Information et éducation par et pour la communauté SAP
Gestion des affaires, MAG 16-12

Le piratage éthique dans SAP

La numérisation rend les infrastructures critiques vulnérables. Un moyen de vérifier le niveau de sécurité est de faire réaliser des analyses de sécurité par ce que l'on appelle des "ethical hackers". Avec l'aide de professionnels, les failles de sécurité sont identifiées à temps, avant que des pirates "réels" ne causent de réels dommages.
Christian Bruns, BTC
25 novembre 2016
Contenu :
Piratage éthique sur le bleu
avatar
Ce texte a été automatiquement traduit en français de l'allemand

L'inaccessibilité temporaire des sites web de services en ligne populaires tels que Twitter, Spotify, Reddit ou Paypal en octobre, le vol récemment révélé de 500 millions d'enregistrements de clients chez Yahoo 2014, les cyber-attaques répétées sur les sites web de la Chancellerie fédérale et du Bundestag - les nouvelles sur les incidents qui indiquent la vulnérabilité de notre monde numérisé abondent.

Plus que jamais, les entreprises sont donc appelées, par intérêt personnel mais aussi par le législateur, à IT-de communication et de commandeInfrastructures de leur organisation.

Il y a deux ans, un test d'auto-évaluation réalisé par la police d'Ettlingen a montré à quel point les risques potentiels sont parfois élevés. Services municipaux.

En l'espace de deux jours, un entrepreneur mandaté a réussi à IT-experts de s'insérer dans le réseau des Services municipaux de "pirater" et de prendre le contrôle de la salle de contrôle.

L'"ethical hacking", comme on appelle aussi la méthode de travail de l'expert d'Ettlingen, est considéré comme un moyen éprouvé de se faire une idée de l'efficacité de ses propres mesures techniques et organisationnelles en matière de sécurité.

Dans les contrôles de sécurité de BTC, par exemple, les experts techniques, qui ont été désignés "Ethical" par le Conseil européen, apportent leur aide. Pirate informatique", le potentiel de risque de IT-Les utilisateurs ont la possibilité d'évaluer la qualité des environnements de travail.

Pour ce faire, la procédure et les Technique criminel Pirate informatique afin de détecter les failles de sécurité dans les domaines critiques avant qu'elles ne soient effectivement exploitées par des attaques malveillantes.

SAP : la complexité crée des surfaces d'attaque

L'analyse des résultats des contrôles de sécurité effectués par BTC dans les entreprises montre à cet égard que ce sont souvent de petites faiblesses techniques et organisationnelles qui Hackers faciliter la vie - ou plus exactement le travail.

Parmi les insuffisances fréquemment rencontrées, on trouve par exemple le fait que les rôles et les responsabilités des processus et des systèmes ne sont pas proprement définis du point de vue de la sécurité et qu'aucune responsabilité centrale n'est institutionnalisée.

Ainsi, dans les environnements SAP, les systèmes de production critiques pour l'entreprise sont souvent exploités avec des applications bureautiques moins critiques dans une section commune du réseau.Christian-Bruns-BTC-Technology

Un thème récurrent Mots de passe. Les tests d'intrusion montrent que les systèmes SAP sont encore trop faciles à utiliser dans le cadre de tâches de développement ou d'assurance qualité. Mots de passe et/ou les comptes ne sont utilisés qu'avec des données d'accès prédéfinies (credentials).

Les autorisations et les identifiants de groupe attribués une fois pour toutes, qui ne sont pas supprimés ou modifiés en cas de changement de poste ou de tâche, représentent en outre une menace récurrente.

Cela peut avoir pour conséquence (pas si) amusante que les apprentis ou les stagiaires qui passent par différents départements sont les plus nombreux. Droits d'accès posséder.

La complexité croissante, notamment dans les applications SAPInfrastructuresLa vulnérabilité est encore accrue par des configurations négligentes, par exemple par l'absence de correctifs ou de mises à jour pour les logiciels de sécurité. Systèmes d'exploitation, WebServeurbases de données et/ou SAPLogiciel.

Quelle ténacité même pour des Erreur à ce niveau, comme le montre Invoker Serlet. Une faille de sécurité du composant du système Java-Serveur dans SAP NetWeaver a incité, en mai dernier, la US-CERT-(United States Computer Emergency Readiness Team), a lancé pour la première fois une alerte officielle concernant les logiciels SAP.Logiciel de s'exprimer.

Il s'agit d'un problème connu depuis six ans qui, bien qu'un correctif soit disponible depuis longtemps, n'a pas encore été identifié. Infrastructures d'au moins 36 organisations dans le monde.

Des configurations déficientes, des structures de réseau insuffisamment protégées ou une gestion des comptes trop simple facilitent le travail des pirates.

Dans le cas des services municipaux d'Ettlingen, par exemple, c'est un port réseau ouvert dans la maison d'hôtes que l'Ethical Pirate informatique a utilisé.

Combiné à un peu d'ingénierie sociale et à l'analyse des modèles de communication sur le réseau, cela a suffi pour ouvrir finalement la porte de la salle de contrôle.

Pour éviter d'en arriver là, chaque entreprise a intérêt à effectuer régulièrement des analyses et des tests manuels et automatisés avec le soutien d'Ethical Hackers à effectuer.

De cette manière, il est possible d'identifier les points faibles potentiels de la structure et de la configuration du paysage SAP dans tous les domaines de l'architecture et de prendre des mesures préventives avec des moyens techniques ou organisationnels appropriés.

https://e3mag.com/partners/btc-business-technology-consulting-ag/

avatar
Christian Bruns, BTC

Christian Bruns est responsable de la sécurité de l'information chez BTC


Tous les articles de l'auteur

Écrire un commentaire

Procédure de l'UE sur les politiques de maintenance SAP On-Premise

Les utilisateurs sont différents

450 milliards par des agents IA et humains

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.