La réponse est nette : Absolument toutes les entreprises, grandes ou petites.
Ce n’est pas que pour les ETI et les Grands comptes
A l’inverse de ces précédents cas (FEC, DSN, facture électronique, Chorus, etc..), l’audit du système SAP n’est pas obligatoire. Cependant SAP demande à ses clients de fournir une analyse de conformité technique.
Ce qui peut être obligatoire :
Un précédent audit peut également vous demander de fournir des documents prouvant que des actions vont êtres mises en place afin de corriger les rôles actuels. Il est nécessaire de se préparer à toutes les problématiques d’un projet dans la mesure où il repose sur l’étude préalable de la stratégie informatique. Il permet d’éviter les problèmes ou au moins de mieux se préparer face aux risques. Il renforce ainsi la résilience informatique, dans l’objectif d’améliorer sa sécurité informatique.
De plus en plus de rapports sont rendus obligatoires par l’État, et ceci n’est qu’un début. A première vue, on peut voir cela comme une contrainte de temps et surtout d’argent. Cependant, si ces contraintes sont bien gérées, elles vous permettront tout l’inverse : un gain de temps et d’argent.
Aujourd’hui, « Cybersécurité » est le mot d’ordre. Et pour cause : plus il y a de données dans le système, plus il est primordial de les protéger. On ne compte plus les exemples de hacking, de phishing, de piratage de données, que ce soit pour les petites ou pour les grandes entreprises, que l’on parle de 20 ou de 100 000 employés. Et la tendance à l’aggravation de la cybercriminalité se confirme.
D’après le Baromètre de la cybersécurité en entreprise (CESIN 2022*) 54% des entreprises françaises ont été attaquées en 2022. 1 entreprise sur 2.
Avec l’arrivée du télétravail et sa démocratisation, beaucoup d’entreprises se disent préoccupées par les risques que pose le travail à distance. Selon une étude menée par Thalès, 82% des employeurs sont inquiets au sujet du télétravail dans le cadre de la sécurité.
Enfin, pour parler concrètement, il faut noter ce chiffre : 51 200€. C’est le coût médian d’une cyberattaque. Quand une entreprise se fait attaquer, il peut y avoir : Interruption du business , détérioration du matériel informatique, fuite de données nécessaire aux opérations, impact sur la notoriété, etc..
Une autre considération importante est que (selon le rapport IBM Cost of a Data Breach 2020) le coût moyen d’une violation de données résultant du travail à distance peut atteindre 135 000€.
La menace n’est pas simplement extérieure. Il ne suffit plus de barricader son système, de le rendre impénétrable aux sources extérieures. La plus grande menace est interne.
D’après une étude récente de IBM, l’erreur humaine est la cause principale de 95% des brèches de cybersécurité. Et les systèmes SAP ne sont pas exempts de tous ces risques.
Quel est donc le meilleur moyen de protéger son entreprise ? Non, nous ne parlons pas de remplacer les humains par des machines (pas encore..) mais bel et bien de faire une revue complète des rôles et autorisations des utilisateurs du système en interne.
Le coût mondial annuel de la cybercriminalité est estimé à 10,5 milliards de dollars d’ici 2025. Les coûts vont croître de 15% par an
71 % de toutes les cyberattaques sont motivées financièrement (suivi par le vol de propriété intellectuelle, puis l’espionnage)
Plus de 80 % des événements de cybersécurité impliquent des attaques de phishing.
Rapport entre phishing et notre solution ?
Exemple : Un employé se fait “phisher” par mail. Le cyberattacker prend le contrôle de son ordinateur, de ses comptes SAP. Si le compte de l’utilisateur a une faible matrice des rôles, le cyberattacker pourra facilement faire des commandes d’achat, et les attribuer sur un RIB tierce, avoir accès à des données sensibles, etc..
La meilleure des solutions reste à prévenir plutôt que de guérir, d’avoir un système propre, sans failles, qui ne laisse aucune chance à la perte de données et d’argent.
