{"id":149308,"date":"2025-02-24T07:00:00","date_gmt":"2025-02-24T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=149308"},"modified":"2025-02-24T09:21:01","modified_gmt":"2025-02-24T08:21:01","slug":"developpeur-sap-chef-de-la-defense-au-lieu-de-probleme-de-securite","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/developpeur-sap-chef-de-la-defense-au-lieu-de-probleme-de-securite\/","title":{"rendered":"D\u00e9veloppeurs SAP : chef de la d\u00e9fense plut\u00f4t que probl\u00e8me de s\u00e9curit\u00e9 ?"},"content":{"rendered":"<p>Les d\u00e9veloppeurs SAP travaillent dans des environnements int\u00e9gr\u00e9s critiques pour l'entreprise et cr\u00e9ent des logiciels qui traitent des donn\u00e9es avec des caract\u00e9ristiques de s\u00e9curit\u00e9 et des exigences r\u00e9glementaires sp\u00e9cifiques.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">R\u00f4le essentiel des d\u00e9veloppeurs<\/h2>\n\n\n\n<p>Les d\u00e9veloppeurs SAP jouent un r\u00f4le majeur dans la conception du paysage de s\u00e9curit\u00e9 des environnements SAP. Le d\u00e9veloppement du code relatif aux modifications apport\u00e9es aux fonctions SAP existantes ou aux nouvelles applications et interfaces peut constituer un projet de d\u00e9veloppement informatique aussi complexe que souhait\u00e9. Ces adaptations sont souvent n\u00e9cessaires, mais elles peuvent comporter des vuln\u00e9rabilit\u00e9s et r\u00e9duire le niveau de s\u00e9curit\u00e9 de l'ensemble du syst\u00e8me.<\/p>\n\n\n\n<p><br>De nombreuses failles de s\u00e9curit\u00e9 dans l'environnement SAP sont dues \u00e0 un manque d'exigences, \u00e0 des d\u00e9cisions erron\u00e9es dans la conception du logiciel et le choix des outils et \u00e0 un manque de connaissances sur les pratiques de programmation s\u00e9curis\u00e9es avec les langages de programmation et les frameworks utilis\u00e9s. Ce faisant, les d\u00e9veloppeurs cr\u00e9ent sans le savoir plusieurs vuln\u00e9rabilit\u00e9s telles que des travers\u00e9es de r\u00e9pertoire, des vuln\u00e9rabilit\u00e9s de cross-site scripting ou des erreurs dans le contr\u00f4le d'acc\u00e8s. Une seule faille peut exposer des donn\u00e9es commerciales sensibles ou permettre la compromission du syst\u00e8me par un attaquant. En l'\u00e9tat actuel des choses, les d\u00e9veloppeurs g\u00e9n\u00e8rent de nouveaux risques de s\u00e9curit\u00e9 en plus de l'utilit\u00e9 de leur travail. Les d\u00e9veloppeurs disposent d'autorisations \u00e9tendues. Avec des droits d'acc\u00e8s \u00e9tendus, les d\u00e9veloppeurs peuvent, par inadvertance ou par malveillance, introduire des portes d\u00e9rob\u00e9es, manipuler des donn\u00e9es critiques ou contourner les contr\u00f4les de s\u00e9curit\u00e9. Les listes de contr\u00f4le pour la v\u00e9rification des autorisations de transport ne comprennent souvent pas, \u00e0 ce jour, de v\u00e9rification des d\u00e9fauts de s\u00e9curit\u00e9 ou des logiciels malveillants.<\/p>\n\n\n\n<p>Si aucune s\u00e9paration des t\u00e2ches n'est impos\u00e9e et que les d\u00e9veloppeurs ont librement acc\u00e8s aux environnements de d\u00e9veloppement, de test et de production, le piratage de ces acc\u00e8s est particuli\u00e8rement int\u00e9ressant pour les attaquants. En dehors du monde SAP, le profil d'un d\u00e9veloppeur SAP serait qualifi\u00e9 de d\u00e9veloppeur \"full stack\". Ce terme, qui se distingue du frontend et du backend, d\u00e9signe les programmeurs qui r\u00e9alisent une application de mani\u00e8re autonome, de l'interface utilisateur \u00e0 la logique commerciale en passant par les int\u00e9grations, en utilisant la pile technologique disponible.<\/p>\n\n\n\n<p>En combinaison avec leur connaissance des processus, les d\u00e9veloppeurs SAP livrent quotidiennement des milliers d'extensions et d'adaptations avec la bo\u00eete \u00e0 outils SAP, offrant ainsi aux clients SAP un \u00e9norme potentiel d'innovation et un avantage concurrentiel. La bo\u00eete \u00e0 outils propos\u00e9e par SAP est de plus en plus grande et on attend souvent des d\u00e9veloppeurs SAP qu'ils ma\u00eetrisent le clavier, de la maintenance d'une application SAP GUI existante \u00e0 l'utilisation d'\u00e9l\u00e9ments Fiori et tout ce qui se trouve entre les deux. Chacun de ces claviers poss\u00e8de des caract\u00e9ristiques de s\u00e9curit\u00e9 individuelles que le d\u00e9veloppeur SAP doit prendre en compte lors de leur utilisation afin d'\u00e9viter les vuln\u00e9rabilit\u00e9s et d'appliquer correctement les exigences de s\u00e9curit\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Apprentissage par la pratique fatal<\/h2>\n\n\n\n<p>Il est rare que vous puissiez y consacrer du temps et des ressources - la plupart du temps, c'est une mentalit\u00e9 d'\"apprentissage par la pratique\" qui pr\u00e9vaut, avec ses cons\u00e9quences. \"Je n'aurais jamais pens\u00e9 au terme 'transport' en tant que format de livraison de logiciels\", d\u00e9clare l'architecte de la s\u00e9curit\u00e9 logicielle d'une banque. Souvent, le reste de l'exploitation informatique et la s\u00e9curit\u00e9 de l'information ne savent absolument pas \u00e0 quelle fr\u00e9quence et dans quelle mesure le d\u00e9veloppement de logiciels a lieu avec les technologies SAP comme plate-forme d'application. Un architecte logiciel chez un client a d\u00e9crit cela comme \"l'\u00e9l\u00e9phant cach\u00e9\" de sa pratique de d\u00e9veloppement logiciel. <\/p>\n\n\n\n<p>Mais il arrive aussi que les initiatives visant \u00e0 contr\u00f4ler les processus de d\u00e9veloppement de logiciels ou \u00e0 am\u00e9liorer la qualit\u00e9 et la s\u00e9curit\u00e9 n'int\u00e8grent pas le d\u00e9veloppement SAP et que les processus et outils d\u00e9finis \u00e0 cet effet ne soient pas ou que partiellement applicables au d\u00e9veloppement SAP. Dans ce contexte, des erreurs dans les d\u00e9veloppements et les add-ons propres aux clients peuvent causer des probl\u00e8mes de s\u00e9curit\u00e9 consid\u00e9rables. Comme tout langage de programmation, Abap et consorts ont des caract\u00e9ristiques sp\u00e9cifiques dont il faut tenir compte en tant que d\u00e9veloppeur.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mod\u00e8le d'erreur Abap<\/h2>\n\n\n\n<p>Parmi les dizaines de revues de code que j'ai effectu\u00e9es au cours des dix derni\u00e8res ann\u00e9es, les mod\u00e8les d'erreurs suivants se distinguent particuli\u00e8rement :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Validation insuffisante des entr\u00e9es, entra\u00eenant des vuln\u00e9rabilit\u00e9s de type Directory Traversal, SQL Injection ou Code Injection. Cela a pour cons\u00e9quence directe ou indirecte la possibilit\u00e9 de compromettre compl\u00e8tement un syst\u00e8me SAP. Souvent, le manque de connaissance des propri\u00e9t\u00e9s de s\u00e9curit\u00e9 du framework ou de l'API utilis\u00e9 est \u00e0 la base de cette situation.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>des erreurs dans la conception et la mise en \u0153uvre des contr\u00f4les d'acc\u00e8s, telles que des contr\u00f4les d'autorisation manquants ou logiquement incorrects et une s\u00e9paration insuffisante des fonctions dans la conception du stockage ou du traitement et de l'affichage des donn\u00e9es. Cela peut s'accompagner d'une fuite d'informations confidentielles ou de leur compromission au niveau des transactions.<\/li>\n\n\n\n<li>des conceptions d'int\u00e9gration non s\u00e9curis\u00e9es, qui se traduisent en fin de compte par des possibilit\u00e9s de compromission des syst\u00e8mes SAP en production, par exemple \u00e0 partir d'environnements de test et de d\u00e9veloppement, ou qui permettent d'autres formes d'attaques par piratage de requ\u00eates c\u00f4t\u00e9 serveur<\/li>\n\n\n\n<li>Absence de nettoyage d'outils obsol\u00e8tes et g\u00e9n\u00e9ralement non pertinents ou de copies d'applications SAP standard dans lesquelles les fonctions de s\u00e9curit\u00e9 ont \u00e9t\u00e9 supprim\u00e9es ou les corrections de vuln\u00e9rabilit\u00e9 de SAP n'ont jamais \u00e9t\u00e9 int\u00e9gr\u00e9es. <\/li>\n<\/ul>\n\n\n\n<p>Utilisez exclusivement \"call transaction\" avec l'option \"with authority-check\" (extrait d'une directive de d\u00e9veloppement malheureusement typiquement mauvaise).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Paradigme Clean Core<\/h2>\n\n\n\n<p>Dans le monde SAP \u00e9galement, la s\u00e9curit\u00e9 des logiciels n\u00e9cessite des directives claires, associ\u00e9es \u00e0 des aides appropri\u00e9es pour les d\u00e9veloppeurs afin qu'ils puissent s'y conformer. Souvent, les initiatives de qualit\u00e9 de code et de s\u00e9curit\u00e9 ont \u00e9chou\u00e9 sur ce dernier point. Ni l'introduction d'une analyse de code source am\u00e9lior\u00e9e par rapport aux outils standard, ni les interdictions dans les directives de d\u00e9veloppement ne permettront aux d\u00e9veloppeurs SAP de prendre conscience de la s\u00e9curit\u00e9 et d'acqu\u00e9rir les comp\u00e9tences n\u00e9cessaires pour trouver des solutions.<\/p>\n\n\n\n<p>Une formation appropri\u00e9e et des guides utiles sous forme de \"how-to\" constituent la base du changement de culture n\u00e9cessaire pour que d'autres mesures et outils soient \u00e9galement efficaces. Mais un d\u00e9veloppeur SAP peut-il encore causer de graves probl\u00e8mes de s\u00e9curit\u00e9 \u00e0 l'avenir en appliquant le paradigme \"Clean Core\" et en utilisant des outils comme SAP Build et Joule ? Clean Core\" pr\u00f4ne la s\u00e9paration des extensions et des fonctionnalit\u00e9s de base. Outre l'objectif \u00e9go\u00efste de pouvoir mieux migrer les clients existants vers les services cloud de SAP et de les y habituer, les risques op\u00e9rationnels lors des mises \u00e0 jour et des migrations sont consid\u00e9rablement r\u00e9duits si l'application est correcte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Combler les lacunes en mati\u00e8re de s\u00e9curit\u00e9<\/h2>\n\n\n\n<p>L'utilisation de SAP Business Technology Platform (BTP) a pour cons\u00e9quence une s\u00e9paration plus stricte entre l'extension propre au client et le standard SAP. Si elle est bien mise en \u0153uvre, elle permet de r\u00e9duire ou d'endiguer fortement l'impact potentiel des vuln\u00e9rabilit\u00e9s typiques mentionn\u00e9es ci-dessus ou d'exclure certains d\u00e9fauts de s\u00e9curit\u00e9 tels que les vuln\u00e9rabilit\u00e9s de travers\u00e9e de r\u00e9pertoire. Les exigences concernant les capacit\u00e9s du d\u00e9veloppeur \u00e0 mettre en \u0153uvre correctement la s\u00e9curit\u00e9 et \u00e0 transformer des conceptions initialement orient\u00e9es vers les transactions en une architecture de microservices sont consid\u00e9rables. Ainsi, le d\u00e9veloppeur SAP doit d\u00e9sormais assumer des t\u00e2ches de s\u00e9curit\u00e9 plus pouss\u00e9es, comme la construction de r\u00f4les, l'application de nouveaux concepts pour la journalisation des applications et le contr\u00f4le des composants logiciels d\u00e9pendants et des biblioth\u00e8ques pour d\u00e9tecter les logiciels malveillants et les vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">La v\u00e9rit\u00e9 est dans le code<\/h2>\n\n\n\n<p>Dans le mod\u00e8le d'exploitation SAP classique, ces t\u00e2ches incombent \u00e0 l'administrateur des autorisations et \u00e0 l'administrateur de base. A cela s'ajoutent, avec la programmation cloudnative, de nouveaux sc\u00e9narios de menaces que le d\u00e9veloppeur SAP doit traiter. Par exemple, un d\u00e9ni de service \u00e9conomique (EDoS), dans lequel l'application est utilis\u00e9e abusivement pour solliciter les services et les ressources du cloud de mani\u00e8re si importante que les co\u00fbts ne peuvent pas \u00eatre support\u00e9s ou que les services sont d\u00e9sactiv\u00e9s en atteignant les valeurs de consommation maximales.<\/p>\n\n\n\n<p>Il doit comprendre la bo\u00eete \u00e0 outils SAP et ses caract\u00e9ristiques de s\u00e9curit\u00e9, ma\u00eetriser les concepts d'analyse de la s\u00e9curit\u00e9 des applications logicielles, mod\u00e9liser les menaces et mettre en \u0153uvre des contre-mesures. Ainsi, le d\u00e9veloppeur SAP devient un acteur central et pilote de la s\u00e9curit\u00e9 informatique de votre environnement SAP.<\/p>\n\n\n\n<p>En r\u00e9sum\u00e9, les applications SAP tant cloudnatives que classiques, qu'elles soient d\u00e9velopp\u00e9es par le client ou par des tiers, doivent \u00eatre soigneusement examin\u00e9es afin de d\u00e9terminer les points faibles et la conformit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9. Dans ce contexte, le r\u00f4le du d\u00e9veloppeur SAP passe de plus en plus du r\u00f4le de r\u00e9alisateur d'exigences fonctionnelles \u00e0 celui de conseiller qui trouve des solutions innovantes, prend en compte d\u00e8s le d\u00e9part la s\u00e9curit\u00e9 et la protection des donn\u00e9es ainsi que les exigences de s\u00e9curit\u00e9 pour l'exploitation et la mise \u00e0 disposition de son application et s'interroge sur leur mise en \u0153uvre suffisante.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Comprendre la bo\u00eete \u00e0 outils SAP<\/h2>\n\n\n\n<p>Il doit comprendre la bo\u00eete \u00e0 outils SAP et ses caract\u00e9ristiques de s\u00e9curit\u00e9, ma\u00eetriser les concepts d'analyse de la s\u00e9curit\u00e9 des applications logicielles, mod\u00e9liser les menaces et mettre en \u0153uvre des contre-mesures. Ainsi, le d\u00e9veloppeur SAP devient un acteur central et pilote de la s\u00e9curit\u00e9 informatique de votre environnement SAP.<\/p>","protected":false},"excerpt":{"rendered":"<p>Le r\u00f4le des d\u00e9veloppeurs SAP en mati\u00e8re de s\u00e9curit\u00e9 des syst\u00e8mes logiciels est similaire \u00e0 celui des autres programmeurs de logiciels. Il diff\u00e8re toutefois en termes de comp\u00e9tences n\u00e9cessaires et d'impact potentiel.<\/p>","protected":false},"author":5641,"featured_media":149309,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[44088,44093],"tags":[453,39870,1516],"coauthors":[44094],"class_list":["post-149308","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mag-25-03","category-steampunk","tag-abap","tag-btp-bdc","tag-security","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/02\/shutterstock_2487185861-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Die Rolle von SAP-Entwicklern in Bezug auf die Sicherheit von Softwaresystemen \u00e4hnelt der anderer Softwareprogrammierer. In Bezug auf die damit verbundenen n\u00f6tigen F\u00e4higkeiten und die m\u00f6glichen Auswirkungen unterscheidet sie sich jedoch.<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/fr\/categorie\/mag-25-03\/\" rel=\"category tag\">MAG 25-03<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/categorie\/steampunk\/\" rel=\"category tag\">Steampunk und BTP Summit<\/a>","author_info_v2":{"name":"Marco Hammel, No Monkey","url":"https:\/\/e3mag.com\/fr\/author\/marco-hammel\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/149308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/5641"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=149308"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/149308\/revisions"}],"predecessor-version":[{"id":149312,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/149308\/revisions\/149312"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/149309"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=149308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=149308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=149308"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=149308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}