Sécurité SAP : analyse des vulnérabilités
L'offre va des analyses de vulnérabilité aux tests d'intrusion en passant par les audits. L'approche la plus appropriée dépend toutefois des exigences individuelles en matière de résultats.
Lors de l'exécution de scans de vulnérabilité, également appelés Vulnerability Assessments, les systèmes SAP sont analysés de manière automatisée ou semi-automatisée à la recherche de vulnérabilités connues et les résultats sont répertoriés dans un rapport sous forme de tableau. Dans le cas le plus simple, il peut s'agir d'une liste des paramètres de sécurité d'un serveur d'application SAP, sans que ceux-ci ne soient soumis à une évaluation. Il n'y a donc pas de vérification pour savoir si les vulnérabilités peuvent être exploitées, comme ce serait le cas lors d'un test d'intrusion.
En outre, certaines des vulnérabilités identifiées peuvent être ce que l'on appelle des "faux positifs", qui sont certes répertoriés, mais qui ne représentent aucun danger dans le contexte actuel du système ou qui sont justifiés par la technique du système. Même si l'on ne vérifie pas ici la présence de menaces actives, des analyses de vulnérabilité régulières sont néanmoins nécessaires pour garantir la sécurité de l'information en général, et elles devraient être répétées à intervalles périodiques. Un scan de vulnérabilité détecte non seulement un paramétrage erroné des serveurs d'applications SAP, mais aussi des problèmes tels que l'absence de correctifs et des protocoles, certificats et services obsolètes.
Audit de sécurité et de conformité
Un audit de sécurité et de conformité est un examen complet et formel de la sécurité des systèmes et des processus liés à la sécurité d'une entreprise. Un audit SAP représente donc un contrôle complet et approfondi non seulement des attributs physiques tels que la sécurité de la plateforme d'exploitation, du serveur d'application ainsi que de l'architecture du réseau, mais aussi l'examen et le contrôle des concepts de sécurité existants, par exemple sur des thèmes tels que les autorisations SAP ou la gestion des utilisateurs en cas d'urgence.
D'un point de vue méthodologique, l'audit comprend la réalisation d'un scan des points faibles. En outre, les résultats sont évalués dans le contexte de l'environnement système concerné et les "faux positifs" sont éliminés. Les recommandations d'action qui en résultent pour sécuriser davantage les systèmes SAP sont beaucoup plus détaillées et approfondies que ce qui est possible dans le rapport d'un scan de vulnérabilité, et la valeur informative d'un audit de sécurité et de conformité concernant la sécurisation des systèmes SAP va donc bien au-delà, car les résultats sont soumis à une évaluation supplémentaire, considérés dans le contexte de l'environnement système de l'entreprise concernée et résumés dans un rapport détaillé. Il est impérativement recommandé d'effectuer des audits en tant que première préparation et après l'achèvement de mesures de durcissement ainsi que dans le cadre d'une migration de système ou de plateforme.
Test de pénétration
Un test d'intrusion, appelé pentest, tente, à la différence des scans de vulnérabilité et des audits, d'exploiter activement les points faibles. L'analyse automatisée des vulnérabilités s'oppose ici à une procédure qui requiert des connaissances approfondies ainsi que des outils issus de différents domaines. Un test d'intrusion nécessite une planification complète en ce qui concerne le résultat à atteindre, la méthode à appliquer et les outils à utiliser. L'objectif central d'un pentest est d'identifier les processus commerciaux non sécurisés, les paramètres de sécurité défectueux ou d'autres points faibles qu'un attaquant pourrait exploiter. Par exemple, la transmission de mots de passe non cryptés, la réutilisation de mots de passe standard et les bases de données oubliées dans lesquelles sont stockées des informations d'identification utilisateur valides peuvent être détectées. Les pentests ne doivent pas être effectués aussi fréquemment que les scans de vulnérabilité, mais il est conseillé de les répéter à intervalles réguliers.
Il est également judicieux que les tests d'intrusion soient réalisés par un prestataire externe et non par des collaborateurs internes. Ils garantissent ainsi une vision objective et évitent les conflits d'intérêts. Les externes devraient avoir une expérience étendue et approfondie dans le domaine des technologies de l'information, de préférence dans le secteur d'activité de l'entreprise. Outre l'accent mis sur l'exhaustivité et la compréhension de la manière et des raisons pour lesquelles l'environnement d'une entreprise pourrait être compromis, la capacité à appliquer des schémas de pensée abstraits et à anticiper le comportement des acteurs de la menace est importante pour la réalisation de cette prestation.
Identifier les points faibles
Dans l'optique d'une protection globale, la meilleure protection possible contre les vulnérabilités résulte de ces trois méthodologies appliquées à des intervalles différents. Chaque approche de test, de l'analyse de vulnérabilité aux tests d'intrusion ciblés, est essentielle à une stratégie de sécurité globale. Cependant, la complexité des applications SAP rend difficile le respect systématique des bonnes pratiques de sécurité - la quantité de logs générés est trop importante pour être analysée manuellement. Il est donc judicieux de faire appel à des spécialistes externes comme Pathlock. Ceux-ci proposent non seulement des conseils en matière de sécurité, dans le cadre desquels des experts en conformité disposant du savoir-faire nécessaire identifient les points faibles même pour les pentests, mais également une série de solutions automatisées d'analyse et de détection des menaces.
DE
EN
ES
FR
