Sécurité : comment protéger efficacement les systèmes SAP


Selon le rapport d'investissement 2024 de DSAG, la sécurité informatique arrive clairement en tête des thèmes informatiques transversaux chez les clients SAP existants, avec 88 % de pertinence moyenne et élevée, voir graphique. C'est une bonne chose. On prend de plus en plus conscience que les paysages SAP ne sont pas seulement menacés de l'extérieur, mais aussi de l'intérieur.
Ainsi, un employé nouvellement embauché pourrait vouloir savoir combien gagnent ses collègues. Pour pouvoir consulter les listes de salaires, il aurait besoin soit d'une autorisation SAP_All, soit de droits d'accès aux transactions et de droits de lecture pour les tables dans SAP HCM. Il ne les a pas, mais son rôle lui donne une autorisation de débogage qui lui permet d'apporter des modifications aussi bien dans le système de développement SAP que dans le système de production SAP. Et c'est précisément là qu'une faille de sécurité apparaît. Dans le cadre d'un débogage, il manipule le système de production de telle sorte que le contrôle des autorisations est contourné et que
il peut accéder - sans autorisation - aux données salariales. Dans un tel cas, même des autorisations bien gérées n'offrent pas une protection suffisante.
Il s'agit pourtant d'un scénario relativement bénin. Que se passerait-il si un attaquant parvenait à obtenir les données d'accès d'un ancien administrateur dont le compte et les autorisations n'ont pas encore été supprimés en utilisant des méthodes d'ingénierie sociale ? Dans ce cas, même les informations les plus précieuses d'une entreprise, comme ses données de production et de développement, ne sont plus en sécurité. Et ce, même si l'équipe de sécurité a fait ses devoirs et a proprement implémenté et configuré des solutions de sécurité classiques comme un logiciel antivirus, une protection contre les ransomwares, un pare-feu, etc.
La question du prix est donc la suivante : que peuvent et doivent faire les clients existants de SAP pour combler les lacunes en matière de sécurité SAP ?
Fais confiance, regarde qui !
Le dicton populaire le sait depuis toujours : la confiance peut être dangereuse. Traduit en langage informatique, cela signifie que le bon point de départ pour augmenter le niveau de sécurité dans les paysages SAP est l'approche "zero trust". Si l'attaquant est toujours déjà dans le système, il ne faut faire confiance à personne ni à rien et vérifier tout et n'importe quoi. Cela s'applique même si les utilisateurs et les appareils accèdent à SAP via un réseau de confiance comme un réseau local d'entreprise et même s'ils ont été vérifiés au préalable.
Pour développer un concept de sécurité efficace basé sur l'approche "zero trust", les clients existants de SAP devraient se laisser guider par plusieurs principes :
- Authenticité : Une authentification sécurisée devrait être imposée en tout temps et en tout lieu.
- Secrecy : Toutes les communications doivent être sécurisées.
- Accès à moindre privilège : Les autorisations ne devraient être accordées que dans la mesure où les utilisateurs en ont besoin pour pouvoir faire exactement ce qu'ils doivent faire, mais en aucun cas plus.
- La sécurité : L'accès au réseau de l'entreprise est en principe refusé aux appareils et aux utilisateurs inconnus.
- Responsabilité : Il doit être clair et vérifiable à tout moment qui effectue des changements dans les paramètres et lesquels ; tout cela doit être consigné en conséquence.
- Actualité : L'ensemble de la pile informatique, du matériel aux bases de données et aux applications SAP en passant par le système d'exploitation, doit toujours être maintenu à jour ; en conséquence, les clients SAP existants doivent évaluer et appliquer régulièrement les mises à jour de sécurité dès qu'elles sont annoncées.
- Suspicion : Zero-Trust signifie une méfiance permanente, c'est pourquoi les droits des utilisateurs et leurs rôles, les transactions, les services, etc. sont régulièrement contrôlés.
- Consistance : Le niveau de sécurité doit rester au moins aussi élevé à chaque modification, les mesures de sécurité sont donc un élément obligatoire de toute modification de l'environnement SAP.
- Aversion au risque : Les risques ne sont pas saisis et évalués une seule fois, mais en continu, tout comme les erreurs qui se produisent inévitablement, afin d'en tirer des enseignements et de les endiguer par des contre-mesures appropriées.
- La résilience : L'environnement informatique doit pouvoir compenser les pannes partielles, par exemple en segmentant le réseau et en le sécurisant avec des politiques et des mesures propres à chacun ou en s'exerçant régulièrement à la restauration des services.
Ces principes constituent la base de toute architecture Zero Trust efficace que les clients existants de SAP peuvent mettre en œuvre à l'aide d'outils et de processus appropriés, mais aussi de partenaires.
Exploiter au maximum les outils SAP
En règle générale, les clients existants de SAP devraient utiliser systématiquement les outils de sécurité mis à disposition par SAP et les exploiter au maximum de leurs possibilités. La solution SAP Identity Management (IdM) permet de gérer toutes les identités d'utilisateurs SAP et leurs autorisations de manière centralisée et sûre.
Un workflow d'approbation basé sur des règles et des rôles contrôle la création des comptes utilisateurs avec leurs autorisations. Tout au long du cycle de vie de l'utilisateur, il est garanti que les identités ne peuvent utiliser que les systèmes et les fonctions dont elles ont réellement besoin. Toutefois, un accès complet ne devrait être accordé qu'en cas d'urgence et en aucun cas plus longtemps que nécessaire. En complément, il est recommandé de mettre en place et de gérer un accès central à SAP au moyen de SAP Single Sign-On (SSO), qui améliore l'authentification des utilisateurs. En même temps, SAP SSO assure une communication cryptée de bout en bout entre les clients et les ressources SAP, tandis que SAP NetWeaver peut rendre la transmission des données et la communication entre les systèmes SAP et les autres composants du réseau à l'abri des écoutes.
Outre les autorisations et l'authentification, les réglages et les paramètres des systèmes SAP et de la base de données sont considérés comme des points faibles potentiels. Il est possible de vérifier si elles existent réellement à l'aide de Configuration Validation et du Security Baseline Template du populaire et très répandu SAP Solution Manager (SolMan), qui permet en outre d'appliquer les notes de sécurité et les correctifs SAP mensuels.
Au niveau technique, les ports réseau et les clients utilisés par les utilisateurs finaux pour accéder aux applications SAP, que ce soit à partir de leur bureau, de leur domicile ou en déplacement via une tablette ou un smartphone, sont des cibles privilégiées pour les attaques. Outre les formations régulières et nécessaires des utilisateurs, les systèmes de détection et de prévention des intrusions (IDS/IPS) peuvent ici aider à détecter et à repousser les tentatives d'attaque. Et bien entendu, l'équipe de sécurité doit surveiller les informations relatives à ces tentatives et prendre des mesures pour les empêcher durablement.
Les outils SAP offrent ainsi une base solide pour la sécurité des systèmes SAP, mais ils atteignent leurs limites face aux exigences commerciales individuelles et aux cybermenaces de plus en plus sophistiquées.
Malheureusement, même SolMan ne peut surmonter que partiellement ces limites grâce à ses fonctions de surveillance ; après tout, il n'a jamais été conçu comme une solution de sécurité. En outre, il n'offre pas de surveillance en direct et limite la surveillance aux applications SAP, mais n'a pas de vue sur l'infrastructure, les interfaces et les flux de données depuis et vers les systèmes environnants.
Prendre le contrôle
L'idéal serait donc une solution de monitoring qui surveille tout, de l'infrastructure et du réseau aux applications et aux bases de données en passant par la base SAP. Elle lit et met à disposition toutes les informations relatives à la sécurité, y compris celles des solutions de sécurité de fournisseurs tiers, détecte automatiquement les incidents de sécurité à la manière de la gestion des incidents, déclenche des alarmes au-delà de certains seuils et prend immédiatement des mesures de sécurité telles que le retrait des autorisations, l'interruption des accès ou l'arrêt des transactions. Une solution qui, en cas de catastrophe et uniquement dans ce cas, délivre les autorisations nécessaires et les retire rapidement après la résolution du problème. Et tout cela, bien entendu, automatiquement et 24 heures sur 24.
L'évaluation des risques, la gestion des identités, la gestion des autorisations en cas de catastrophe, le single sign-on, le monitoring complet, la gestion des patchs et des incidents et enfin tout le bouquet de produits de sécurité allant du pare-feu à la détection et la prévention des intrusions en passant par la protection contre les malwares et les ransomwares et autres - la liste des éléments centraux de la sécurité est longue. Pour les gérer et les appliquer à partir d'un point central, il est recommandé de mettre en place un Security Operation Center (SOC) qui fonctionne 24 heures sur 24 et dans lequel toutes les informations relatives à la sécurité sont rassemblées via une solution de surveillance centrale.
Cette solution et ce centre de contrôle doivent fournir le même niveau de protection, quel que soit le lieu de déploiement concret de l'environnement SAP, que ce soit dans leur propre centre de données, dans le cloud public de SAP et des hyperscalers ou chez un partenaire d'hébergement.
Ne pas avoir peur des services gérés
Les clients SAP existants ne devraient pas hésiter à faire appel à des services gérés s'ils ont besoin de ressources supplémentaires. Un partenaire approprié doit disposer d'un savoir-faire approfondi en matière de SAP et de sécurité. Il doit également pouvoir justifier d'une longue expérience pratique. En outre, l'offre de services doit être modulaire et compléter parfaitement les compétences et les ressources existantes du client, plutôt que de les remplacer en tout ou en partie. En effet, c'est en allant vers l'autre que l'on crée les conditions nécessaires à l'externalisation des tâches et à la gestion de la qualité requise des services achetés par le biais d'accords.
Mais le plus important dans le choix du partenaire de service est peut-être l'attitude vis-à-vis de la sécurité et de la conformité. Ce n'est que si les deux parties partagent la même compréhension et partent du principe que l'attaquant est toujours déjà dans le système que les clients existants de SAP peuvent atteindre l'objectif de cyber-résilience avec l'aide de leur partenaire - contre tous les ennemis, étrangers et nationaux.
L'ennemi est toujours dans le système
Pourquoi la protection contre les menaces extérieures ne suffit pas : en 2023, plus de 2000 failles de sécurité dans les produits logiciels ont été signalées chaque mois - soit 24 pour cent de plus que l'année précédente - et 84 pour cent de tous les e-mails frauduleux visaient à s'emparer des données d'accès. Pas moins de 15 % des failles de sécurité connues ont été classées comme critiques et l'IA générative rend de plus en plus difficile la distinction entre les e-mails frauduleux et les e-mails légitimes. Telles sont les principales conclusions du rapport du BSI sur la sécurité en Allemagne publié en novembre dernier. Les failles de sécurité ne sont pas seulement le résultat d'erreurs dans le code logiciel. Souvent, elles sont la conséquence de l'architecture logicielle. De plus, dans tous les paysages informatiques, des systèmes et des applications modernes, construits pour un monde en réseau, coexistent avec des environnements hérités de l'époque où ils étaient isolés et où les attaques extérieures étaient impensables. Les mainframes en sont un exemple, qui vivent une vie quasi éternelle dans les banques et les fournisseurs de télécommunications. Mais même dans le cas des logiciels d'entreprise courants, différentes générations coexistent et ne peuvent pas faire autrement que de se faire mutuellement confiance, en acceptant par exemple les certificats sans les vérifier. Les pirates internes et externes en profitent, notamment lors des mouvements latéraux largement répandus, et s'infiltrent ainsi depuis les parties non critiques de l'environnement jusqu'aux zones les plus sensibles.
Rester capable d'agir
Face à cette situation, il serait erroné de se concentrer uniquement sur la défense contre les menaces. Au contraire, il est tout aussi important de rester capable d'agir en cas d'attaques réussies. La cyber-résilience est donc le mot d'ordre du moment, comme l'écrit à juste titre le BSI. Qu'est-ce que cela signifie pour les clients SAP existants ? Ils devraient partir de la prémisse : L'ennemi est déjà dans le système et vient dans environ un tiers des cas de l'intérieur et dans deux tiers des cas de l'extérieur. La résilience ne commence pas seulement par la sécurisation des applications SAP, mais aussi par l'infrastructure, s'étend aux interfaces et aux flux de données en provenance et à destination des systèmes périphériques et gère le compromis inévitable entre la praticabilité et le niveau de sécurité le plus élevé possible. En outre, elle permet aux clients SAP existants d'assumer à tout moment et sans faille leurs responsabilités en matière de sécurité et de conformité, même en cas de menace, que ce soit dans leur propre centre de données ou dans le cloud public. Pour cela, il faut une transparence totale à tous les niveaux, une surveillance sans faille ainsi qu'une collaboration et une communication étroites entre les équipes SAP et les équipes de sécurité. Malheureusement, c'est souvent là que le bât blesse.
Comment naissent les risques pour la sécurité SAP
Un manque de transparence croissant : dans la plupart des entreprises, les paysages SAP sont le résultat d'années d'extensions, de modifications et de développements internes. Des entreprises ont été achetées et vendues, des secteurs d'activité ont été regroupés et créés, des usines et des succursales ont été fermées, de nouvelles ont été ouvertes. Et à chaque fois, le service informatique a dû reproduire les changements organisationnels et les souhaits des départements spécialisés dans SAP, les systèmes tiers et l'infrastructure - en plus des opérations quotidiennes telles que l'installation des mises à jour et des correctifs, la gestion des autorisations, la maintenance de l'infrastructure et des interfaces, la gestion des solutions de sécurité, etc.
Les paysages SAP et IT qui se sont développés au fil du temps sont d'une complexité arbitraire et les collaborateurs sont rares. Les fluctuations de personnel dans l'informatique et les départements spécialisés font le reste. Les autorisations ne sont gérées que de manière incomplète, toutes les modifications, tous les systèmes et tous les réglages ne sont pas documentés, il reste trop peu de temps pour la formation continue nécessaire et l'échange approprié d'informations et les collègues qui quittent l'entreprise emportent leurs connaissances avec eux chez leur nouvel employeur ou à la retraite. Cela ne vaut pas seulement pour les équipes SAP de base, mais aussi pour les équipes de sécurité. Elles aussi ont du mal à suivre l'évolution des technologies et à acquérir en permanence les compétences nécessaires. De plus, dans de nombreux cas, elles ne sont pas seulement responsables de la sécurité informatique, mais également de la conformité.
... se heurte à un manque de personnel
De plus, les équipes de sécurité SAP utilisent souvent un ensemble hétéroclite d'outils individuels non intégrés les uns aux autres, qui sont parfois même utilisés manuellement. Cela n'est pas très efficace et le risque est que les failles de sécurité ne soient découvertes qu'avec un retard considérable. Les cybercriminels en profitent impitoyablement pour compromettre et paralyser les logiciels SAP, tant au niveau de l'infrastructure que des applications, ou pour voler des données critiques.
En d'autres termes, le manque de transparence, de connaissances et de personnel conduit régulièrement à une méconnaissance, du moins partielle, des zones de l'environnement informatique et SAP particulièrement sensibles en termes de protection et, par conséquent, à une focalisation excessive sur les menaces externes et, en miroir, à une sous-estimation systématique des risques internes.
Vers l'inscription du partenaire :
