Penser à l’avenir et ouvrir la voie à la sécurité produit

#Entretien avec Dr. Roger Gutbrod, Responsable SAP Security Research

  1. Quels sont les principes qui guident la stratégie SAP dans le domaine de la recherche en sécurité ?

Tout d’abord, je voudrais parler des ventes SAP et de la modification de nos arguments de vente. Dans le passé, SAP a convaincu nos clients avec des fonctionnalités matures et riches supportant la plupart des industries. Cela a radicalement changé. Et le Cloud Computing est un moteur majeur de ce changement. Si vous parlez aux vendeurs ou à toute personne impliquée dans une transaction commerciale, ils vous diront que la sécurité arrive en premier lieu dans les discussions. Nous devons d’abord convaincre nos clients que nos services de Cloud Computing sont sécurisés. Si nous échouons ici, ils ne regarderont pas du tout nos produits. Nous devons convaincre de la sécurité.

SAP doit apporter cette attitude à la production et à la livraison. La sécurité doit venir en premier dans le développement et les opérations de nos logiciels.

Mais les exigences de sécurité changent beaucoup. Chaque jour, il y a un nouveau vecteur d’attaque. L’équipe SAP Security Research a un principe et une mission fondamentaux : «En établissant des ponts entre le monde scientifique et le développement de produits, nous mettons en œuvre notre objectif: penser à l’avenir et ouvrir la voie à la sécurité des produits chez SAP».

 

  1. Quelles sont les activités de SAP dans la recherche sur la sécurité ?

Chaque année, nous nous rencontrons et discutons des priorités de notre stratégie. Nous avons actuellement identifié 8 domaines dans lesquels nous estimons que des recherches sont nécessaires pour garantir l’avenir de SAP et de nos clients :

  • Nous faisons des recherches sur les techniques d’anonymisation pour permettre l’analyse et le Machine Learning tout prenant en compte la confiance des clients en SAP.
  • Nous nous occupons à la fois de la sécurité dans l’Open Source et de la sécurité dans le processus de cycle de vie des logiciels.
  • Avec la recherche sur la Deceptive Technology, nous voulons activer les propriétés auto-défendables dans les produits SAP.
  • La cryptographie appliquée a toujours été le domaine le plus couvert dans la recherche sur toutes les conférences. Nous avons cela aussi dans notre stratégie.
  • Depuis deux ans, nous avons ajouté le Machine Learning pour la sécurité et la sécurisation par le Machine Learning afin de sécuriser notre Entreprise Intelligente.
  • Nous avons récemment ajouté deux autres sujets : l’Internet des Objets sécurisé, et
  • Avec Quantum Technology, nous avons un domaine de recherche ayant un impact à long terme pour SAP et tous les secteurs.

 

  1. Quelles sont les missions de l’équipe SAP Security Research ?

Sur toutes nos brochures officielles, vous trouverez un pont sur la couverture. Cela a une raison d’être, car notre mission est la suivante : « En établissant des ponts entre le monde scientifique et le développement de produits, nous mettons en œuvre notre objectif : penser à l’avenir et préparer la voie de la sécurité des produits chez SAP ».

Cela signifie que nous devons prendre en compte les deux aspects. Le côté scientifique, où nous découvrons de nouvelles menaces pour la sécurité et les technologies permettant de les prévenir. De l’autre côté, le développement de produits de SAP, que nous souhaitons permettre de sécuriser durablement.

 

  1. Comment l’équipe SAP Security Research identifie-t-elle les nouvelles tendances en matière de cybersécurité ? Comment décidez-vous des sujets à étudier ?

C’est une très bonne question. Nous avons bien sûr les conférences scientifiques qui nous donnent des informations sur les tendances en matière de cybersécurité. Nous organisons en outre des workshops annuels. Nous venons de terminer notre workshop 2019. Là nous passons en revue nos domaines de stratégie. Les experts en stratégie expliquent les tendances observées. Nous incluons également ce que nous appelons le « dépistage des tendances ». Les tendances technologiques, telles que fournies par Forrester, Gardner, IDX, Accenture et d’autres, sont discutées. Nous voulons voir ce qu’il y a dedans pour la sécurité.

En outre, nous organisons un séminaire annuel SAP Security Research auquel nous invitons les professeurs à discuter avec nous des tendances et des approches possibles. L’événement de cette année s’est déroulé à Mougins, avec Tim McKnight, CSO de SAP, en tant qu’invité spécial.

Cette année, notre workshop a été élargi pour répondre aux besoins supplémentaires de l’équipe globale SAP Security. Ils ont évalué des nouvelles tendances et nous ont demandé d’aider. Selon eux, une des approches importantes est la transformation de Cyber ​​Security Defense and Response en un périmètre plus large, comprenant le cyber-renseignement, appelé Cyber ​​Fusion Center.

 

  1. Au quotidien, comment l’équipe de SAP Security Research et l’organisation de développement collaborent-elles ?

Je ne parlerais pas de la collaboration avec les organisations de développement comme d’une affaire quotidienne. Notre approche consiste à créer un pont entre le monde universitaire et le développement de produits. Cela signifie que nous avons d’abord besoin de résultats de recherche raisonnables avant d’entrer en contact avec les responsables produits. Le transfert des résultats de la recherche peut prendre beaucoup de temps, et nous avons également besoin de capacités de développement supplémentaires pour réussir. Nous collaborons avec le SAP Innovation Center Network pour rendre ces transferts de résultats de recherche plus efficaces.

 

  1. Comment votre équipe s’assure-t-elle que le développement et le déploiement des produits SAP respectent les principes et processus de sécurité durables ?

Généralement, le cycle de vie du développement logiciel sécurisé n’est pas du ressort de SAP Security Research. Nous avons une équipe de sécurité produit, responsable d’une norme de sécurité produit – les directives de développement, et une équipe centrale d’opérations de sécurité, qui s’occupe des directives de sécurité pour le déploiement. Les deux équipes consultent également les équipes de SecDevOps.

Cela dit, il existe toutefois des résultats de recherche qui se retrouvent dans les deux normes. Un exemple est la modélisation des menaces, qui a initialement été étudiée par notre équipe et conçue comme un cycle de vie de développement sécurisé. De plus, nous avons inventé des outils pour automatiser le traitement sécurisé. VULAS pour la gestion des vulnérabilités en Open Source est un autre bon exemple.

 

  1. Comment SAP garantit-elle la meilleure sécurité possible pour ses produits ?

Comme mentionné, il s’agit d’un effort de collaboration avec l’équipe de sécurité du produit et l’équipe des opérations de sécurité. Notre responsabilité est de surveiller les nouvelles approches et les nouveaux vecteurs d’attaque et de trouver des solutions. SAP Security Research pense constamment à l’avenir et prépare de manière sécurisée le développement de produits en utilisant des sessions de partage d’informations et de formation. Nous informons régulièrement la communauté des experts de la sécurité via des discussions, fournissons des mises à jour sur les tendances et les solutions lors de sessions d’échange bimensuelles pour les experts sécurité de SAP. En outre, le d-kom annuel et le SAP Security Expert Summit sont alimentés par les contributions de SAP Security Research.

 

  1. Le workshop annuel de SAP Security Research vient de s’achever, quels sont les points à retenir ?

Cette année, nous avons eu un workshop vraiment extraordinaire et intensif. Tout d’abord, nous avons utilisé le concept de stratégie 7S de McKinsey pour examiner SAP Security Research et adapter les facteurs à notre stratégie. Deuxièmement, nous avons évalué les tendances technologiques fournies par Gardner, Forrester, IDC et d’autres afin d’évaluer les éventuels problèmes de sécurité. Troisièmement, nous avons revu notre propre stratégie. L’accent a été mis sur l’anonymisation et la crypto appliquée, où nous avons atteint une certaine maturité et discuté de la deuxième partie du pont, comment rendre les résultats disponibles pour les développements de produits SAP.

 

  1. Quelle est la tendance la plus importante à laquelle vous assistez en matière de cybersécurité ?

Je vois deux ou trois tendances à prendre en compte. L’une est le Machine Learning, partout ! Le Machine Learning lui-même fournit un nouveau vecteur d’attaque que nous devons sécuriser. De plus, le Machine Learning est utilisé par les attaquants et doit donc l’être par nous pour mieux défendre nos solutions.

Un exemple en est le processus d’incident, où le Machine Learning peut nous aider à automatiser le traitement et à identifier de nouveaux modèles d’attaque. Une transformation de Cyber ​​Security Defence and Response en Cyber Fusion Center incluant la cyber-intelligence est un autre exemple.

Deuxièmement, la Deceptive Technology une autre tendance. Les applications doivent être activées pour identifier les attaquants et se défendre. Avec Tainting et SunDew, nous avons déjà deux propositions dans notre portefeuille.

Troisièmement, toujours sous-estimé, nous avons les attaques via des logiciels Open Source ou tiers. Alors que nous développons encore nos processus open source chez SAP pour sécuriser l’utilisation de l’open source, la prochaine vague d’attaques a déjà commencé. Nous voyons que du code malveillant est injecté pour rendre la chaîne d’approvisionnement vulnérable.

Nous avons adapté notre stratégie pour faire face à ces nouvelles tendances.

 

  1. Quels sont les principaux défis auxquels le secteur de la cybersécurité est confronté aujourd’hui ?

L’un des principaux défis consiste à équilibrer les efforts pour concrétiser les opérations de cybersécurité actuelles visant à prévenir les attaques et à investir dans des inventions pour prévenir de nouvelles attaques, celles qui nous frapperont dans un proche avenir. Nous devons moderniser la gestion des incidents de sécurité pour gérer l’énorme quantité de données. Ce sont des téraoctets de données que nous devons analyser chaque jour pour identifier les attaquants. Environ 30 milliards d’événements de sécurité chaque mois apparaissent sur notre moniteur.

De l’autre côté, nous voyons de nouveaux vecteurs d’attaque, tels que le code malveillant fourni avec l’open source pour attaquer notre infrastructure de la chaîne d’approvisionnement. SAP Security Research aide avec le Machine Learning à automatiser les opérations en cours, tout en recherchant des solutions pour prévenir les nouveaux vecteurs d’attaque.

C’est déjà une lourde charge pour toutes les équipes de sécurité. La menace émanant de l’ingénierie sociale et du phishing est identifiée, mais pas suffisamment gérée par les entreprises. Nous devons intégrer de nouveaux experts, tels que des psychologues, à des experts en sécurité pour lutter contre ces attaques. Ceci est un champ complètement ouvert.

 

  1. Comment gérer l’intégration de logiciels open source tout en maintenant un niveau de sécurité élevé dans les produits SAP ?

C’est en effet un gros défi. SAP, comme d’autres entreprises, utilise au moins 80% d’open source. Nous devons gérer les vulnérabilités en open source. SAP Security Research propose l’outil VULAS, qui contient des composants de Machine Learning et l’a fourni en Open Source à la communauté des développeurs. En outre, nous avons entamé des recherches sur les nouveaux vecteurs d’attaque mentionnés ci-dessus. Empêcher les codes malveillants en Open Source de détourner notre infrastructure de production et de déploiement.

 

  1. Quel conseil donneriez-vous à quelqu’un qui souhaiterait rejoindre l’équipe SAP Security Research ?

Les chercheurs de SAP Security Research sont des experts dans au moins un domaine de la sécurité. Tous les experts en sécurité qui sont curieux des nouvelles menaces et technologies, qui souhaitent apprendre en permanence et qui ont de bonnes idées pour des solutions innovantes sont les bienvenus dans notre équipe.

 

Chaque année, l’équipe SAP Security Research organise un workshop réunissant l’ensemble de ses experts pour une revue des priorités. L’édition 2019 s’est tenue du 9 au 11 septembre avec pour objectifs de déterminer les axes majeurs de recherche pour 2020 et ainsi mettre à jour le rapport annuel public. Un atelier complétant parfaitement le séminaire Sécurité ayant eu lieu en juin avec des spécialistes du monde entier et en présence du Chef de la Sécurité de SAP Tim McKnight.