{"id":134854,"date":"2023-11-21T08:00:00","date_gmt":"2023-11-21T07:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=134854"},"modified":"2023-11-20T09:52:42","modified_gmt":"2023-11-20T08:52:42","slug":"sap-scan-des-vulnerabilites-de-securite","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/sap-security-vulnerability-scan\/","title":{"rendered":"S\u00e9curit\u00e9 SAP : analyse des vuln\u00e9rabilit\u00e9s"},"content":{"rendered":"

L'offre va des analyses de vuln\u00e9rabilit\u00e9 aux tests d'intrusion en passant par les audits. L'approche la plus appropri\u00e9e d\u00e9pend toutefois des exigences individuelles en mati\u00e8re de r\u00e9sultats.<\/p>\n\n\n\n

Lors de l'ex\u00e9cution de scans de vuln\u00e9rabilit\u00e9, \u00e9galement appel\u00e9s Vulnerability Assessments, les syst\u00e8mes SAP sont analys\u00e9s de mani\u00e8re automatis\u00e9e ou semi-automatis\u00e9e \u00e0 la recherche de vuln\u00e9rabilit\u00e9s connues et les r\u00e9sultats sont r\u00e9pertori\u00e9s dans un rapport sous forme de tableau. Dans le cas le plus simple, il peut s'agir d'une liste des param\u00e8tres de s\u00e9curit\u00e9 d'un serveur d'application SAP, sans que ceux-ci ne soient soumis \u00e0 une \u00e9valuation. Il n'y a donc pas de v\u00e9rification pour savoir si les vuln\u00e9rabilit\u00e9s peuvent \u00eatre exploit\u00e9es, comme ce serait le cas lors d'un test d'intrusion.<\/p>\n\n\n\n

En outre, certaines des vuln\u00e9rabilit\u00e9s identifi\u00e9es peuvent \u00eatre ce que l'on appelle des \"faux positifs\", qui sont certes r\u00e9pertori\u00e9s, mais qui ne repr\u00e9sentent aucun danger dans le contexte actuel du syst\u00e8me ou qui sont justifi\u00e9s par la technique du syst\u00e8me. M\u00eame si l'on ne v\u00e9rifie pas ici la pr\u00e9sence de menaces actives, des analyses de vuln\u00e9rabilit\u00e9 r\u00e9guli\u00e8res sont n\u00e9anmoins n\u00e9cessaires pour garantir la s\u00e9curit\u00e9 de l'information en g\u00e9n\u00e9ral, et elles devraient \u00eatre r\u00e9p\u00e9t\u00e9es \u00e0 intervalles p\u00e9riodiques. Un scan de vuln\u00e9rabilit\u00e9 d\u00e9tecte non seulement un param\u00e9trage erron\u00e9 des serveurs d'applications SAP, mais aussi des probl\u00e8mes tels que l'absence de correctifs et des protocoles, certificats et services obsol\u00e8tes.<\/p>\n\n\n\n

Audit de s\u00e9curit\u00e9 et de conformit\u00e9<\/h2>\n\n\n\n

Un audit de s\u00e9curit\u00e9 et de conformit\u00e9 est un examen complet et formel de la s\u00e9curit\u00e9 des syst\u00e8mes et des processus li\u00e9s \u00e0 la s\u00e9curit\u00e9 d'une entreprise. Un audit SAP repr\u00e9sente donc un contr\u00f4le complet et approfondi non seulement des attributs physiques tels que la s\u00e9curit\u00e9 de la plateforme d'exploitation, du serveur d'application ainsi que de l'architecture du r\u00e9seau, mais aussi l'examen et le contr\u00f4le des concepts de s\u00e9curit\u00e9 existants, par exemple sur des th\u00e8mes tels que les autorisations SAP ou la gestion des utilisateurs en cas d'urgence.<\/p>\n\n\n\n

D'un point de vue m\u00e9thodologique, l'audit comprend la r\u00e9alisation d'un scan des points faibles. En outre, les r\u00e9sultats sont \u00e9valu\u00e9s dans le contexte de l'environnement syst\u00e8me concern\u00e9 et les \"faux positifs\" sont \u00e9limin\u00e9s. Les recommandations d'action qui en r\u00e9sultent pour s\u00e9curiser davantage les syst\u00e8mes SAP sont beaucoup plus d\u00e9taill\u00e9es et approfondies que ce qui est possible dans le rapport d'un scan de vuln\u00e9rabilit\u00e9, et la valeur informative d'un audit de s\u00e9curit\u00e9 et de conformit\u00e9 concernant la s\u00e9curisation des syst\u00e8mes SAP va donc bien au-del\u00e0, car les r\u00e9sultats sont soumis \u00e0 une \u00e9valuation suppl\u00e9mentaire, consid\u00e9r\u00e9s dans le contexte de l'environnement syst\u00e8me de l'entreprise concern\u00e9e et r\u00e9sum\u00e9s dans un rapport d\u00e9taill\u00e9. Il est imp\u00e9rativement recommand\u00e9 d'effectuer des audits en tant que premi\u00e8re pr\u00e9paration et apr\u00e8s l'ach\u00e8vement de mesures de durcissement ainsi que dans le cadre d'une migration de syst\u00e8me ou de plateforme.<\/p>\n\n\n\n

Test de p\u00e9n\u00e9tration<\/h2>\n\n\n\n

Un test d'intrusion, appel\u00e9 pentest, tente, \u00e0 la diff\u00e9rence des scans de vuln\u00e9rabilit\u00e9 et des audits, d'exploiter activement les points faibles. L'analyse automatis\u00e9e des vuln\u00e9rabilit\u00e9s s'oppose ici \u00e0 une proc\u00e9dure qui requiert des connaissances approfondies ainsi que des outils issus de diff\u00e9rents domaines. Un test d'intrusion n\u00e9cessite une planification compl\u00e8te en ce qui concerne le r\u00e9sultat \u00e0 atteindre, la m\u00e9thode \u00e0 appliquer et les outils \u00e0 utiliser. L'objectif central d'un pentest est d'identifier les processus commerciaux non s\u00e9curis\u00e9s, les param\u00e8tres de s\u00e9curit\u00e9 d\u00e9fectueux ou d'autres points faibles qu'un attaquant pourrait exploiter. Par exemple, la transmission de mots de passe non crypt\u00e9s, la r\u00e9utilisation de mots de passe standard et les bases de donn\u00e9es oubli\u00e9es dans lesquelles sont stock\u00e9es des informations d'identification utilisateur valides peuvent \u00eatre d\u00e9tect\u00e9es. Les pentests ne doivent pas \u00eatre effectu\u00e9s aussi fr\u00e9quemment que les scans de vuln\u00e9rabilit\u00e9, mais il est conseill\u00e9 de les r\u00e9p\u00e9ter \u00e0 intervalles r\u00e9guliers.<\/p>\n\n\n\n

Il est \u00e9galement judicieux que les tests d'intrusion soient r\u00e9alis\u00e9s par un prestataire externe et non par des collaborateurs internes. Ils garantissent ainsi une vision objective et \u00e9vitent les conflits d'int\u00e9r\u00eats. Les externes devraient avoir une exp\u00e9rience \u00e9tendue et approfondie dans le domaine des technologies de l'information, de pr\u00e9f\u00e9rence dans le secteur d'activit\u00e9 de l'entreprise. Outre l'accent mis sur l'exhaustivit\u00e9 et la compr\u00e9hension de la mani\u00e8re et des raisons pour lesquelles l'environnement d'une entreprise pourrait \u00eatre compromis, la capacit\u00e9 \u00e0 appliquer des sch\u00e9mas de pens\u00e9e abstraits et \u00e0 anticiper le comportement des acteurs de la menace est importante pour la r\u00e9alisation de cette prestation.<\/p>\n\n\n\n

Identifier les points faibles<\/h2>\n\n\n\n

Dans l'optique d'une protection globale, la meilleure protection possible contre les vuln\u00e9rabilit\u00e9s r\u00e9sulte de ces trois m\u00e9thodologies appliqu\u00e9es \u00e0 des intervalles diff\u00e9rents. Chaque approche de test, de l'analyse de vuln\u00e9rabilit\u00e9 aux tests d'intrusion cibl\u00e9s, est essentielle \u00e0 une strat\u00e9gie de s\u00e9curit\u00e9 globale. Cependant, la complexit\u00e9 des applications SAP rend difficile le respect syst\u00e9matique des bonnes pratiques de s\u00e9curit\u00e9 - la quantit\u00e9 de logs g\u00e9n\u00e9r\u00e9s est trop importante pour \u00eatre analys\u00e9e manuellement. Il est donc judicieux de faire appel \u00e0 des sp\u00e9cialistes externes comme Pathlock. Ceux-ci proposent non seulement des conseils en mati\u00e8re de s\u00e9curit\u00e9, dans le cadre desquels des experts en conformit\u00e9 disposant du savoir-faire n\u00e9cessaire identifient les points faibles m\u00eame pour les pentests, mais \u00e9galement une s\u00e9rie de solutions automatis\u00e9es d'analyse et de d\u00e9tection des menaces.<\/p>\n\n\n\n

\"Inscription<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

Afin d'\u00e9valuer le potentiel de risque des paysages SAP, il est n\u00e9cessaire d'avoir une vue d'ensemble de la situation.
\nIl existe de nombreuses mesures parmi lesquelles il est difficile de garder une vue d'ensemble.<\/p>","protected":false},"author":2368,"featured_media":134864,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,43645],"tags":[43699,236],"coauthors":[43700],"class_list":["post-134854","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-23-11","tag-complience-audit","tag-sap","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Um das Gef\u00e4hrdungspotenzial von SAP-Landschaften einsch\u00e4tzen zu
\nk\u00f6nnen und m\u00f6gliche Angriffspunkte zu identifizieren, gibt es zahlreiche Ma\u00dfnahmen, bei denen es eine Herausforderung darstellt, den \u00dcberblick zu behalten.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 23-11<\/a>","author_info_v2":{"name":"E3 Magazine","url":"https:\/\/e3mag.com\/fr\/author\/e3_magazin\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/134854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/2368"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=134854"}],"version-history":[{"count":3,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/134854\/revisions"}],"predecessor-version":[{"id":134859,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/134854\/revisions\/134859"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/134864"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=134854"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=134854"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=134854"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=134854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}