La sécurité du service cloud de la SAP a rencontré plusieurs refontes au fil des années. Résultat, l’éditeur a choisi une solution qui serait plus rentable et adaptative en fonction de la taille de chaque organisation. La SAP est passée au « cloud native », une solution pertinente pour l’activité croissante de l’éditeur.
SAP a effectué plusieurs réformes sur son cloud dans le cadre de sa transformation digitale durant les cinq dernières années. Plusieurs difficultés et échecs ont été rencontrés dans la sécurisation de ses services de gestion de fichiers en ligne.
Mais, une approche pédagogique a été adoptée par le conseiller stratégique de la société lors d’un partage d’expérience. Trois exigences autres que la garantie sécuritaire de la solution cloud sont alors désignées. Ces qualités impératives de l’outil proposé étant le caractère abordable, évolutif et déployable de celui-ci. Pour répondre à tous ces besoins, la SAP décide de migrer vers les solutions de cloud native.
Outils de sécurité obsolètes
Pour un expert en cybercriminalité en portage salarial, les failles rencontrées par les solutions de sécurité de l’éditeur SAP seraient difficiles à expliquer aux entreprises clientes. En effet, la sécurité des services de SAP a été touchée par plusieurs manquements. Toutefois, l’organisation visualise ces échecs comme des leçons. Le conseiller stratégique du RSSI de la SAP a trouvé les facteurs de l’instabilité de la sécurité du cloud de l’organisation.
Selon ce conseiller, la sécurité du cloud devient obsolète suite à sa saturation :
« en l’absence d’une surveillance et d’une détection adaptées au cloud, vous vous rendez vulnérable aux menaces courantes que les outils existants ne peuvent pas détecter. Les solutions de sécurité existantes peuvent donner un faux sentiment de protection tout en manquant de visibilité sur les évènements liés au cloud et les mauvaises configurations de l’infrastructure. […) »
Pour Jay Thoden Van Velzen, le conseiller stratégique, les outils disponibles sur le marché ne peuvent pas cerner plusieurs failles du cloud. On retrouve par exemple une configuration de l’infrastructure de mauvaise qualité, un bucket de stockage ouvert ou un snapshot qui est rendu public suite à une fausse manipulation. Ces points ont des conséquences sur la sécurité informatique de l’organisation, surtout si cela concerne une fuite de coordonnées ou des pièces d’identification.
En comprenant ces points, Jay Thoden Van Velzen propose les solutions legacy qui se reposeront sur des agents dédiés à la sécurité informatique et le réseau de l’organisation. De plus, les comptes cloud sont revus de sorte à créer une isolation de l’instance pour que les ressources des autres cloud en soient indépendantes. Concrètement, les datacenters et les réseaux d’entreprise sont juste de grands réseaux ouverts, ce qui ne facilite pas leur surveillance.
Migration vers le cloud native
Selon l’expert de la SAP, la migration vers le cloud native a un avantage économique. Les outils de sécurité présents dans le cloud native se servent de l’API des fournisseurs du cloud, ce qui modifie la logique des coûts. La solution est même vendue et présentée comme ayant un coût divisé par cinq, comparativement à une alternative endpoint axée sur un agent. La sécurité via cloud native devient plus avantageuse lorsque l’activité s’agrandit avec une hausse du nombre d’hôtes de conteneurs et de VM. La SAP a d’ailleurs adopté cette solution, puisque l’organisation prend en compte 30 000 VM par jour.
Pour 2024, l’éditeur va basculer sur une plateforme de protection des applications cloud native CNAPP. Une solution qui ne nécessite pas la mobilisation d’un agent pour surveiller l’infrastructure cloud native et les services compris dans celle-ci. Cette initiative est plus sécurisée, car elle est déployée par les fournisseurs de cloud, de sorte que les cybercriminels seront dans l’incapacité de la contourner. C’est donc une solution qu’un expert IT en portage salarial devrait noter pour ses futures missions en entreprise.
