Politique de sécurité et solutions efficaces

La propagation de la faille Invoke Servlet dans les implémentations SAP-NetWeaver non mises à jour ou mal configurées montre actuellement les lacunes de la sécurité des implémentations SAP.

Bien qu'un correctif ait été mis à disposition par SAP il y a six ans déjà, il existe encore au printemps 2016 des indices d'un exploit de la faille de sécurité dans 36 entreprises aux Etats-Unis, au Royaume-Uni, en Allemagne, en Chine, en Inde, au Japon et en Corée du Sud.

13 des entreprises concernées génèrent plus de 13 milliards de dollars de chiffre d'affaires par an. La vulnérabilité peut permettre un contrôle total non autorisé des systèmes SAP affectés.

Si la volonté d'améliorer la sécurité SAP ne devrait pas faire défaut, ce sont les ressources qui semblent manquer. Il faut y remédier : un élément clé est la mise en place de solutions contextuelles pour l'inventaire et la surveillance des vulnérabilités, ainsi que pour la détection et la réaction immédiate aux événements et aux accès inhabituels.

Ils permettent et exigent un processus de sécurité complet afin d'éviter de telles pannes.

Un plan en cinq points permet d'établir et de mettre en œuvre le processus de sécurité SAP à l'échelle de l'entreprise :

1. Découper la topologie SAP : L'analyse de l'infrastructure SAP donne une vue d'ensemble de tous les systèmes SAP, y compris les systèmes de développement et de gestion de la qualité. Une topologie automatisée et continue montre quels processus commerciaux un système supporte et quelles informations chaque système stocke et traite. C'est la seule façon d'évaluer l'impact des points faibles.
2. Identifier et évaluer les risques : l'étape suivante consiste à inventorier et à évaluer les risques résultant de mauvaises configurations lors de la mise en œuvre. L'évaluation se fait à partir des exigences du secteur ou de la politique de sécurité dans les entreprises. L'étape suivante permet de classer les mesures de défense par ordre de priorité.
3. Réunir les parties prenantes autour d'une table : plusieurs acteurs sont généralement responsables d'une infrastructure SAP. Mais le dialogue s'avère difficile. Les départements SAP, les équipes de sécurité de l'information ainsi que les CISO et CDO ne se concertent souvent pas. Les départements spécialisés se concentrent sur la productivité des systèmes SAP. Le niveau C ne voit peut-être pas que la sécurité SAP doit faire partie de la stratégie globale de sécurité informatique. Les administrateurs de la sécurité informatique manquent souvent de visibilité sur les applications SAP et leurs échanges de données. L'inventaire et l'évaluation des risques et des vulnérabilités fournissent une base de discussion qui permet à toutes les parties concernées d'identifier les problèmes et de répartir les responsabilités de manière claire et équitable.
4. Définir un plan d'action : Un plan d'action commun intègre la sécurité SAP dans les initiatives de sécurité existantes et utilise également le cadre de sécurité informatique existant. Pour ce faire, il convient d'adopter une approche flexible qui combine des mesures de prévention, de détection et de défense contre les menaces. Les critères CIS (Critical Security Controls) de sans.org constituent de bons critères pour un tel plan de sécurité. En outre, les entreprises devraient mettre en place des services qui les informent en permanence des risques de sécurité informatique actuels, tant généraux que spécifiques à SAP. Un élément important du plan d'action est la mise à jour des systèmes SAP par les correctifs de l'éditeur.
5. Mesurer les progrès réalisés : Le CISO définit les objectifs communs de la politique de sécurité SAP de l'entreprise et mesure les progrès grâce à des évaluations continues de la situation en matière de sécurité. Les technologies modernes fournissent des rapports delta qui documentent les changements de la configuration de sécurité.

La sécurité SAP devient réalisable dès que les solutions techniques permettent la mise en œuvre d'une stratégie de sécurité qui, à l'étape suivante, devient partie intégrante de la sécurité informatique générale d'une entreprise.

Actuellement, les entreprises ont un grand besoin de rattrapage, qui commence déjà par l'attribution litigieuse ou inexistante des responsabilités : les départements spécialisés SAP, les équipes de sécurité de l'information ainsi que les CISO et CDO n'agissent souvent pas de manière coordonnée.

Les départements spécialisés se concentrent davantage sur la productivité des systèmes SAP. Le niveau C ne voit parfois pas que la sécurité SAP doit faire partie intégrante de la stratégie globale de sécurité informatique.

Les administrateurs de la sécurité informatique manquent souvent de visibilité sur les applications métier et l'échange de données. Une répartition peu claire des responsabilités et un faible échange d'informations sont souvent à l'origine de lacunes dans la sécurité SAP.

Une politique de sécurité SAP cohérente commence donc tout d'abord par la création d'une base de discussion par le biais d'une évaluation continue et d'une évaluation des risques pour toutes les parties concernées. Mais ces résultats doivent également être intégrés dans la politique générale de sécurité informatique.