Trois questions à poser à votre fournisseur de cloud sur la sécurité pour votre environnement SAP

Trois questions à poser à votre fournisseur de cloud sur la sécurité pour votre environnement SAP

À mesure que les entreprises deviennent de plus en plus interconnectées et que les informations sensibles sont partagées dans le monde entier, la protection des données critiques est devenue plus complexe que jamais. Il y a plusieurs années, la plupart des attaques informatiques ciblaient le système d’exploitation. Aujourd’hui, de nouveaux types de menaces utilisent des logiciels malveillants qui ciblent vos données les plus précieuses en attaquant tout, depuis l’infrastructure jusqu’à la couche d’application.

En ce qui concerne la protection des données critiques, SAP a pris des mesures importantes pour assurer la sécurité de son logiciel. Mais comme les attaques modernes peuvent menacer l’ensemble de la pile technologique, un fournisseur de cloud doté d’une stratégie de sécurité réellement robuste pourrait avoir besoin d’une approche plus holistique prenant en compte non seulement la couche SAP et le système d’exploitation. Si vous envisagez les avantages du déploiement de ces informations critiques dans le cloud, voici trois questions à poser aux fournisseurs de cloud potentiels concernant la protection de vos données SAP:

1. Quelle est votre stratégie de sécurité?

Il est clair que vous voulez un fournisseur de cloud qui offre des produits de sécurité intégrés et un personnel hautement qualifié qui utilise des pratiques de codage sécurisées. Le fournisseur doit également vous aider à identifier les informations dont votre solution de gestion des événements de sécurité et de gestion de l’information (SIM) a besoin pour fournir le meilleur aperçu de votre paysage informatique.

Assurez-vous de comprendre quels éléments sont critiques dans votre environnement. Cela peut inclure des périphériques aux limites du réseau tels que des routeurs et des pare-feu ainsi que des dispositifs multifonctions pour la prévention des intrusions, des serveurs et des machines virtuelles. Les informations provenant de ces systèmes doivent être efficacement agrégées et analysées pour vous permettre de mieux comprendre vos failles de sécurité et être utilisées pour éviter les violations.

2. Si une infraction se produit, comment allez-vous répondre?

Le bon fournisseur devrait avoir une stratégie claire pour répondre aux incidents de sécurité. Le fournisseur doit travailler en étroite collaboration avec vous pour établir un plan d’intervention en cas d’incident ou vous diriger vers des services pouvant répondre à ce besoin. Cela devrait inclure des caractéristiques telles que les contacts clés d’urgence, les rôles et responsabilités clairs, les exercices simulés réguliers pour tester le plan, les procédures de collecte des données médico-légales, les honoraires pour les services d’incidents et de médecine légale et les instructions pour engager ces services.

Assurez-vous de savoir comment votre fournisseur de cloud réagit aux incidents de sécurité. Bien que certains fournisseurs de services cloud puissent ne pas fournir de services de réponse aux incidents, vous pouvez être en mesure d’acquérir ces services auprès d’un tiers, y compris un fournisseur de cloud différent.

3. Quelles sont vos certifications de sécurité?

L’analyse continue du paysage des menaces permet de détecter rapidement les écarts de sécurité et de vous permettre, ainsi qu’à votre fournisseur, de préparer des contre-mesures aux violations potentielles.

Pour évaluer la capacité du fournisseur de services à détecter et à prévenir les violations, demandez s’il détient des certifications clés telles que ISO 27001. Insistez sur les audits annuels sous la forme d’évaluations SSAE-18 SOC 1 et SOC 2. Vous pouvez également rechercher un fournisseur qui prend en charge les principales normes réglementaires telles que PCI-DSS, HIPAA et FFIEC.

Pour en savoir plus sur la façon dont IBM Cloud intègre les produits de sécurité pour détecter, traiter et prévenir les violations, planifiez une consultation avec un expert AGILLY. Contactez-nous à info@agilly.net

Simplifiez la transformation informatique avec le stockage en cloud privé en tant que service Intelligent Code Analytics: augmentation de la couverture des tests de sécurité des applications grâce à l'informatique cognitive