Information et éducation par et pour la communauté SAP

Pourquoi nous avons besoin d'un NextGen de la sécurité SAP

Défendre les systèmes SAP contre les cyber-attaques ne se limite pas à protéger le système ERP. Le potentiel de menace des entreprises en réseau et des paysages SAP hybrides exige plutôt une approche holistique.
Christoph Nagy, SecurityBridge
21 décembre 2022
En-tête it security
avatar
Ce texte a été automatiquement traduit en français de l'allemand

C'est la combinaison qui compte

Si l'on veut aujourd'hui détecter suffisamment les attaques sur les systèmes SAP et les repousser à temps - c'est-à-dire augmenter sa résilience -, il faut considérer simultanément la sécurité des applications et celle du réseau. C'est alors seulement que la sécurité SAP de la prochaine génération voit le jour. En effet, SAP n'est plus depuis longtemps un bloc monolithique. Les terminaux centrés sur l'utilisateur et les appareils IoT interagissent avec les applications SAP et les applications tierces, qui fonctionnent tantôt dans le cloud, tantôt sur site. 

C'est à des paysages ERP hybrides de ce type que fait référence SAP lorsqu'il parle d'"entreprise intelligente". Les choses deviennent donc plus complexes, ce qui ne facilite pas la tâche des responsables de la sécurité. Cela rend le paysage informatique opaque et augmente le risque qu'une faille de sécurité passe inaperçue (voire qu'elle existe depuis longtemps). Dans la même mesure, le risque d'une attaque réussie augmente également. Le nombre de portes d'entrée potentielles est tout simplement devenu beaucoup plus important.

Pour cela, les responsables de la sécurité ont besoin d'une architecture de sécurité ouverte et évolutive, capable de suivre le rythme de l'augmentation de la surface d'attaque et de garantir un haut niveau de protection contre les attaques internes et externes. La sécurité des environnements informatiques hybrides doit reposer sur une structure multicouche construite comme les couches d'un oignon. Les différents composants travaillent ensemble de manière intelligente, absorbent et compensent les attaques et évaluent toutes les informations nécessaires à l'évaluation d'un incident. L'idéal serait que toutes ces fonctions soient disponibles sur une seule plateforme. Jusqu'à présent, les lignes de défense existaient de manière isolée et n'étaient pas reliées entre elles. Aujourd'hui, cette approche traditionnelle de la sécurité ne permet plus d'aller très loin. Dans la prochaine génération, les composants intelligents s'intègrent et échangent des informations pour évaluer les incidents. Un pare-feu intelligent détecte et bloque les attaques contre SAP en examinant les paquets de données et en interceptant les charges utiles dangereuses dans le trafic TCP/IP.

Le patching virtuel des failles de sécurité SAP peut avoir lieu au niveau de l'infrastructure ; la tentative d'attaque d'une faille SAP déjà publiée est alors détectée par un pare-feu NextGen et détournée ou bloquée avant même que l'attaquant n'atteigne le précieux système SAP. Cette procédure est particulièrement recommandée lorsque les notes de sécurité SAP hautement critiques (SNotes) ne peuvent pas être mises à jour rapidement, car les systèmes sont trop complexes pour être corrigés rapidement ou parce que les coûts de test sont trop élevés à court terme.

De toute façon, les entreprises doivent toujours partir du principe que chaque application (et donc chaque système SAP) contient de graves failles de sécurité qui ne peuvent pas être comblées faute de correctif - les fameux Zero Days. Plus on comprend ce qui est considéré comme une surface d'attaque SAP (et pas seulement l'ERP), plus le risque d'exploitation des Zero Days est faible - et plus la résilience est élevée. Une caractéristique clé de la sécurité SAP NextGen est donc le rôle croissant de la sécurité du réseau au sein d'une protection SAP globale. Tous les composants de sécurisation des systèmes SAP fonctionnent ensemble de manière intelligente et automatisée. Les cyber-attaques contre les systèmes SAP peuvent être détectées à un niveau supérieur et, le cas échéant, être contrées. Si cela n'est pas possible, les couches de sécurité suivantes sont au moins informées d'un incident, de sorte que la ligne de défense suivante est avertie et peut agir efficacement. La cybersécurité est un sport d'équipe, non seulement du côté des attaquants, mais aussi et surtout au sein des lignes de défense.

Les concepts d'autorisation classiques n'offrent plus une protection suffisante dans les paysages hybrides et ne doivent donc être considérés que comme une partie de la sécurité SAP. Il s'agit d'aller plus loin : durcissement et surveillance des axes de configuration, mises à jour régulières de la sécurité, vérification des développements propres au client quant à la présence de code problématique, contrôle du système de transport ainsi qu'un monitoring complet de la sécurité.

SecurityBridge

avatar
Christoph Nagy, SecurityBridge

Christoph Nagy est directeur général de SecurityBridge


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.