GSM : Pouvez-vous nous présenter votre entreprise ?

Gerhard Unger : Onapsis a été fondée en 2009 lorsque nos experts (déjà spécialistes dans le domaine de la cybersécurité) ont commencé à commercialiser leurs services sur le marché. Nos experts bénéficient pour la plupart de plus de dix ans d’expérience pratique approfondie dans le domaine de la sécurité ERP. Nous sommes parmi les premiers à avoir mis en évidence les vulnérabilités des logiciels SAP. Notre offre répondait bien entendu à une demande existante du marché. Sur les trois dernières années, nous avons réalisé une croissance de plus de 100 % par an. Notre entreprise emploie actuellement plus de 100 personnes aux Etats-Unis, dans la zone EMOA et en Amérique latine (Argentine).

GSM : Quel est votre produit ou service phare pour 2015 ?

Gerhard Unger : Nous avons lancé à l’automne 2014 notre solution Onapsis Security Platform. Il s’agit d’une solution de sécurité qui est actualisée en permanence et évalue, protège et assure la défense des infrastructures SAP contre les cyberattaques. Notre solution protège les différentes couches transactionnelles SAP, qui jouent le rôle de runtime et gèrent tous les processus métiers et les informations commerciales de l’entreprise. Onapsis Security Platform cible principalement SAP Netweaver, mais également SAP HANA. Du fait que SAP HANA relie immédiatement les bases de données et les applications, il génère de nouveaux risques. Cette complexité peut être source de nombreuses mauvaises configurations, principale cause d’insécurité des solutions SAP. Étant donné qu’HANA est en passe de devenir la technologie sous-jacente de toutes les applications SAP, notamment SAP S/4HANA et SAP HANA Cloud Platform, et du fait qu’elle prend en charge un vaste écosystème d’applications mobiles tierces, la surface d’attaque s’étend de manière exponentielle, avec des impacts divers sur les activités commerciales.

GSM : À quels segments de clientèle vous adressez-vous ?

Gerhard Unger : Nous servons actuellement plus de 200 entreprises du Global 2000, et notamment des grandes noms de la grande distribution, des sociétés de services énergétiques et des fabricants. En protégeant la couche transactionnelle de tous les environnements SAP, nous protégeons les processus métiers et les informations commerciales critiques dans tous les domaines industriels qui utilisent SAP HANA, Netweaver ou d’autres couches transactionnelles comme runtime des solutions ERP, SCM, HR, BI ou financières sur SAP. Nos solutions sont donc utiles aux organisations financières et gouvernementales, aux industries touchant aux infrastructures critiques du segment pétrole et gaz, et aux entreprises de fabrication et de e-commerce.

GSM : Quels sont les points forts de votre offre ?

Gerhard Unger : Notre technologie et nos services brevetés combinent une évaluation automatisée avec une détection et un déclenchement en temps réel d’intervention face aux menaces. Onapsis offre aux équipes chargées de la sécurité et de l’audit à la fois visibilité, confiance et contrôle des menaces, des cyber-risques et des non conformités auxquels peuvent faire face les applications de leur entreprise. Notre service Onapsis Security Platform peut évaluer toutes les instances (même les infrastructures non productives, de test et de développement) en quelques minutes. Les informations contextuelles mettent en corrélation les vulnérabilités et les risques potentiels pour l’entreprise. Le chef de la sécurité informatique a ainsi une vue d’ensemble et peut établir individuellement la priorité des risques. La solution assure une surveillance permanente afin d’identifier les comportements anormaux des utilisateurs et détecter les vulnérabilités rendant les organisations plus susceptibles aux attaques. Le service de protection avancé (Advanced Threat Protection) offre en outre une protection contre les problèmes de sécurité liés au SAP pour lesquels nos clients n’ont reçu aucune note de SAP pour éliminer les risques.

Nos clients et les fournisseurs de logiciel peuvent compter sur nous. En tant que partenaire SAP certifié, nous n’avons de cesse de mettre en évidence toutes les vulnérabilités détectées de SAP de manière à ce que SAP puisse fournir un patch ou modifier les systèmes. Ainsi, il y a trois mois, Onapsis a informé SAP de vulnérabilités affectant SAP HANA. Nous informons actuellement l’industrie de manière à ce que nous puissions aider à protéger les systèmes les plus critiques avant qu’un patch ne puisse être fourni et installé.

GSM : Comment est organisé votre support technique en France et en Europe ?

Gerhard Unger : Nous accompagnons nos clients de plusieurs manières. Tout d’abord, nous fournissons des mises à jour mensuelles pour la plateforme Onapsis Security Platform et envoyons des bulletins d’informations par email pour informer nos clients des dernières modifications apportées au logiciel. Les Onapsis Research Labs fournissent chaque mois des informations à nos clients via des webcasts et des rencontres en face-à-face. Enfin, Onapsis bénéficie également d’une équipe de responsables de comptes qui jouent le rôle de « concierges » vis-à-vis de nos clients, afin de garantir la bonne mise en œuvre et l’optimisation de la solution Onapsis Security Platform.

GSM : Comment est organisé votre réseau commercial ?

Gerhard Unger : Onapsis collabore avec de nombreux partenaires de haut niveau. Nos solutions sont devenues la norme de-facto des grandes entreprises de conseil et d’audit telles qu’Accenture, Deloitte, E&Y, IBM, KPMG et PwC. Elles s’intègrent en outre avec différentes plateformes SIEM, GRC, de sécurité réseau et d’analyse de la sécurité.

GSM : Pour conclure quel serait votre message à votre clientèle ?

Gerhard Unger : Nous avons réalisé un nombre incalculable d’évaluations et savons quel impact les vulnérabilités des solutions SAP peuvent présenter pour les entreprises. Les résultats restent alarmants. Plus de 95 % des systèmes evalues par nous sont exposés à des attaques de type espionnage, sabotage ou fraude. L’espionnage est le fait de lire les informations concernant le personnel, les clients, les salaires, les factures, les plannings de production, les informations de propriété intellectuelle critiques de l’entreprise. Le sabotage peut se traduire par un refus de service ou même une demande d’arrêt du système. Les responsables de la sécurité informatique savent que l’arrêt de leur système peut entraîner une perte de 22 millions de dollars en une minute. La fraude est un acte visant à la remise de fausses factures à de faux fournisseurs et au paiement de ces factures. Généralement, les concepts de sécurité SAP tels que GRC ou la séparation des tâches ne suffisent pas à gérer les risques possibles que présentent une mauvaise configuration ou l’abus des droits d’accès des comptes par défauts.

La sécurité SAP est une affaire de confiance dans la couche transactionnelle. Pour l’obtenir, et pour permettre au responsable de la sécurité informatique d’assurer la sécurité dans ce domaine, de nouvelles solutions de sécurité ERP sont nécessaires. Avec la bonne solution, la sécurité SAP est possible.