{"id":140081,"date":"2024-03-07T07:00:00","date_gmt":"2024-03-07T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=140081"},"modified":"2024-09-19T10:36:32","modified_gmt":"2024-09-19T08:36:32","slug":"cybersecurity-protection-contre-les-malwares-au-niveau-des-applications-avec-sap-vsi","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/cybersecurity-protection-contre-les-malwares-au-niveau-des-applications-avec-sap-vsi\/","title":{"rendered":"Cybers\u00e9curit\u00e9 - Protection contre les logiciels malveillants au niveau des applications avec SAP VSI"},"content":{"rendered":"

Le nombre d'attaques contre les applications SAP ne cesse d'augmenter. Certes, les articles de presse et de m\u00e9dias sociaux relatifs aux incidents de s\u00e9curit\u00e9 ne mentionnent pas explicitement SAP, mais si l'on sait lire entre les lignes, on se rend vite compte que l'\"application de gestion des marchandises\" compromise ou le \"syst\u00e8me RH\" attaqu\u00e9 \u00e9tait tr\u00e8s probablement une application SAP. Il fallait s'attendre \u00e0 ce que la fr\u00e9quence et le taux de r\u00e9ussite des attaques contre les applications ERP d'entreprise augmentent. Apr\u00e8s tout, celles-ci repr\u00e9sentent les \"joyaux de donn\u00e9es\" de nombreuses entreprises et le \"butin\" escompt\u00e9 justifie, du point de vue des attaquants, l'investissement dans le d\u00e9veloppement de connaissances sp\u00e9cifiques \u00e0 SAP. Il n'est donc pas surprenant que la \"cybers\u00e9curit\u00e9 SAP\", en tant que discipline qui se distingue d\u00e9lib\u00e9r\u00e9ment de la \"s\u00e9curit\u00e9 SAP\" classique ax\u00e9e sur les SoD, les r\u00f4les et la GRC, ait d\u00e9sormais sa place dans les programmes de tous les \u00e9v\u00e9nements et publications SAP pertinents.<\/p>\n\n\n\n

La cybers\u00e9curit\u00e9 SAP est un sujet complexe avec de nombreux \u00e9l\u00e9ments qui poss\u00e8dent des interfaces avec la s\u00e9curit\u00e9 classique de l'infrastructure (OS, r\u00e9seau), mais aussi avec la s\u00e9curit\u00e9 de la logique commerciale et les aspects GRC d\u00e9j\u00e0 mentionn\u00e9s. L'une de ces facettes est la protection contre les logiciels malveillants et autres contenus dangereux dans les fichiers trait\u00e9s en tant que pi\u00e8ces jointes dans les applications SAP. Voici cinq raisons pour lesquelles cette protection est indispensable lorsque votre application traite des fichiers et des pi\u00e8ces jointes :<\/p>\n\n\n\n

Raison n\u00b01 : SAP recommande l'utilisation de VSI<\/h2>\n\n\n\n\n\n\n\n

Depuis sa premi\u00e8re publication en 2016, le \"Security-Guide for S\/4 HANA\" comporte un chapitre entier consacr\u00e9 au th\u00e8me \"Virus Scanning\". Il y est explicitement dit que l'utilisation d'un scanner de virus compatible avec VSI 2.x est recommand\u00e9e. Le code SAP S\/4 HANA appelle le scanner via une interface d\u00e9di\u00e9e (VSI, l'interface d'analyse virale SAP) \u00e0 diff\u00e9rents moments du traitement, par exemple lors du chargement, du t\u00e9l\u00e9chargement ou du passage par la passerelle. <\/p>\n\n\n\n

Certes, SAP continue de d\u00e9signer l'interface en question comme \"Virus Scan Interface\", mais dans la version 2.1 actuelle de l'interface, celle-ci a \u00e9t\u00e9 \u00e9tendue \u00e0 une interface compl\u00e8te de \"Content Scanning\". Dans son guide de s\u00e9curit\u00e9, SAP recommande ainsi trois types d'analyse :<\/p>\n\n\n\n

    \n
  1. D\u00e9tection de logiciels malveillants bas\u00e9e sur les signatures : <\/strong>Pour la d\u00e9tection de logiciels malveillants qui ne sont pas ex\u00e9cut\u00e9s, la d\u00e9tection bas\u00e9e sur les signatures reste la technique pr\u00e9f\u00e9r\u00e9e, avec des taux de d\u00e9tection \u00e9lev\u00e9s et des performances tr\u00e8s \u00e9lev\u00e9es. <\/li>\n\n\n\n
  2. Reconnaissance du type MIME<\/strong>g : Il s'agit ici de filtrer les transferts de fichiers sur la base du contenu des fichiers transf\u00e9r\u00e9s, et non pas uniquement sur la base de l'extension du nom du fichier, comme c'est le cas dans la norme SAP.<\/li>\n\n\n\n
  3. D\u00e9tection et blocage des contenus actifs<\/strong>Contenus actifs : Les contenus actifs sont ceux qui sont int\u00e9gr\u00e9s dans les fichiers et qui sont ex\u00e9cut\u00e9s lors de l'affichage ou du traitement des fichiers. Il s'agit par exemple des macros dans les documents Office, mais aussi de JavaScript dans les fichiers PDF, XML et images, des scripts, MS Silverlight, XSLT, OLE, DDE, etc.<\/li>\n<\/ol>\n\n\n\n\n\n\n\n

    Raison n\u00b0 2 : alertes pertinentes pour l'audit dans le Security Audit Log<\/h2>\n\n\n\n\n\n\n\n

    Dans le pass\u00e9, les transferts de fichiers dans les applications SAP ont souvent \u00e9t\u00e9 impl\u00e9ment\u00e9s \u00e0 l'insu des responsables de la s\u00e9curit\u00e9. Les noyaux ABAP actuels (\u00e0 partir de la version 757) g\u00e9n\u00e8rent donc des avertissements (SAL Event FU9) dans le Security Audit Log lorsque des fichiers ont \u00e9t\u00e9 transf\u00e9r\u00e9s et n'ont pas \u00e9t\u00e9 analys\u00e9s en raison d'une protection antivirus VSI manquante ou non activ\u00e9e. Lors d'un audit, de telles alertes sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9es comme un risque pour l'entreprise et une att\u00e9nuation doit \u00eatre d\u00e9montr\u00e9e.<\/p>\n\n\n

    \n
    \"\"\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button>
    Depuis le noyau 757, des avertissements sont g\u00e9n\u00e9r\u00e9s dans le journal d'audit de s\u00e9curit\u00e9 lorsque des fichiers sont transf\u00e9r\u00e9s vers ou depuis l'application sans \u00eatre analys\u00e9s.<\/em><\/figcaption><\/figure>\n<\/div>\n\n\n

    Raison n\u00b0 3 : les d\u00e9couvertes de l'\u00e9quipe rouge ou des tests de p\u00e9n\u00e9tration<\/h2>\n\n\n\n\n\n\n\n

    La proc\u00e9dure standard des tests d'intrusion consiste \u00e0 d\u00e9terminer si des logiciels malveillants peuvent \u00eatre t\u00e9l\u00e9charg\u00e9s dans l'application via les fonctionnalit\u00e9s de t\u00e9l\u00e9chargement de fichiers. Les Pen-Testers ou Red-Teamers utilisent g\u00e9n\u00e9ralement le fichier de test EICAR \u00e0 cet effet. Ce fichier n'est certes pas un v\u00e9ritable malware, mais il est bloqu\u00e9 par tous les scanners de virus. Si le fichier de test EICAR peut \u00eatre charg\u00e9 dans l'application, il s'agit d'une vuln\u00e9rabilit\u00e9 appel\u00e9e \"Unrestricted File Upload\" (MITRE CWE-434). Cette vuln\u00e9rabilit\u00e9 augmente d'ann\u00e9e en ann\u00e9e depuis 2019 dans le classement MITRE des vuln\u00e9rabilit\u00e9s les plus dangereuses et est entr\u00e9e dans le top 10 de ce classement en 2023.<\/p>\n\n\n\n

    Pour v\u00e9rifier si les filtres de type de fichier de l'application peuvent \u00eatre facilement contourn\u00e9s, les testeurs de stylo chargent \u00e9galement des fichiers avec de \"fausses\" extensions de fichier dans l'application (\"notepad.pdf\"). La cat\u00e9gorie \"Insecure Design\" \u00e0 laquelle appartient cette vuln\u00e9rabilit\u00e9 se trouve dans le top 10 des vuln\u00e9rabilit\u00e9s de l'Open Web Application Security Project (OWASP).<\/p>\n\n\n\n

    Raison n\u00b04 : l'anti-malware de niveau serveur ne prot\u00e8ge pas SAP<\/h2>\n\n\n\n\n\n\n\n

    Une id\u00e9e fausse tr\u00e8s r\u00e9pandue est qu'une solution de s\u00e9curit\u00e9 serveur install\u00e9e sur un serveur SAP au niveau du syst\u00e8me d'exploitation prot\u00e8ge \u00e9galement les transferts de fichiers dans l'application SAP. Tout d'abord, pour des raisons de performance, SAP recommande d'exclure tous les r\u00e9pertoires de l'instance SAP et de la base de donn\u00e9es de l'analyse en temps r\u00e9el effectu\u00e9e par l'antivirus au niveau du SE (voir la note SAP 106267). <\/p>\n\n\n\n

    Mais m\u00eame si cette remarque est ignor\u00e9e, les transferts de fichiers au niveau de l'application restent invisibles pour le scanner de virus sans connexion VSI. Cela s'explique par le fait que les scanners antivirus analysent toujours les fichiers lorsqu'ils sont \u00e9crits ou lus dans ou depuis le syst\u00e8me de fichiers. Dans le contexte d'une application SAP, un tel acc\u00e8s au syst\u00e8me de fichiers n'a pas lieu. Habituellement, un serveur d'application frontal - ou la passerelle dans le cas des applications FIORI - accepte le transfert de fichier et conserve le fichier en m\u00e9moire pour le transmettre ensuite \u00e0 un serveur backend (g\u00e9n\u00e9ralement via SAP RFC). Celui-ci n'\u00e9crit pas non plus le fichier dans le syst\u00e8me de fichiers, mais le stocke dans la base de donn\u00e9es ou dans un DMS, par exemple le SAP Content Server. \u00c0 aucun moment de cette cha\u00eene de traitement, il n'y a d'acc\u00e8s au syst\u00e8me de fichiers. Le fichier est transf\u00e9r\u00e9 au plus profond de l'application SAP sans jamais \u00eatre scann\u00e9.<\/p>\n\n\n\n

    M\u00eame les tentatives d'adresser le vecteur de menace du t\u00e9l\u00e9chargement de fichiers au niveau du r\u00e9seau ne donnent au mieux que des r\u00e9sultats partiels. Certes, il est d\u00e9sormais possible d'analyser les t\u00e9l\u00e9chargements via HTTP\/HTTPS dans un pare-feu NextGen ou un reverse proxy \u00e0 la recherche de logiciels malveillants, mais ces solutions \u00e9chouent g\u00e9n\u00e9ralement d\u00e8s les transferts \u00e0 partir de FIORI Apps, car le fichier est ici transf\u00e9r\u00e9 sous forme de cha\u00eene cod\u00e9e en BASE64 dans le canal OData via HTTP\/S. Cette imbrication n'est pas r\u00e9solue par les pare-feu NextGen et les reverse proxies. Le fichier contenu dans l'OData n'est pas non plus analys\u00e9. Les tentatives d'analyse des transferts via des protocoles propri\u00e9taires SAP tels que DIAG (utilis\u00e9 par l'interface utilisateur graphique SAP) ou SAP-RFC \u00e9chouent parce que ces protocoles ne peuvent pas \u00eatre d\u00e9cod\u00e9s, en particulier lorsque SNC est utilis\u00e9 pour crypter la connexion. <\/p>\n\n\n\n

    Raison n\u00b05 : Conformit\u00e9 et responsabilit\u00e9<\/h2>\n\n\n\n\n\n\n\n

    Presque toutes les organisations sont soumises \u00e0 des cadres de conformit\u00e9 qui exigent explicitement la mise en \u0153uvre d'une protection actualis\u00e9e contre les logiciels malveillants, correspondant \u00e0 l'\u00e9tat de la technique. En t\u00eate et \u00e0 la pointe de l'actualit\u00e9, il y a bien s\u00fbr NIS2, mais aussi ISO 27002:2022 - Control 8.7, PCI DSS, HIPAA et le Cloud Computing Catalogue du BSI.<\/p>\n\n\n\n

    SAP a introduit l'interface d'analyse virale en 2005 sur NetWeaver04 et l'a depuis impl\u00e9ment\u00e9e dans presque toutes les applications, y compris HANA XS\/XSA, Business Objects, etc. Dans les faits, l'utilisation de VSI correspond donc \u00e0 l'\u00e9tat de l'art.<\/p>\n\n\n\n

    Il en r\u00e9sulte que les entreprises qui n'impl\u00e9mentent pas de protection contre les logiciels malveillants via SAP VSI peuvent \u00eatre tenues pour responsables si des utilisateurs de l'application \u00e9trangers \u00e0 l'entreprise subissent un dommage en cons\u00e9quence, par exemple parce qu'ils t\u00e9l\u00e9chargent un fichier de l'application SAP infect\u00e9 par un logiciel malveillant, voire un ransomware.<\/p>\n\n\n\n

    Conclusion<\/h2>\n\n\n\n\n\n\n\n

    Les transferts de fichiers ou les pi\u00e8ces jointes dans les applications SAP repr\u00e9sentent un risque potentiel consid\u00e9rable. Cela concerne aussi bien la s\u00e9curit\u00e9 et l'int\u00e9grit\u00e9 de l'application elle-m\u00eame que celles des utilisateurs. La recherche de logiciels malveillants et d'autres contenus dangereux dans les fichiers lors de leur chargement et de leur t\u00e9l\u00e9chargement doit donc faire partie int\u00e9grante de la strat\u00e9gie de cybers\u00e9curit\u00e9 de SAP. Les solutions de protection contre les malwares au niveau du syst\u00e8me d'exploitation et du r\u00e9seau ne sont pas en mesure de s\u00e9curiser les transferts de fichiers dans les applications SAP. <\/p>\n\n\n\n

    C'est pourquoi SAP met \u00e0 disposition une interface d'analyse virale (VSI) dans tous les produits courants, avec laquelle les transferts de fichiers peuvent et doivent \u00eatre analys\u00e9s au niveau de l'application.<\/p>\n\n\n\n\n\n\n\n

    <\/div>\n\n\n\n

    Un publireportage de :<\/p>\n\n\n\n

    \"\"<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

    Dans le contexte SAP, les t\u00e9l\u00e9chargements ou les pi\u00e8ces jointes repr\u00e9sentent une menace particuli\u00e8re pour l'application et l'utilisateur, qui ne peut pas \u00eatre adress\u00e9e avec des outils de s\u00e9curit\u00e9 standard, mais qui n\u00e9cessite l'utilisation d'une API sp\u00e9ciale du noyau SAP pour la mitigation.<\/p>","protected":false},"author":1510,"featured_media":140089,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[44017,43842],"tags":[20346,43874],"coauthors":[22523],"class_list":["post-140081","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-extra-2403","category-mag-24-03","tag-cybersecurity","tag-vsi","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    Uploads oder Attachments stellen im SAP-Kontext eine besondere Bedrohung f\u00fcr Anwendung und Anwender dar, die mit Standard-Security-Tools nicht adressiert werden kann, sondern zur Mitigation die Verwendung einer besonderen SAP-Kernel-API erfordert.<\/p>\n","category_list_v2":"Extra 2403<\/a>, MAG 24-03<\/a>","author_info_v2":{"name":"J\u00f6rg Schneider-Simon, Bowbridge Software","url":"https:\/\/e3mag.com\/fr\/author\/joerg-schneider\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/140081","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1510"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=140081"}],"version-history":[{"count":18,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/140081\/revisions"}],"predecessor-version":[{"id":140149,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/140081\/revisions\/140149"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/140089"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=140081"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=140081"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=140081"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=140081"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}