La voie de la cyber-résilience SAP

Il manque une résilience suffisante

Trop souvent, des cyberattaques réussies sur l'infrastructure informatique et les applications SAP ont montré dans un passé récent qu'il manquait une résilience suffisante. C'est la raison pour laquelle les organisations informatiques examinent de plus en plus leurs processus habituels sous l'angle de l'efficacité et des aspects économiques.

Le problème est que le paysage des menaces évolue constamment. Les criminels développent sans cesse de nouvelles méthodes d'exploitation ou découvrent des points faibles jusqu'alors inconnus. Cela est possible parce que les paramètres du système SAP lui-même changent en permanence. Pour établir la cyber-résilience SAP, il faut donc développer des procédures qui détectent tout changement dans l'état des menaces et de la sécurité, analysent leur impact sur la sécurité et permettent des mises à niveau immédiates. 

Dans le domaine SAP, les contrôles occasionnels effectués dans le cadre d'audits de sécurité informatique sont volontiers l'occasion d'adapter le durcissement des systèmes SAP et de remettre en question l'architecture de sécurité fondamentale. Toutefois, une évaluation unique ne contribuera guère à la résolution durable des problèmes. Au plus tard lors de l'audit suivant, on constate que de nouvelles vulnérabilités ou de nouveaux problèmes sont apparus.

Une gestion active des mesures de sécurité pour les applications SAP est donc nécessaire.
Pour ce faire, l'environnement informatique et la configuration des systèmes SAP doivent être régulièrement validés et la gestion des utilisateurs ainsi que les attributions de droits doivent être évaluées. Les écarts constatés par rapport à la ligne de base de sécurité définie peuvent alors être immédiatement transformés en réaction adéquate. Le premier pas vers la cyber-résilience SAP est fait.

Une gestion de la sécurité et de la conformité d'une plateforme de sécurité SAP aide à définir des politiques de sécurité pour tous les paramètres pertinents du système SAP, les autorisations critiques et les listes de contrôle d'accès (ACL). En même temps, elle vérifie si la configuration est conforme à la norme.

Mais il manque encore un élément essentiel - si l'on veut mettre en place un programme de surveillance de la sécurité efficace pour détecter les cyberattaques, il faut suivre toutes les transactions effectuées dans l'application SAP. Un exemple pratique illustre pourquoi des contrôles réguliers et une surveillance en temps réel sont si importants : L'attaquant utilise une faille de sécurité non corrigée dans le système de gestion des transports SAP (STMS) pour mettre un compte auquel il a accès en mode God (par exemple SAP_ALL). Dès que le transport malveillant est importé et que les informations d'identification sont actives, il obtient l'accès et ouvre la modifiabilité du système. L'attaquant crée alors une persistance en modifiant certains paramètres du système qui peuvent être configurés de manière dynamique, et ce sans laisser d'entrées correspondantes dans le journal !

Si les systèmes attaqués avaient été immunisés contre les cyberattaques SAP, une telle attaque n'aurait pas pu avoir lieu sous cette forme. En effet, la faille de sécurité de SAP STMS, qui a été corrigée en octobre 2021, aurait alors déjà été patchée. Même si l'attaquant avait pu exploiter la faille, la plateforme de sécurité aurait détecté l'attribution non autorisée de droits d'administration comme une anomalie dans le monitoring en temps réel et, si elle était activée, l'aurait supprimée par une règle automatique. 

Toutefois, si les criminels ont réussi à infiltrer le système et même à désactiver des protocoles de sécurité pertinents, la situation pourrait devenir difficile. Ils pourraient avoir installé une "porte dérobée" pour obtenir la persistance, c'est-à-dire créer une possibilité de revenir ultérieurement. Mais même si un attaquant a réussi à trouver et à éliminer une faille, une analyse régulière des vulnérabilités augmente la probabilité de tester les paramètres de sécurité et la base de code personnalisée. La cyber-résilience SAP protège donc également contre les attaques par porte dérobée.