Information et éducation par et pour la communauté SAP

Repenser la sécurité

L'un des constats de ces derniers jours est que la sécurité est un bien vulnérable. Les infrastructures critiques telles que les centrales nucléaires et les hôpitaux sont la cible d'agressions guerrières et, parallèlement, les cyberattaques se multiplient à une échelle sans précédent.
Ralf Kempf, Pathlock
4 mai 2022
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Selon un article du Spiegel du 7 mars dernier, un rapport de situation spécial de l'Office fédéral de la sécurité des technologies de l'information (BSI) avertit le gouvernement fédéral que l'Allemagne pourrait bientôt faire face à une attaque contre des "cibles de grande valeur" dans le cadre de l'invasion russe de l'Ukraine : Depuis le début de la crise, on observe "Les cyberattaques contre les fournisseurs d'énergie ou les installations militaires, par exemple, sont considérées par les milieux de la sécurité comme la plus grande menace actuelle pour l'Allemagne".

L'Office fédéral allemand de protection de la Constitution met en garde contre les capacités des services secrets russes à "saboter considérablement et durablement des infrastructures critiques". Cette évolution n'est pourtant pas nouvelle : le rapport AXA Future Risks 2021 qualifie déjà les risques de cyberattaques de deuxième menace mondiale après le changement climatique et avant les pandémies.

Architectures Kritis

Personne ne veut s'imaginer les conséquences d'un piratage réussi pour une centrale nucléaire ou une usine hydraulique. Ou même si des pirates parvenaient à couper l'électricité sur l'ensemble du territoire. Les infrastructures critiques concernent de nombreux domaines de la vie quotidienne. Outre l'État et l'administration, l'énergie et l'eau, elles comprennent la santé, l'alimentation, les transports et la circulation, la finance et les assurances, les technologies de l'information et les télécommunications, les médias et la culture. La nouvelle loi sur la sécurité informatique SiG 2.0, entrée en vigueur au début de l'année, répond à leur niveau de menace.

La loi sur la sécurité exige des mesures procédurales, directives et réactives, entre autres une surveillance de la sécurité dans les systèmes, des mesures de monitoring pour effectuer en amont le durcissement des systèmes selon les normes du marché. Et il y a des obligations concrètes sur la manière de construire des architectures Kritis. Il est obligatoire de définir l'infrastructure et les processus de manière à ce qu'ils puissent être contrôlés et acceptés ultérieurement au regard de la SiG 2.0. Cette qualité de l'architecture et des processus doit être prouvée tous les deux ans et suppose un changement de mentalité : on ne peut pas simplement continuer à faire ce que l'on a toujours fait, mais on doit répondre à des exigences concrètes.

Complexe, mais pas compliqué : la gestion des informations et des événements de sécurité (SIEM)

Un point important de la loi sur la sécurité est que la responsabilité a été redéfinie et que les mécanismes de surveillance et de contrôle doivent être intégrés et désormais évaluables en temps réel. Cela correspond à notre expérience de ces dernières années : la plupart des systèmes étaient purement fonctionnels et ne disposaient pas de capteurs qui nous auraient permis d'être détectés d'une manière ou d'une autre lors de tests d'intrusion mandatés. Et si nous y parvenons lors du test d'intrusion convenu, un attaquant réel y parviendra également.

En d'autres termes, les entreprises ne pouvaient jusqu'à présent constater leurs lacunes qu'après un incident de sécurité grave - et il n'était pas clair depuis combien de temps cette vulnérabilité était exploitée. En plus du bureau de notification général pour la sécurité informatique au niveau national, le BSI doit donc logiquement être autorisé à détecter les risques de sécurité. Le paragraphe dit de piratage permet au BSI d'"attaquer" des entreprises et des infrastructures pour ensuite exiger la mise en œuvre de mesures techniques et organisationnelles. L'intention est claire : les programmes malveillants, les failles et les risques de sécurité doivent être détectés et éliminés de manière proactive.

Exemple SAP

L'exemple des environnements système SAP montre clairement que les directives de la LSP 2.0 vont dans la bonne direction, même pour les entreprises non critiques, mais qu'elles ne peuvent pas couvrir tous les points faibles. Pour S/4 par exemple, les exigences ont encore changé, la base de données, l'interface utilisateur, la passerelle, les applications et les autorisations sont devenues plus étroitement liées, l'accès aux données importantes est devenu plus complexe - et donc plus difficile à surveiller. SiG 2.0 exige une planification détaillée de la continuité des activités et des scénarios de reprise après sinistre avec l'utilisation de systèmes de détection d'intrusion (IDS) conformes à "l'état de l'art" (§8a).

Les IDS détectent et concrétisent les attaques à l'aide de fichiers journaux qui doivent désormais être non seulement enregistrés, mais aussi analysés. Les systèmes SIEM seront donc indispensables à l'avenir pour identifier rapidement les cyberattaques, même s'ils ne sont souvent pas suffisants pour SAP. En effet, ils considèrent avant tout les infrastructures et dans ce cas, SAP, en tant que système largement autonome, passe à travers la grille de détection, à moins que l'expertise des professionnels de la sécurité SAP et des logiciels spéciaux ne soient utilisés.

Grâce à son intégration avec l'outil SIEM, tous les incidents liés à la sécurité des paysages SAP peuvent être consolidés avec d'autres systèmes informatiques pertinents et le tableau de bord intégré crée en outre une transparence sur tous les systèmes. Les entreprises Kritis et tous ceux qui ont un besoin réaliste de sécurité obtiennent ainsi, en appuyant sur un bouton, une représentation et une documentation évaluées basées sur un tableau de bord de leur état de sécurité global. L'intégration d'un partenaire de sécurité professionnel est donc essentielle pour la mise en œuvre immédiate de SiG 2.0 dans l'exemple de SAP.

Ainsi, le client SAP existant rku-it, en tant que fournisseur de services informatiques pour les fournisseurs d'énergie, a non seulement répondu efficacement aux exigences de la nouvelle loi sur la sécurité informatique 2.0, mais a également augmenté la sécurité de révision de l'environnement système SAP. L'utilisation de la suite Sast a permis de réaliser des dérivations des rôles de gabarit en fonction de l'organisation des clients. Dans l'entreprise, elle sert à valider les rôles et les autorisations en matière de sécurité et de SoD, à analyser l'utilisation, à optimiser davantage les rôles et les autorisations et à utiliser la fonctionnalité d'utilisateur de secours pour les tâches d'assistance des collaborateurs de rku-it.

Problèmes et opportunités

Le manque de concentration reste un problème majeur pour une stratégie de sécurité globale orientée vers SiG 2.0. La direction doit s'y consacrer avec toute l'urgence et la priorité qui s'imposent et, par conséquent, focaliser et mettre à disposition des ressources. Cela demande de l'attention, du personnel et bien sûr de l'argent. Or, on constate encore dans de nombreuses entreprises que la création de postes, de départements, de services d'état-major, même dans une organisation qui s'occupe de disponibilité et de sécurité, est encore souvent négligée, comme si cela était facultatif. Or, au vu des évolutions actuelles, cette mise en place et cette disponibilité doivent tout simplement être considérées comme une exigence, et pas seulement pour les exploitants de Kritis, et elles coûtent tout d'abord un investissement top-down.

SiG 2.0 et conversion

Pour revenir à l'exemple de SAP : Dans la perspective de la SiG 2.0, une migration S/4 imminente peut justement être utilisée comme une opportunité de faire passer sa propre sécurité informatique à un niveau supérieur. Elle donne par exemple l'occasion de nettoyer les anciennes interfaces et surtout de les standardiser. Les opérateurs de criticité comme les fournisseurs seraient un cas classique. Il y a de très longues chaînes de processus, des points de mesure, des exploitants de points de mesure, des décomptes, la séparation de la distribution et du réseau. Ce sont des systèmes très complexes, où l'on observe que le business est hautement standardisé par des directives réglementaires, des logiciels, des processus - et ce sont des choses que l'on peut très bien faire évoluer, où l'on peut former de bons modèles pour l'énergie, le gaz et l'eau, harmoniser les interfaces et ensuite introduire les modèles pour les autorisations, les utilisateurs et les processus. C'est un énorme gain de sécurité de standardiser les choses pour qu'elles fonctionnent de la même manière et que les processus soient identiques.


Compétence en matière de sécurité

Ralf Kempf et son équipe travaillent pour environ 200 clients dans le domaine de la cybersécurité SAP et de la gouvernance des accès, dont de nombreux exploitants de Kritis : "Nous connaissons les défis auxquels les exploitants de Kritis sont désormais confrontés et nous les aidons à répondre efficacement aux exigences de la SiG 2.0 tout en renforçant la sécurité de leur environnement système SAP. L'époque où les entreprises pouvaient se permettre de négliger leur sécurité informatique est donc définitivement révolue - et cela ne vaut pas seulement pour les exploitants de Kritis. Il est donc décisif d'adopter une approche et une stratégie de sécurité globales qui réunissent tous les thèmes et qui tiennent compte des scénarios de menaces actuels.

https://e3mag.com/partners/sast-solutions-ag/
avatar
Ralf Kempf, Pathlock

Ralf Kempf est le PDG de Pathlock Allemagne.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.