécurité et informatiques trouvent une compréhension commune, une terminologie partagée et une approche unifiée de la sécurisation des applications et des données. Les systèmes sont ouverts d'une manière qu'ils n'étaient pas auparavant, explique Golz. Il y a une connectivité plus directe avec les fournisseurs, les partenaires, les clients et les consommateurs. Il existe des liens plus étroits entre la présence Web d'une entreprise et les systèmes dorsaux. Les flux de processus transparents signifient que plus de choses peuvent mal tourner.
Lorsqu'il s'agit de transformer numériquement les activités d'une entreprise, la cybersécurité doit faire partie de cette conversation dès le départ. Par exemple, de nombreuses entreprises vendent désormais des logiciels avec leurs produits. Par exemple, un grand fournisseur industriel tel que GE fournit aujourd'hui non seulement l'équipement utilisé dans les environnements de production, mais également des services de surveillance et de maintenance par abonnement pour s'assurer que l'équipement ne subit pas de panne imprévue. Cela signifie que tous les défis et exigences auxquels une entreprise de logiciels est confrontée s'appliquent désormais à vous. La façon dont vous protégez les données est primordiale. C'est tout un ensemble de nouveaux défis, dit Golz.
En tant que l'un des principaux fournisseurs d'applications critiques pour l'entreprise, SAP continuera d'intégrer la sécurité au cœur de ses applications et de sécuriser les opérations cloud pour protéger le contenu et les transactions, a déclaré Golz. Nous travaillons pour aider les clients à définir, planifier et exécuter des mesures pour leur transformation numérique sécurisée.
Pour plus d'informations sur SAP, la transformation numérique et la sécurité, veuillez visiter www.sap.com , incluant le page spécifique à la sécurité .
