En début de semaine, j'ai passé une journée avec les clients de l'un de nos partenaires technologiques à l'occasion de la conférence de l'Union européenne. EPI-USE Labs à Sydney. David Powell, directeur général de la stratégie de sécurité informatique à la National Australia Bank (NAB), a notamment présenté l'importance de la sécurité informatique tant au niveau individuel qu'au niveau de l'entreprise.

La présentation a été à la fois fascinante et révélatrice, c'est le moins que l'on puisse dire.

Par exemple, David nous a dit qu'en dépit de tous leurs efforts d'éducation des clients, 4 000 clients de la NAB communiquent chaque mois leurs informations financières par le biais de courriels de phishing. Environ 1 courriel sur 3 500 étant porteur de logiciels malveillants, l'incidence des logiciels malveillants qui volent des informations personnelles sous nos yeux est inévitable de temps en temps.

En fait, David a indiqué que les logiciels malveillants devenaient si sophistiqués que la sécurité informatique des banques devait l'être tout autant. Un logiciel a été développé pour détecter la différence entre un vrai mouvement de souris humain et un mouvement produit par un logiciel. Il identifie alors la prise de contrôle du logiciel malveillant pour le client avant qu'il ne s'en aperçoive lui-même.

Un autre risque de sécurité est d'être dirigé vers le site de sa "supposée" banque. David a indiqué que la NAB identifie et ferme plus de 100 faux sites chaque mois. En fait, j'ai reçu ce matin même un message me demandant d'aller sur le site de ma propre banque pour "mettre à jour mes coordonnées" via une URL douteuse.

Du côté des entreprises, c'est là que les choses commencent à se gâter. En l'espace de 12 mois, les cyberattaques contre l'infrastructure informatique de la NAB sont passées de 7 millions à 12 millions par mois. Environ 1 500 d'entre elles atteignent la couche suivante. David s'est empressé de souligner que celles qui parviennent à passer sont identifiées et traitées très rapidement.

Et ce n'est pas tout : avec les millions de machines connectées que l'IdO met en ligne, les nouvelles sources et les nouveaux points d'entrée pour les cyberattaques se multiplient chaque jour. David a cité une récente attaque DNS émanant d'un climatiseur en Bulgarie !

La présentation de David a bien clôturé la journée.

Mais quel est le rapport avec le contrôle des modifications SAP ?

En réalité, il y en a beaucoup. Par exemple, la vérification de la vulnérabilité du code fait-elle partie de votre processus de contrôle des modifications ?

Qu'elle soit manuelle ou automatisée, la vérification de la vulnérabilité du code peut être appliquée dans le cadre de votre processus de contrôle des modifications SAP. Elle offre une plus grande assurance que l'infrastructure de votre propre organisation est moins susceptible d'être la proie d'escroqueries externes.

Grâce à l'intégration d'un logiciel de lecture de codes, tel que Virtual Forge CodeProfiler et la plate-forme d'automatisation du contrôle des changements de Rev-Trac, le nouveau code ABAP peut être automatiquement vérifié et approuvé comme étant "sûr" pour la signature avant que le nouveau code ne soit approuvé pour passer au QAS ou au PRD. Cette étape peut être imposée pour certains types de développement afin de garantir aux équipes que de telles vérifications ont été effectuées pour tout nouveau code.

Il y a donc deux choses à faire. Premièrement, envisagez la nécessité de vérifier la vulnérabilité du code dans le cadre de votre processus de développement du code. Deuxièmement, automatisez et appliquez les contrôles en combinant un logiciel de vérification du code et le logiciel d'automatisation du contrôle des changements Rev-Trac.

La vérification régulière de la vulnérabilité du code fait-elle partie de votre processus de contrôle des modifications ? Est-ce un sujet de discussion ? J'aimerais savoir ce que vous en pensez.