Information et éducation par et pour la communauté SAP
Gestion informatique, MAG 17-04

Accès limité pour les tuteurs de base

Si l'on veut protéger ses données SAP contre les abus, il faut également limiter les droits d'accès des administrateurs de base SAP. Des tests de sécurité effectués chez des clients révèlent de graves faiblesses dans ce domaine.
Thomas Kastner, Virtual Forge
19 avril 2017
Contenu :
Accès limité pour les tuteurs de base
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Avec DBACockpit et DB02, les collaborateurs de la base SAP disposent de deux transactions centrales qui leur permettent de surveiller, de contrôler, de configurer et de gérer les bases de données SAP.

De nombreuses fonctions de base peuvent être exécutées par ce biais, par exemple la vérification de l'état du système et des modes de fonctionnement, l'extension des tableaux ou la gestion et la mise à jour des index des tableaux.

En outre, les deux transactions contiennent le SQL Command Editor, qui permet d'accéder directement aux tables fonctionnelles via des commandes dites Open-SQL.

Les utilisateurs peuvent ainsi accéder à des informations critiques pour l'entreprise, telles que les données du personnel et de la comptabilité financière ou encore les hashs de mots de passe.

Consulter d'urgence les correctifs de sécurité pour SQL Command Editor

SAP a livré de nombreux patchs de sécurité pour le SQL Command Editor. Ces patchs de sécurité doivent impérativement être respectés et appliqués.

Pour réguler l'accès aux données SAP, SAP a également livré une nouvelle autorisation (S_TABU_SQL). Les entreprises peuvent ainsi déterminer quels collaborateurs ont le droit d'accéder à quelles données SAP. Kastner

De plus, une fonction de suivi a été implémentée dans l'éditeur de commandes SQL, grâce à laquelle chaque commande - autorisée ou non - est automatiquement enregistrée.

Si ces données de log sont en outre transférées dans un système SIEM (Security Information and Event Management), comme SAP Enterprise Threat Detection (ETD), et y sont analysées, les entreprises obtiennent une transparence sur tous les accès qui ont eu lieu.

Les abus éventuels peuvent ainsi être contrés en temps réel grâce au monitoring et aux alertes. Bien qu'il soit également nécessaire, pour des raisons de protection des données et de conformité, de limiter l'accès aux collaborateurs de l'administration de base SAP, la réalité est souvent différente.

Ainsi, les tests de sécurité SAP effectués dans des entreprises de toutes tailles et de tous secteurs identifient régulièrement des failles non corrigées dans la fonction d'éditeur de commandes SQL de DBACOCKPIT et DB02.

Les responsables de la base SAP ont donc de larges possibilités d'accéder aux données SAP sensibles.

Reprise complète envisageable

Pour illustrer les dommages consécutifs possibles, les experts en tests d'intrusion SAP de Virtual Forge ont commencé par lire la table USR02, qui contient les mots de passe des utilisateurs, dans un système client sélectionné.

Après avoir réussi à craquer les mots de passe cryptés à l'aide d'un outil de craquage de mots de passe, les testeurs ont pu se connecter sans problème au système SAP et accéder aux mêmes fonctions que celles auxquelles les utilisateurs individuels avaient droit.

Les tests ont montré que des attaques malveillantes auraient pu aller jusqu'à la compromission complète d'un système SAP.

Il est donc impératif pour toute entreprise utilisatrice de SAP de mettre régulièrement à jour les notes de sécurité, notamment pour le SQL Command Editor.

En outre, il convient d'effectuer des mises à niveau au moins une fois par an et d'installer les derniers Support Packages, avec lesquels SAP fournit à ses clients des corrections d'erreurs et des adaptations de logiciels prescrites par la loi.

Un conseil externe est recommandé

Comme la plupart des entreprises ne disposent pas d'experts en sécurité SAP, il est préférable de faire appel à des prestataires de services externes pour l'application régulière des correctifs de sécurité.

Il est indispensable que le partenaire de conseil apporte le savoir-faire nécessaire en matière de sécurité et de SAP, notamment une expérience dans la mise en œuvre de correctifs, une compréhension des différentes versions de SAP et des procédures de mise à niveau, ainsi que des connaissances dans le domaine de la détection des menaces ("threat detection") et de la prévention.

Doté de ces compétences, le fournisseur de sécurité SAP peut aider le client à évaluer la criticité des patchs de sécurité. En outre, le client reçoit des conseils sur le choix des tests nécessaires pour éviter que des erreurs de programme et d'application ne se produisent lors de l'application des correctifs.

Comme la vérification sélective rend superflus les tests de régression coûteux sur l'ensemble du système SAP, le client économise ainsi beaucoup de temps et d'argent.

Utiliser des outils en complément

Dans le domaine de la prévention, il est également possible d'utiliser des outils spéciaux pour détecter et corriger les erreurs dans la configuration personnalisée du système SAP.

Le Virtual Forge SystemProfiler (alternativement : avec) permet d'identifier tous les utilisateurs disposant d'autorisations étendues pour exécuter l'éditeur de commandes SQL (DB02, DBACOCKPIT) et les autorisations de tables associées (S_TABU_SQL).

Si un client a connecté ses systèmes SAP à SAP Solution Manager, de tels outils permettent d'identifier automatiquement les failles de sécurité et les points faibles.

Par exemple, il est également possible de vérifier régulièrement, pour tous les systèmes SAP, si tous les patchs de sécurité nécessaires ont été appliqués et s'ils éliminent complètement les failles de sécurité de SQL Command Editor.

https://e3mag.com/partners/virtual-forge-gmbh/

avatar
Thomas Kastner, Virtual Forge

Thomas Kastner est directeur général et propriétaire de Virtual Forge


Tous les articles de l'auteur

Écrire un commentaire

Conseiller intelligemment, grâce à l'archivage hybride

SAP FUE pour les agents IA

SAP Clean Core 2016

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.