{"id":20551,"date":"2017-04-19T11:55:27","date_gmt":"2017-04-19T09:55:27","guid":{"rendered":"http:\/\/e3mag.com\/?p=20551"},"modified":"2022-05-01T08:22:15","modified_gmt":"2022-05-01T06:22:15","slug":"acces-limite-pour-les-tuteurs-de-base","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/begrenzter-zugriff-fuer-basisbetreuer\/","title":{"rendered":"Acc\u00e8s limit\u00e9 pour les tuteurs de base"},"content":{"rendered":"<p>Avec DBACockpit et DB02, les collaborateurs de la base SAP disposent de deux transactions centrales qui leur permettent de surveiller, de contr\u00f4ler, de configurer et de g\u00e9rer les bases de donn\u00e9es SAP.<\/p>\n<p>De nombreuses fonctions de base peuvent \u00eatre ex\u00e9cut\u00e9es par ce biais, par exemple la v\u00e9rification de l'\u00e9tat du syst\u00e8me et des modes de fonctionnement, l'extension des tableaux ou la gestion et la mise \u00e0 jour des index des tableaux.<\/p>\n<p>En outre, les deux transactions contiennent le SQL Command Editor, qui permet d'acc\u00e9der directement aux tables fonctionnelles via des commandes dites Open-SQL.<\/p>\n<p>Les utilisateurs peuvent ainsi acc\u00e9der \u00e0 des informations critiques pour l'entreprise, telles que les donn\u00e9es du personnel et de la comptabilit\u00e9 financi\u00e8re ou encore les hashs de mots de passe.<\/p>\n<h3>Consulter d'urgence les correctifs de s\u00e9curit\u00e9 pour SQL Command Editor<\/h3>\n<p>SAP a livr\u00e9 de nombreux patchs de s\u00e9curit\u00e9 pour le SQL Command Editor. Ces patchs de s\u00e9curit\u00e9 doivent imp\u00e9rativement \u00eatre respect\u00e9s et appliqu\u00e9s.<\/p>\n<p>Pour r\u00e9guler l'acc\u00e8s aux donn\u00e9es SAP, SAP a \u00e9galement livr\u00e9 une nouvelle autorisation (S_TABU_SQL). Les entreprises peuvent ainsi d\u00e9terminer quels collaborateurs ont le droit d'acc\u00e9der \u00e0 quelles donn\u00e9es SAP. <a href=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/kastner.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"Acc\u00e8s limit\u00e9 pour les tuteurs de base\" class=\"wp-image-20557 alignright\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/kastner.jpg\" alt=\"Kastner\" width=\"194\" height=\"374\" srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/kastner.jpg 253w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/kastner-100x193.jpg 100w\" sizes=\"auto, (max-width: 194px) 100vw, 194px\" \/><\/a><\/p>\n<p>De plus, une fonction de suivi a \u00e9t\u00e9 impl\u00e9ment\u00e9e dans l'\u00e9diteur de commandes SQL, gr\u00e2ce \u00e0 laquelle chaque commande - autoris\u00e9e ou non - est automatiquement enregistr\u00e9e.<\/p>\n<p>Si ces donn\u00e9es de log sont en outre transf\u00e9r\u00e9es dans un syst\u00e8me SIEM (Security Information and Event Management), comme SAP Enterprise Threat Detection (ETD), et y sont analys\u00e9es, les entreprises obtiennent une transparence sur tous les acc\u00e8s qui ont eu lieu.<\/p>\n<p>Les abus \u00e9ventuels peuvent ainsi \u00eatre contr\u00e9s en temps r\u00e9el gr\u00e2ce au monitoring et aux alertes. Bien qu'il soit \u00e9galement n\u00e9cessaire, pour des raisons de protection des donn\u00e9es et de conformit\u00e9, de limiter l'acc\u00e8s aux collaborateurs de l'administration de base SAP, la r\u00e9alit\u00e9 est souvent diff\u00e9rente.<\/p>\n<p>Ainsi, les tests de s\u00e9curit\u00e9 SAP effectu\u00e9s dans des entreprises de toutes tailles et de tous secteurs identifient r\u00e9guli\u00e8rement des failles non corrig\u00e9es dans la fonction d'\u00e9diteur de commandes SQL de DBACOCKPIT et DB02.<\/p>\n<p>Les responsables de la base SAP ont donc de larges possibilit\u00e9s d'acc\u00e9der aux donn\u00e9es SAP sensibles.<\/p>\n<h3>Reprise compl\u00e8te envisageable<\/h3>\n<p>Pour illustrer les dommages cons\u00e9cutifs possibles, les experts en tests d'intrusion SAP de Virtual Forge ont commenc\u00e9 par lire la table USR02, qui contient les mots de passe des utilisateurs, dans un syst\u00e8me client s\u00e9lectionn\u00e9.<\/p>\n<p>Apr\u00e8s avoir r\u00e9ussi \u00e0 craquer les mots de passe crypt\u00e9s \u00e0 l'aide d'un outil de craquage de mots de passe, les testeurs ont pu se connecter sans probl\u00e8me au syst\u00e8me SAP et acc\u00e9der aux m\u00eames fonctions que celles auxquelles les utilisateurs individuels avaient droit.<\/p>\n<p>Les tests ont montr\u00e9 que des attaques malveillantes auraient pu aller jusqu'\u00e0 la compromission compl\u00e8te d'un syst\u00e8me SAP.<\/p>\n<p>Il est donc imp\u00e9ratif pour toute entreprise utilisatrice de SAP de mettre r\u00e9guli\u00e8rement \u00e0 jour les notes de s\u00e9curit\u00e9, notamment pour le SQL Command Editor.<\/p>\n<p>En outre, il convient d'effectuer des mises \u00e0 niveau au moins une fois par an et d'installer les derniers Support Packages, avec lesquels SAP fournit \u00e0 ses clients des corrections d'erreurs et des adaptations de logiciels prescrites par la loi.<\/p>\n<h3>Un conseil externe est recommand\u00e9<\/h3>\n<p>Comme la plupart des entreprises ne disposent pas d'experts en s\u00e9curit\u00e9 SAP, il est pr\u00e9f\u00e9rable de faire appel \u00e0 des prestataires de services externes pour l'application r\u00e9guli\u00e8re des correctifs de s\u00e9curit\u00e9.<\/p>\n<p>Il est indispensable que le partenaire de conseil apporte le savoir-faire n\u00e9cessaire en mati\u00e8re de s\u00e9curit\u00e9 et de SAP, notamment une exp\u00e9rience dans la mise en \u0153uvre de correctifs, une compr\u00e9hension des diff\u00e9rentes versions de SAP et des proc\u00e9dures de mise \u00e0 niveau, ainsi que des connaissances dans le domaine de la d\u00e9tection des menaces (\"threat detection\") et de la pr\u00e9vention.<\/p>\n<p>Dot\u00e9 de ces comp\u00e9tences, le fournisseur de s\u00e9curit\u00e9 SAP peut aider le client \u00e0 \u00e9valuer la criticit\u00e9 des patchs de s\u00e9curit\u00e9. En outre, le client re\u00e7oit des conseils sur le choix des tests n\u00e9cessaires pour \u00e9viter que des erreurs de programme et d'application ne se produisent lors de l'application des correctifs.<\/p>\n<p>Comme la v\u00e9rification s\u00e9lective rend superflus les tests de r\u00e9gression co\u00fbteux sur l'ensemble du syst\u00e8me SAP, le client \u00e9conomise ainsi beaucoup de temps et d'argent.<\/p>\n<h3>Utiliser des outils en compl\u00e9ment<\/h3>\n<p>Dans le domaine de la pr\u00e9vention, il est \u00e9galement possible d'utiliser des outils sp\u00e9ciaux pour d\u00e9tecter et corriger les erreurs dans la configuration personnalis\u00e9e du syst\u00e8me SAP.<\/p>\n<p>Le Virtual Forge SystemProfiler (alternativement : avec) permet d'identifier tous les utilisateurs disposant d'autorisations \u00e9tendues pour ex\u00e9cuter l'\u00e9diteur de commandes SQL (DB02, DBACOCKPIT) et les autorisations de tables associ\u00e9es (S_TABU_SQL).<\/p>\n<p>Si un client a connect\u00e9 ses syst\u00e8mes SAP \u00e0 SAP Solution Manager, de tels outils permettent d'identifier automatiquement les failles de s\u00e9curit\u00e9 et les points faibles.<\/p>\n<p>Par exemple, il est \u00e9galement possible de v\u00e9rifier r\u00e9guli\u00e8rement, pour tous les syst\u00e8mes SAP, si tous les patchs de s\u00e9curit\u00e9 n\u00e9cessaires ont \u00e9t\u00e9 appliqu\u00e9s et s'ils \u00e9liminent compl\u00e8tement les failles de s\u00e9curit\u00e9 de SQL Command Editor.<\/p>\n<p><a href=\"https:\/\/e3mag.com\/partners\/virtual-forge-gmbh\/\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Acc\u00e8s limit\u00e9 pour les tuteurs de base\" class=\"aligncenter wp-image-21420 size-full\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge.jpg\" alt=\"https:\/\/e3mag.com\/partners\/virtual-forge-gmbh\/\" width=\"1000\" height=\"112\" srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge.jpg 1000w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge-768x86.jpg 768w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge-100x11.jpg 100w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge-480x54.jpg 480w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge-640x72.jpg 640w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge-720x81.jpg 720w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/VirtualForge-960x108.jpg 960w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Si l'on veut prot\u00e9ger ses donn\u00e9es SAP contre les abus, il faut \u00e9galement limiter les droits d'acc\u00e8s des administrateurs de base SAP. Des tests de s\u00e9curit\u00e9 effectu\u00e9s chez des clients r\u00e9v\u00e8lent de graves faiblesses dans ce domaine. <\/p>","protected":false},"author":985,"featured_media":20552,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,11023],"tags":[264,12211,236,1516,338,4981],"coauthors":[22425],"class_list":["post-20551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-1704","tag-datenbanken","tag-monitoring","tag-sap","tag-security","tag-sql","tag-virtual-forge","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Wer seine SAP-Daten vor Missbrauch sch\u00fctzen will, muss auch die Zugriffsrechte f\u00fcr die SAP-Basisadministratoren beschr\u00e4nken. Sicherheitstests bei Kunden belegen gravierende Schwachstellen in diesem Bereich. <\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/fr\/category\/it-management\/\" rel=\"category tag\">IT-Management<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/category\/mag-1704\/\" rel=\"category tag\">MAG 17-04<\/a>","author_info_v2":{"name":"Thomas Kastner, Virtual Forge","url":"https:\/\/e3mag.com\/fr\/author\/thomas-kastner\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/20551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/985"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=20551"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/20551\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/20552"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=20551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=20551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=20551"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=20551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}