Les entreprises qui utilisent le système SAP et les systèmes ERP sont parfois confrontées à des problèmes de sécurité des données. Les attaques peuvent provenir aussi bien de l’intérieur que de l’extérieur. Il importe donc que des mesures techniques et organisationnelles soient prises pour garantir une protection maximale des données.
Audit du système d’information
La première étape du processus de sécurisation des données personnelles consiste à auditer le système d’information pour identifier et analyser les failles possibles. Il s’agit dans un premier temps, d’inventorier les traitements des données personnelles, qu’ils soient automatisé ou pas, ainsi que les supports sur lesquels reposent ces informations. Les supports peuvent être matériels ou des logiciels (disques durs, clés USB, ordinateurs, système d’exploitation, etc.). Il peut aussi s’agir des canaux de communication comme le téléphone ou les mails.
Les risques liés à chaque traitement doivent être également analysés. Ceci, afin d’identifier les éventuelles conséquences que pourraient occasionner trois principaux évènements :
- Les accès non autorisés aux données
- La modification frauduleuse et malintentionnée des données
- La suppression ou la copie des données
Il faut ensuite identifier l’origine des risques (cybercriminalité, virus informatique, utilisateur, concurrence, etc.).
Par rapport aux données personnelles, l’audit permettra d’identifier les menaces et les écarter en conséquence. Plusieurs canaux sont souvent utilisés pour exécuter les menaces (erreurs de manipulation, abus de droits, logiciels piégés, logiciel malveillant, perte de disque dur ou de clé USB, etc.). L’accès aux données personnelles peut également se faire par des dispositifs de géolocalisation ou des actes de vandalisme.
Une fois tout ceci examiné, les mesures de sécurité déjà existantes doivent être répertoriées afin de les optimiser.
Les mesures de sécurité
Avant de mettre en place un dispositif de sécurité, des mesures élémentaires doivent être prises. Il s’agit de sensibiliser chaque utilisateur du système SAP sur les enjeux que représente la sécurité des données personnelles. Cette sensibilisation sera renforcée par une charte informatique imposée comme une réglementation du RGPD/GPDR.
Par ailleurs, le RGPD a mis en place un certain nombre de réglementations permettant de sécuriser les données sur SAP. Toutes les entreprises sont tenues de se conformer au RGPD. Pour renforcer les mesures de sécurité, les dispositions ci-après doivent être observées :
Identifier les usagers
Chaque usager doit également être authentifié à l’aide d’un identifiant unique et complexe. Cet identifiant permet à l’utilisateur de s’authentifier avant chaque utilisation du SAP. Les comptes partagés sont également à bannir du dispositif de sécurité.
Administrer les comptes
Il s’agit ici de tracer les profils d’utilisation à travers la séparation des taches et des responsabilités. Chaque utilisateur ne devra accéder qu’aux seules informations dont il a besoin pour son travail. Au moins une fois dans l’année, les habilitations devront être révisées afin de supprimer les comptes inactifs.
Régir les incidents
Mettre en place un système de traçabilité et de gestion des incidents qui enregistrera tous les évènements majeurs survenus dans une journée.
Sécuriser le matériel informatique
Tous les postes de travail et matériel mobile (téléphone, tablette, ordinateur portable, disques durs, etc.) doivent être sécurisés à l’aide d’identifiants uniques et de mots de passe. Pour protéger les pertes de données, un système de synchronisation ou de sauvegarde automatique doit être élaboré.
En outre, il y a le réseau informatique interne qui doit être protégé. Il en va de même pour les serveurs et les sites web de l’entreprise.