Information et éducation par et pour la communauté SAP
Gestion informatique, Mag 23-05

Laisser les hackers se heurter à un mur

Les lignes de production sont des éléments indispensables des chaînes d'approvisionnement complexes. Si elles sont perturbées, l'existence des entreprises concernées peut être mise en péril. Que peuvent faire les entreprises pour que les pirates informatiques "se heurtent au mur" chez OT ?
Andreas Nolte, Arvato Systems GmbH
7 juin 2023
Contenu :
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Lorsque les cybercriminels attaquent les systèmes SAP ou la technologie opérationnelle (OT)

En tant que backbone omniprésent, SAP est souvent nécessaire au bon déroulement des affaires. Il en va de même pour la technologie d'exploitation. Il est donc dans l'intérêt des entreprises de protéger au mieux leur environnement SAP et OT. Mais dans la pratique, des failles apparaissent généralement. En mai 2021, des pirates informatiques ont attaqué des pipelines Colonial en tant qu'infrastructure critique aux États-Unis. Suite à cette attaque par ransomware, l'approvisionnement en essence a été limité dans certains États. A peu près au même moment, une autre attaque avait été signalée en Floride. Les pirates ont utilisé une faille RDP (Remote Desktop Protocol) sur un appareil Windows pour s'introduire dans les systèmes d'une station d'épuration afin de les manipuler. Les attaques prennent rapidement une nouvelle dimension, en particulier dans le domaine des services publics : Les ransomwares OT ne se contentent pas d'exfiltrer et de crypter les données, ils peuvent prendre le contrôle de systèmes critiques. Bien entendu, les entreprises sont conscientes du danger permanent. C'est pourquoi elles s'occupent de cybersécurité et font généralement appel aux groupes d'experts suivants.

Managers et nerds

Les responsables de la conformité veillent à ce que les entreprises respectent les directives en matière de sécurité, telles que celles de l'Office fédéral allemand de la sécurité des technologies de l'information (BSI), et les normes internationales telles que la norme ISO/IEC 27001 ; les experts en sécurité sont chargés de sécuriser efficacement les solutions informatiques basées sur le cloud à l'ère du big data et de l'intelligence artificielle ; et les hackers nerds connaissent les dernières techniques d'attaque et pensent donc un peu plus loin en matière de sécurité.

Mais cette triple approche est souvent insuffisante. En effet, il ne suffit pas que des groupes d'experts se penchent sur le thème de la cybersécurité à un niveau plutôt théorique, indépendamment de tous les autres processus et équipes de l'entreprise. Il s'agit plutôt de savoir comment sécuriser efficacement ses propres activités. Pour atteindre cet objectif, les entreprises doivent considérer la sécurité SAP et OT comme un processus commercial impliquant tous les groupes de personnes concernés au sein de l'entreprise. Ce n'est qu'ainsi que des mesures pratiques appropriées - telles que l'utilisation de la technologie de sécurité adéquate - peuvent être déduites de la vision théorique (ou stratégique). 

Sécurité SAP et OT

Si la cybersécurité est considérée comme un processus commercial critique, ce processus doit être modélisé avec soin, géré à l'aide de métriques, surveillé à l'aide d'outils et optimisé en permanence. De même, il faut une gestion des risques définie dans laquelle le lien avec la pratique est au premier plan. Si, par exemple, le succès commercial d'une entreprise de construction mécanique dépend en grande partie du bon fonctionnement de ses chariots élévateurs, elle veille à ce qu'il y ait toujours suffisamment de lubrifiant, elle respecte toutes les dates de maintenance et met à disposition suffisamment de véhicules de remplacement. De même, les entreprises doivent toujours être prêtes à faire face à toute éventualité en matière de sécurité informatique.

Sécurité interdisciplinaire

Pour garantir la sécurité OT et SAP à long terme, il faut dépasser les frontières entre les services dans le sens d'une pensée et d'une organisation orientées vers les processus. Le management, l'informatique et la production doivent notamment parvenir à un échange interdisciplinaire. En effet, il arrive que le management n'ait pas une idée précise de l'importance de la sécurité SAP et OT pour le bon fonctionnement de l'entreprise. Le service informatique peut aider à transmettre cette compréhension. Le point de vue des Blue Collar Worker, les collaborateurs de la production, est particulièrement important. En effet, ces derniers connaissent parfaitement les conséquences d'un éventuel arrêt de la machine A sur la ligne de production B. Ils savent que la machine A ne peut pas être utilisée.

Outre une compréhension stratégique de la pertinence de la sécurité OT et SAP et un dialogue entre les différents services, il faut des solutions de sécurité performantes. Ces dernières années, la technologie a considérablement évolué : de l'analyse de réseau à la sécurité des plateformes en passant par la détection inter-systèmes.

Il y a quelque temps encore, il était courant d'analyser le réseau et de corréler les fichiers journaux avec un système SIEM (Security Information and Event Management) afin d'obtenir des indications sur les menaces potentielles - une simple mesure de détection. Il est certes possible de déduire une réponse ciblée à partir des résultats de la corrélation, mais pas de la mettre en œuvre directement. Comme la transmission des données est aujourd'hui le plus souvent cryptée, les seules analyses de réseau ne sont plus à la pointe de la technologie.

Pour traiter les données sensorielles provenant de différentes sources, deux nouvelles méthodes se sont imposées : Endpoint Detection and Response (EDR) et Extended Detection and Response (XDR). Un outil EDR permet d'enregistrer des événements tels que l'ouverture de session d'un utilisateur, l'ouverture d'un fichier et les connexions réseau établies sur des terminaux tels que des PC, des ordinateurs portables, des tablettes et des smartphones. En outre, XDR permet de collecter et de relier automatiquement des données sur plusieurs vecteurs d'attaque, tels que les e-mails, les identités, les appareils, les serveurs, les charges de travail en nuage et les réseaux.

Si de plus en plus de données et de systèmes se trouvent dans le cloud, il est logique d'y mettre en œuvre des mesures de sécurité efficaces. Les solutions de plateforme des hyperscaleurs établis ont fait leurs preuves. Microsoft, en particulier, propose une gamme complète de produits de sécurité avec une multitude de composants prêts à l'emploi qui peuvent être facilement mis en service et configurés en fonction des besoins individuels de l'entreprise : de la protection des utilisateurs (PC, identités et e-mails) à la sécurisation de différents scénarios d'exploitation (propres serveurs, sur site dans le centre de calcul ainsi que cloud Azure, Google ou AWS) jusqu'aux cas d'application spéciaux comme la sécurité OT et SAP. De plus, l'intégration de telles plateformes est beaucoup plus efficace que les solutions individuelles.

Sécurité de la plate-forme

Compte tenu de la complexité de certains environnements SAP et de la dépendance des entreprises de production et d'approvisionnement vis-à-vis de leur technologie d'exploitation, la sécurité de la plate-forme est une approche efficace. Aujourd'hui, le mouvement latéral est une tactique clé des menaces avancées persistantes (APT) : Les pirates pénètrent par exemple dans une infrastructure informatique critique via une attaque de phishing et obtiennent de plus en plus de droits à l'aide des données récupérées, en compromettant ou en infectant les systèmes les uns après les autres. Les pirates pourraient par exemple accéder au système informatique de l'entreprise via un modem dans l'atelier de production et crypter les disques durs, ce qui toucherait particulièrement les entreprises, à savoir leurs processus clés rentables.

Les entreprises n'ont donc pas d'autre choix que de relier les capteurs à l'échelle du système et de surveiller les alertes 24 heures sur 24. Elles peuvent également faire appel aux services de détection et de réponse gérés d'un centre de cybersécurité spécialisé (CSDC). Au centre se trouve Microsoft Threat Monitoring for SAP. Un capteur permet de consolider des données provenant d'environnements SAP complexes, de sorte qu'elles soient disponibles pour un traitement ultérieur dans le système SIEM cloud-natif Microsoft Sentinel. Une fois connecté à différentes sources de logs SAP, le capteur collecte toutes les données qui sont ensuite transmises à Sentinel via une API pour être corrélées et analysées. Si l'outil détecte une menace, il génère des alertes correspondantes. Des règles standardisées forment la base des processus SOAR (Security Orchestration, Automation and Response) (partiellement) automatisés : Lorsqu'une alerte est reçue, une analyse basée sur l'IA est effectuée sur les données d'événements saisies. Selon le type d'attaque, des mesures de réponse prédéfinies se mettent alors en place.

Protéger SAP et OT de manière fiable

La cybercriminalité est un business lucratif pour les criminels, dont les conséquences peuvent aller bien au-delà des aspects économiques pour les entreprises concernées. C'est précisément dans le domaine des infrastructures critiques que les attaques peuvent se transformer en une menace sérieuse. Et les entreprises doivent être mieux préparées à cette menace réelle. Pour cela, il faut d'une part que la culture d'entreprise change : Il ne doit pas y avoir de fossés entre les départements, une collaboration interdisciplinaire est nécessaire. D'autre part, les KRITIS tels que les entreprises de distribution d'eau et d'électricité sont notamment appelés à intérioriser le rapport pratique de leur IT et de leur OT avec l'entreprise et à ne pas seulement en déduire les objectifs de protection nécessaires, mais aussi à les mettre en œuvre. Pour les systèmes et infrastructures liés à l'approvisionnement, il est possible de bien les protéger. Mais pour cela, il est nécessaire de comprendre la cybersécurité comme un processus commercial et de la mettre en œuvre de manière conséquente.

Les 3 niveaux de la sécurité OT

L'informatique de terrain : Dans une usine équipée de vieilles machines, l'analyse de réseau est généralement la seule chose à faire.
des moyens probants.

Greenfield-IT : Les entreprises qui lancent de nouveaux systèmes informatiques peuvent intégrer directement les fonctions de sécurité nécessaires.

Informatique d'entreprise : À l'heure de l'Internet des objets (IoT), avec des appareils intelligents tels que les écrans de conférence, les ascenseurs et les machines à café, toutes les données, tous les systèmes et tous les appareils doivent être sécurisés efficacement.

https://e3mag.com/partners/arvato-systems-gmbh/
avatar
Andreas Nolte, Arvato Systems GmbH

Andreas Nolte est responsable de la cybersécurité chez Arvato Systems GmbH


Tous les articles de l'auteur

Écrire un commentaire

Une modernisation rapide de SAP grâce aux analyses Fit-Gap et à l'approche Factory

IA, cloud et plates-formes : SAP Business Technology Platform et SAP Business Data Cloud

Comment les clients SAP maîtrisent le passage au cloud hybride avec SUSE

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.