Sécurité informatique : super-simple ou super-difficile

Au plus tard depuis la faille de la passerelle présentée en 2007 lors de la conférence Blackhat (cf. VIDEO), la perception de la sécurité SAP a changé durablement. Cette vulnérabilité permet à un attaquant sans authentification de se créer un utilisateur administrateur avec des droits "SAP_ALL" sur les systèmes SAP ERP et Abap.

L'attaquant a ensuite le contrôle total et peut voir et manipuler n'importe quelles données. Malgré le fait que cette faille soit connue depuis si longtemps, de nombreux clients ERP sont encore vulnérables à cette faille et à de nombreuses autres failles standard en 2019. À quoi cela est-il dû ?

Les avis de sécurité SAP ne peuvent pas être directement comparés aux mises à jour de sécurité Microsoft-Windows, car SAP suit le principe de la compatibilité ascendante dans le monde Abap. Par conséquent, SAP fournit toujours un interrupteur dans les notes lorsqu'il existe un risque que le correctif mette en danger la fonctionnalité ou la disponibilité existante chez le client.

Dans ces cas, l'installation seule ne suffit pas, le client doit ensuite effectuer les étapes manuelles pour l'activation. Souvent, ce sont justement les vulnérabilités critiques qui nécessitent ce travail manuel ultérieur et conduisent ainsi inconsciemment à des systèmes non sécurisés. C'est également le cas de la faille de la passerelle, contre laquelle un grand nombre de systèmes clients sont encore vulnérables.

SAP a modifié sa stratégie de sécurité en 2009 et a publié depuis 4256 avis de sécurité SAP, dont plus de 50 % entre 2010 et 2012. Selon les déclarations faites lors d'un TechEd, SAP a alors examiné pour la première fois l'ensemble de la norme SAP avec une analyse statique du code, ce qui aurait contribué à l'accumulation susmentionnée.

En 2010, le "SAP Security Patchday" a été introduit le deuxième mardi du mois. Ainsi, les avis ne sont plus publiés que de manière groupée. A partir de 2012, les notes de sécurité ne sont plus livrées avec les Support Packages qu'en fonction de leur priorité.

La règle des 18 mois doit être respectée de toute urgence : selon cette règle, l'installation d'avis de sécurité n'est garantie que dans les systèmes dont le niveau du Support Package ne remonte pas à plus de 18 mois. Chaque client a donc besoin, en plus d'un cycle de patchs de sécurité SAP, d'un cycle régulier de mise en place de Support Package.

Alors que dans un environnement système SAP à un seul niveau, il est encore possible de surveiller manuellement les indications, les configurations et les niveaux des Support Packages, cela devient de plus en plus difficile, voire impossible, dans les environnements SAP importants et hétérogènes. Dans ce cas, il est intéressant de surveiller ces tâches à l'aide d'un automate. Tant SAP que le marché libre proposent ici diverses solutions.

Ces défis seront-ils résolus en 2019 avec S/4 et Hana ? Dans le cloud, SAP effectue la maintenance de l'infrastructure, mais le client n'a plus ici d'accès à l'interface utilisateur graphique SAP et ne peut pas effectuer de développements propres dans le système central.

Les clients sont confrontés à de nouveaux défis dans les architectures hybrides. Souvent, avec la complexité croissante, il n'est pas clair où, à quelle fréquence, quelles données sont stockées et qui y a accès.

C'est notamment le cas lorsque le département spécialisé peut activer des services supplémentaires avec une carte de crédit, dont l'IT ne se rend tout d'abord pas compte. Les clients qui utilisent S/4 sur site doivent continuer à prendre en compte les thèmes mentionnés ci-dessus.

En 2019 aussi, un S/4 1809 actuel doit être renforcé après son installation. Les exemples sont le Security Audit Log qui n'est pas activé dans la norme, la protection contre les attaques RFC Call Back qui n'est pas activée ou la longueur minimale du mot de passe de seulement 6 caractères livrée depuis 1992.

La conclusion pour 2019 est que le client est responsable de la sécurité de ses données et qu'il le restera. Ces dernières années, des failles critiques ont été découvertes chaque année dans le standard SAP.

Il est donc toujours nécessaire de patcher ses systèmes SAP en temps voulu et de surveiller l'application des correctifs. Cela vaut aussi bien pour les composants utilisés que pour ceux qui ne le sont pas.