Certificats SAP : les limites de la norme comme opportunité

Le scénario catastrophe suivant est tout à fait réaliste : vous avez oublié de renouveler un ou plusieurs certificats numériques pour la communication interne et externe des systèmes SAP ou de leurs composants. Que se passe-t-il ? L'utilisation de SAP Financials, SAP Human Resource Management ou d'autres applications SAP, par exemple, est compromise après la date d'expiration des certificats nécessaires.

Si aucune mesure de sécurité n'a été prise, SAP ne prendra plus en charge les processus métier. Ce serait alors certainement le pire des scénarios. Depuis des années, SAP prend en charge de manière optimale la gestion des certificats numériques. Cela va jusqu'à la génération de demandes de certification (génération de codes CSR, Certificate Signing Request) ou l'importation de certificats via Abap/Strust ou Cloud Connector ou d'autres méthodes de programmation.

Il n'en reste pas moins que les certificats expirés doivent être identifiés tant dans leur ensemble que dans le détail, puis générés manuellement. Dans les entreprises, cette tâche incombe généralement aux experts SAP Basis ou Infrastructure, parfois en collaboration avec des spécialistes de la sécurité ou des équipes chargées de la conformité. Ici et là, des prestataires externes se chargent également de la „ gestion des certificats “.

Un défi à relever : dans la pratique, il ne s'agit généralement pas d'un seul certificat, mais de plusieurs. Parfois même plusieurs centaines. Et ce qui pèse lourd, c'est surtout le fait que les renouvellements de certificats doivent avoir lieu à des intervalles de plus en plus courts. Avec les efforts et les ressources que cela implique.

De plus, alors que la durée de validité maximale était encore de 398 jours à compter du 1er septembre 2020, la validité d'un certificat numérique ne sera plus que de 47 jours à compter du 15 mars 2029. Les renouvellements de certificats seront donc de plus en plus fréquents.

D'ailleurs, ces validités sont définies par des autorités de certification (CA), une coopération entre les fabricants de navigateurs Web et les organismes de certification. En tant qu'organisation, ils adoptent des directives communes pour l'infrastructure à clé publique X.509.

Avantages de l'automatisation

L'objectif des logiciels d'automatisation est d'automatiser les tâches ou les travaux récurrents ou manuels. La devise est la suivante : „ Automatiser tout ce qui peut l'être. “ Cela vaut également pour le domaine de la gestion des certificats. Le marché des solutions de gestion automatisée des certificats est assez restreint. Ces solutions spécialisées ont néanmoins connu un développement dynamique au fil du temps. Notamment parce qu'il existe une forte demande pour ce type de service indispensable.

Le contexte est à la fois simple et évident. Les équipes chargées de la gestion des certificats dans les entreprises doivent gérer de nombreux aspects liés au fonctionnement du système SAP. De plus, les ressources sont limitées, alors que les tâches ne cessent d'augmenter. Du point de vue du marché du travail, l'informatique reste un secteur en pénurie.

Un logiciel d'automatisation intelligent permet en fin de compte d'économiser du temps et de l'argent. Dans le même temps, les tâches/activités sont toujours réalisées avec un niveau de qualité constant. En d'autres termes, la sécurité et la productivité augmentent. Et ce, dans tous les domaines d'activité SAP Basis. Qu'il s'agisse de la création d'une copie du système SAP, des mises à jour, du démarrage et de l'arrêt des systèmes SAP, de la gestion des notes SAP SEC ou encore de la gestion des certificats.

Logiciel de gestion des certificats

Comment un logiciel de gestion des certificats basé sur les meilleures pratiques doit-il ou devrait-il être conçu dans les grandes lignes ? Que doit-il offrir ou apporter ?

Il va sans dire qu'elle doit être conçue dès le départ pour répondre aux besoins et aux spécificités de SAP. Cela signifie tout d'abord que tous les certificats liés à SAP ou pertinents pour SAP doivent être présentés de manière claire, complète et globale à l'aide d'une interface utilisateur (UI) simple et conviviale, sur la base des données de reporting. Mais ce n'est pas tout.

Il devrait également être possible de créer des tâches de certification à partir du reporting ; en outre, il faudrait pouvoir déterminer quelles tâches doivent être effectuées et à quel moment. Mot-clé : planification. Dans le même temps, il est bien sûr impératif que la date de renouvellement des certificats ainsi que les certificats à renouveler soient affichés. Par exemple, derrière tel ou tel certificat, marqués d'une coche verte ou d'un X rouge.

Gestion des certificats sous forme d'application

Une application de gestion des certificats doit également être capable d'automatiser diverses étapes ou phases sur la base des meilleures pratiques. Par exemple, la génération automatique de demandes de signature de certificat (CSR). Il en va de même pour la vérification et l'importation des certificats. Ou encore : la concaténation automatique des certificats primaires, intermédiaires et racines.

De plus : suppression automatisée des certificats expirés, y compris sauvegarde intelligente des PSE et détermination dynamique des PSE. Malgré l'automatisation, il devrait toutefois exister des mécanismes permettant d'intervenir manuellement de manière flexible dans les processus ou de corriger les processus/opérations si nécessaire.
D'un point de vue conceptuel, une solution de gestion des certificats sous forme d'application doit prendre en compte deux phases. D'une part, le cycle de vérification et, d'autre part, le cycle réel.

Cela a été mis en œuvre, par exemple, dans l'application de gestion des certificats de la suite d'automatisation SAP Epos d'Empirius. Comme mentionné précédemment, les données de tous les certificats sont fournies par l'application Epos Reporting App/Collector All-in App. Le processus de vérification se concentre sur les étapes suivantes : sélection des certificats, comparaison avec la liste du système, création des demandes de signature de certificat (CSR) et vérification des certificats. Viennent ensuite l'exécution réelle avec sauvegarde du Personal Security Environment (PSE), l'importation des certificats à l'aide de Strust/sapgenpse et, le cas échéant, la suppression des certificats qui ne sont plus nécessaires.

De plus, des fonctions telles que la détermination dynamique des PSE, la création de tâches de certification à partir du reporting, le résultat de la tâche „ dans l'application “, la vérification Cert/CSR ou les vérifications logiques dans l'interface utilisateur sont également prises en compte. Les certificats SAP Hana, Web Dispatcher ou Host Agent sont pris en charge, tout comme les PSE n'apparaissant pas dans la transaction Stust, les PSE protégés par mot de passe ou Java. D'ailleurs, certains utilisateurs d'Epos utilisent exclusivement l'application Certificate Management. La plupart utilisent plusieurs applications de la suite d'automatisation SAP.

Suite d'automatisation SAP Epos

Empirius poursuit en permanence le développement de la suite d'automatisation SAP Epos et des différentes applications. Les nouveautés de la version 25.6 actuelle mettent notamment l'accent sur l'amélioration de la clarté, de la cohérence et du confort dans l'automatisation.

La version 25.6 actuelle comprend également deux nouvelles applications : d'une part, „ SAP Transports “ pour, par exemple, l'intégration/la configuration simple de nouvelles imprimantes dans SAP ; d'autre part, „ Java Update App “ pour la prise en charge des mises à jour Java automatisées. La suite d'automatisation SAP comprend désormais plus de 20 applications pour l'automatisation SAP Basis, utilisables comme système „ Central Point of Management “ pour les équipes SAP Basis et SAP Infrastructure.