Sécurité informatique - Sur la piste des pirates informatiques

Le piratage informatique a encore quelque chose d'effrayant pour beaucoup de gens. On imagine un nerd extrêmement doué pour la technique, assis dans une cave sombre, entouré de nombreux moniteurs sur lesquels sont ouvertes plusieurs fenêtres de ligne de commande.

Et dans la pratique ? La situation est la suivante : pour pénétrer dans des systèmes depuis l'extérieur, il faut bien sûr disposer d'un grand savoir-faire technique, tout comme pour "pirater" des systèmes SAP. Toutefois, la plupart de ces connaissances ne sont pas des connaissances d'initiés, elles sont librement disponibles sur Internet.

Prenez quelques minutes pour chercher sur Google "SAP Hacking" ou "SAP password cracking". Vous serez surpris par les résultats et saurez au bout de quelques minutes comment, par exemple, les mots de passe peuvent être craqués et quels logiciels peuvent être téléchargés en freeware à cet effet.

Les possibilités de piratage d'un système SAP sont multiples, tout comme les objectifs possibles poursuivis. Il peut s'agir de vol de données, de manipulation monétaire ou d'influence négative sur les processus commerciaux.

Pour surveiller en temps réel les processus critiques de sécurité dans les systèmes SAP et les attaques concrètes, SAP a développé l'Enterprise Threat Detection (ETD). Ce logiciel est optimisé pour la surveillance des produits SAP, y compris la base de données Hana.

Mais il est également possible de connecter des produits tiers. Le SAP ETD est conçu comme un logiciel SIEM (Security Information and Event Management), mais il peut aussi être utilisé pour une surveillance continue dans le cadre des activités administratives quotidiennes ou pour transmettre les alertes à un autre logiciel SIEM.

Le principe de base du SAP ETD consiste à collecter les protocoles des différents systèmes, à les analyser automatiquement selon des critères prédéfinis et à émettre des messages d'alerte en cas de constatations.

Les journaux sont transférés en temps réel du système d'origine vers le SAP ETD, ce qui fait que les éventuelles manipulations des journaux (par exemple leur suppression) n'ont plus d'incidence sur la traçabilité.

Un grand nombre d'analyses standard, appelées patterns, sont déjà fournies pour l'évaluation. Celles-ci sont automatiquement analysées par SAP ETD lorsque de nouveaux protocoles sont transmis.

Dans ce cas, ce ne sont pas seulement des entrées de journal individuelles qui sont évaluées, mais des modèles de recherche complexes qui peuvent également être évalués sur plusieurs journaux et systèmes.

Par exemple, il est possible de surveiller si un nouvel utilisateur est créé et si une connexion est effectuée avec lui à partir du même poste de travail ou si des données ont été manipulées par débogage. En cas de résultat positif, une alarme peut être générée et un message peut être envoyé aux responsables.

La sécurité du système s'en trouve décuplée. La plupart des entreprises ont certes des concepts de sécurité stricts, mais la surveillance en temps réel n'est guère pratiquée.

Les opérations critiques telles que la lecture des hashs de mots de passe ou l'utilisation des droits de développeur dans les systèmes de production ne sont identifiées que dans le cadre de contrôles en aval (si tant est qu'elles le soient).

En raison du nombre croissant d'attaques contre les systèmes informatiques, l'utilisation d'un logiciel SIEM est presque obligatoire. Jusqu'à présent, les systèmes d'exploitation et les pare-feux étaient particulièrement visés.

Mais comme les données réellement critiques pour l'entreprise sont stockées et traitées dans les systèmes ERP, ces derniers doivent être intégrés dans la surveillance.

Lors de l'utilisation de SAP ERP/S/4 Hana, SAP ETD représente une possibilité très efficace à cet effet. Grâce aux patterns standard contenus dans SAP ETD, le système peut être mis en production avec un effort raisonnable.

Pour de nombreuses entreprises, la possibilité d'utiliser SAP ETD en tant que service géré sera intéressante, car dans ce cas, le système ne doit pas être exploité en interne.