Protect4S - le Patch Day mensuel de SAP perd de sa frayeur

Les mesures de sécurité informatique sont indispensables pour protéger les systèmes SAP

Combien de fois avez-vous vérifié manuellement la validité de toutes les CVE dans votre environnement SAP lors du SAP Patch Day ? Les avez-vous vraiment toutes vérifiées ou vous êtes-vous arrêté, exaspéré, après les 5 ou 10 plus critiques ? Et ensuite télécharger manuellement tous les avis de SAP et les implémenter ? Et encore consigner tout cela et établir le rapport pour le management et le Security Officer ? 

En raison du manque de ressources humaines ou de savoir-faire, les systèmes SAP sont souvent négligés en matière de sécurité informatique. 

Les automatisations permettent d'identifier et d'évaluer les risques plus rapidement en surveillant et en analysant automatiquement les menaces potentielles. Elles facilitent également l'exécution des mesures de sécurité en dissociant la mise en œuvre des politiques et des processus des actions menées manuellement. L'identification plus rapide des risques et des menaces permet en outre de réduire le temps de réaction des équipes de sécurité informatique et donc de minimiser le risque d'une attaque réussie.

Gestion de la vulnérabilité et des correctifs

La technologie d'analyse brevetée scanne les systèmes connectés en quelques minutes et indique, sur la base d'une base de données de plus de 2000 points de contrôle, les failles de sécurité identifiées et les recommandations de bonnes pratiques en matière de sécurité. La base de données est complétée chaque mois par les dernières découvertes de SAP après le SAP Patch Day. 

La convivialité de la présentation du navigateur SAP, qui a fait ses preuves, aide toutes les personnes impliquées dans le processus dans leur travail et offre dès le début une sécurité familière dans l'utilisation de la solution. Les rôles et les autorisations permettent aux utilisateurs d'accéder à Protect4S en fonction de leurs tâches, de traiter et de documenter toutes les activités via Protect4S à l'aide des transactions SAP standard.

Protect4S est développé dans son propre espace de noms et certifié par SAP comme add-on officiel SAP. L'add-on est installé sur un SAP Solution Manager ou un système SAP Netweaver dans l'environnement système dans un mandant vide. Un système/serveur supplémentaire n'est pas nécessaire.

La gestion de la sécurité Protect4S s'effectue via une boucle de contrôle à trois niveaux.

Contrôler : Protect4S scanne tous les systèmes connectés en quelques minutes et évalue les failles de sécurité à l'aide d'un scoring.

Analyser : Pour chaque vulnérabilité identifiée, vous recevrez des informations supplémentaires ou des conseils appropriés de la part de SAP.

Corriger : Vous pouvez déclencher la gestion des correctifs directement depuis Protect4S. Protect4S se charge de télécharger les notes pertinentes et, si vous le souhaitez, de lancer l'implémentation. Selon la note, une assistance manuelle peut être nécessaire.

Détection des menaces et scanner de code

Le deuxième pilier de la sécurité SAP avec Protect4S est la détection permanente des menaces (Threat Detection). Protect4S analyse et détecte en temps réel les activités inhabituelles ou critiques dans les systèmes SAP. Le Code Scanner, troisième pilier, est en cours de développement - sa mise à disposition est prévue pour la fin de cette année. Les composants du logiciel peuvent être implémentés et licenciés ensemble ou indépendamment les uns des autres.

La connexion et l'intégration avec les solutions SIEM et ITSM sont déjà réalisées et seront étendues à d'autres fournisseurs.

ERP Security B.V, le fabricant de Protect4S

Les collaborateurs de Protect4S sont depuis de nombreuses années des experts reconnus dans le domaine de la détection des vulnérabilités des systèmes SAP. Dernièrement, Protect4S a attiré l'attention en annonçant plus de 100 nouvelles failles de sécurité SAP et fait désormais partie du top 3 des chercheurs en sécurité SAP sur le marché. L'entreprise néerlandaise s'appuie sur plus de 20 ans d'expérience de ses fondateurs dans le domaine de la sécurité SAP.

Conclusion

Avec l'augmentation rapide du nombre de cybermenaces et la surface d'attaque toujours plus grande créée par le cloud computing, l'Internet des objets et les appareils mobiles, les entreprises doivent plus que jamais automatiser leurs processus de renforcement de la sécurité informatique afin de protéger leurs systèmes et leurs données.

Les premiers scans effectués après l'introduction de Protect4S montrent que même les systèmes SAP supposés bien gérés présentent des failles de sécurité dans tous les domaines. En moyenne, ces "trouvailles" initiales se situent à un score CVSS (Common Vulnerability Scoring System) de 6,0.

Ces résultats montrent que la sécurité des installations SAP actuelles ne peut guère être garantie par un suivi manuel. Les solutions développées par Protect4S constituent une approche efficace pour renforcer la sécurité des systèmes SAP sans mobiliser des collaborateurs supplémentaires comme ressources. Les entreprises ont la possibilité d'identifier et de combler les failles de sécurité potentielles avant qu'elles ne puissent être exploitées par des attaquants.

L'automatisation des mesures de sécurité informatique est donc indispensable pour protéger les systèmes SAP contre la menace sans cesse croissante. 

En tant que fournisseur des solutions de Protect4S, TakeASP est le partenaire idéal pour les entreprises qui souhaitent exploiter leurs systèmes SAP en toute sécurité. Grâce à l'automatisation des processus et à des audits réguliers, TakeASP et Protect4S peuvent aider les entreprises à porter leur sécurité informatique à un niveau supérieur et à mieux se prémunir contre les menaces futures.