{"id":4097,"date":"2016-11-25T00:13:14","date_gmt":"2016-11-24T23:13:14","guid":{"rendered":"http:\/\/e3mag.com\/?p=4097"},"modified":"2022-02-06T00:10:35","modified_gmt":"2022-02-05T23:10:35","slug":"piratage-ethique-dans-sap","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/piratage-ethique-dans-sap\/","title":{"rendered":"Le piratage \u00e9thique dans SAP"},"content":{"rendered":"

L'inaccessibilit\u00e9 temporaire des sites web de services en ligne populaires tels que Twitter<\/span>, Spotify<\/span>, Reddit<\/span> ou Paypal<\/span> en octobre, le vol r\u00e9cemment r\u00e9v\u00e9l\u00e9 de 500 millions d'enregistrements de clients chez Yahoo<\/span> 2014, les cyber-attaques r\u00e9p\u00e9t\u00e9es sur les sites web de la Chancellerie f\u00e9d\u00e9rale et du Bundestag - les nouvelles sur les incidents qui indiquent la vuln\u00e9rabilit\u00e9 de notre monde num\u00e9ris\u00e9 abondent.<\/p>\n

Plus que jamais, les entreprises sont donc appel\u00e9es, par int\u00e9r\u00eat personnel mais aussi par le l\u00e9gislateur, \u00e0 IT<\/span>-de communication et de commandeInfrastructures<\/span> de leur organisation.<\/p>\n

Il y a deux ans, un test d'auto-\u00e9valuation r\u00e9alis\u00e9 par la police d'Ettlingen a montr\u00e9 \u00e0 quel point les risques potentiels sont parfois \u00e9lev\u00e9s. Services municipaux<\/span>.<\/p>\n

En l'espace de deux jours, un entrepreneur mandat\u00e9 a r\u00e9ussi \u00e0 IT<\/span>-experts de s'ins\u00e9rer dans le r\u00e9seau des Services municipaux<\/span> de \"pirater\" et de prendre le contr\u00f4le de la salle de contr\u00f4le.<\/p>\n

L'\"ethical hacking\", comme on appelle aussi la m\u00e9thode de travail de l'expert d'Ettlingen, est consid\u00e9r\u00e9 comme un moyen \u00e9prouv\u00e9 de se faire une id\u00e9e de l'efficacit\u00e9 de ses propres mesures techniques et organisationnelles en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n

Dans les contr\u00f4les de s\u00e9curit\u00e9 de BTC, par exemple, les experts techniques, qui ont \u00e9t\u00e9 d\u00e9sign\u00e9s \"Ethical\" par le Conseil europ\u00e9en, apportent leur aide. Pirate informatique<\/span>\", le potentiel de risque de IT<\/span>-Les utilisateurs ont la possibilit\u00e9 d'\u00e9valuer la qualit\u00e9 des environnements de travail.<\/p>\n

Pour ce faire, la proc\u00e9dure et les Technique<\/span> criminel Pirate informatique<\/span> afin de d\u00e9tecter les failles de s\u00e9curit\u00e9 dans les domaines critiques avant qu'elles ne soient effectivement exploit\u00e9es par des attaques malveillantes.<\/p>\n

SAP : la complexit\u00e9 cr\u00e9e des surfaces d'attaque<\/h2>\n

L'analyse des r\u00e9sultats des contr\u00f4les de s\u00e9curit\u00e9 effectu\u00e9s par BTC dans les entreprises montre \u00e0 cet \u00e9gard que ce sont souvent de petites faiblesses techniques et organisationnelles qui Hackers<\/span> faciliter la vie - ou plus exactement le travail.<\/p>\n

Parmi les insuffisances fr\u00e9quemment rencontr\u00e9es, on trouve par exemple le fait que les r\u00f4les et les responsabilit\u00e9s des processus et des syst\u00e8mes ne sont pas proprement d\u00e9finis du point de vue de la s\u00e9curit\u00e9 et qu'aucune responsabilit\u00e9 centrale n'est institutionnalis\u00e9e.<\/p>\n

Ainsi, dans les environnements SAP, les syst\u00e8mes de production critiques pour l'entreprise sont souvent exploit\u00e9s avec des applications bureautiques moins critiques dans une section commune du r\u00e9seau.\"Christian-Bruns-BTC-Technology\"<\/a><\/p>\n

Un th\u00e8me r\u00e9current Mots de passe<\/span>. Les tests d'intrusion montrent que les syst\u00e8mes SAP sont encore trop faciles \u00e0 utiliser dans le cadre de t\u00e2ches de d\u00e9veloppement ou d'assurance qualit\u00e9. Mots de passe<\/span> et\/ou les comptes ne sont utilis\u00e9s qu'avec des donn\u00e9es d'acc\u00e8s pr\u00e9d\u00e9finies (credentials).<\/p>\n

Les autorisations et les identifiants de groupe attribu\u00e9s une fois pour toutes, qui ne sont pas supprim\u00e9s ou modifi\u00e9s en cas de changement de poste ou de t\u00e2che, repr\u00e9sentent en outre une menace r\u00e9currente.<\/p>\n

Cela peut avoir pour cons\u00e9quence (pas si) amusante que les apprentis ou les stagiaires qui passent par diff\u00e9rents d\u00e9partements sont les plus nombreux. Droits d'acc\u00e8s<\/span> poss\u00e9der.<\/p>\n

La complexit\u00e9 croissante, notamment dans les applications SAPInfrastructures<\/span>La vuln\u00e9rabilit\u00e9 est encore accrue par des configurations n\u00e9gligentes, par exemple par l'absence de correctifs ou de mises \u00e0 jour pour les logiciels de s\u00e9curit\u00e9. Syst\u00e8mes d'exploitation<\/span>, Web<\/span>-Serveur<\/span>bases de donn\u00e9es et\/ou SAPPionnier des solutions d\u2019Agentic AI<\/span>.<\/p>\n

Quelle t\u00e9nacit\u00e9 m\u00eame pour des Erreur<\/span> \u00e0 ce niveau, comme le montre Invoker Serlet. Une faille de s\u00e9curit\u00e9 du composant du syst\u00e8me Java-Serveur<\/span> dans SAP NetWeaver a incit\u00e9, en mai dernier, la US-CERT<\/span>-(United States Computer Emergency Readiness Team), a lanc\u00e9 pour la premi\u00e8re fois une alerte officielle concernant les logiciels SAP.Pionnier des solutions d\u2019Agentic AI<\/span> de s'exprimer.<\/p>\n

Il s'agit d'un probl\u00e8me connu depuis six ans qui, bien qu'un correctif soit disponible depuis longtemps, n'a pas encore \u00e9t\u00e9 identifi\u00e9. Infrastructures<\/span> d'au moins 36 organisations dans le monde.<\/p>\n

Des configurations d\u00e9ficientes, des structures de r\u00e9seau insuffisamment prot\u00e9g\u00e9es ou une gestion des comptes trop simple facilitent le travail des pirates.<\/p>\n

Dans le cas des services municipaux d'Ettlingen, par exemple, c'est un port r\u00e9seau ouvert dans la maison d'h\u00f4tes que l'Ethical Pirate informatique<\/span> a utilis\u00e9.<\/p>\n

Combin\u00e9 \u00e0 un peu d'ing\u00e9nierie sociale et \u00e0 l'analyse des mod\u00e8les de communication sur le r\u00e9seau, cela a suffi pour ouvrir finalement la porte de la salle de contr\u00f4le.<\/p>\n

Pour \u00e9viter d'en arriver l\u00e0, chaque entreprise a int\u00e9r\u00eat \u00e0 effectuer r\u00e9guli\u00e8rement des analyses et des tests manuels et automatis\u00e9s avec le soutien d'Ethical Hackers<\/span> \u00e0 effectuer.<\/p>\n

De cette mani\u00e8re, il est possible d'identifier les points faibles potentiels de la structure et de la configuration du paysage SAP dans tous les domaines de l'architecture et de prendre des mesures pr\u00e9ventives avec des moyens techniques ou organisationnels appropri\u00e9s.<\/p>\n

\"https:\/\/e3mag.com\/partners\/btc-business-technology-consulting-ag\/\"<\/a><\/p>","protected":false},"excerpt":{"rendered":"

La num\u00e9risation rend les infrastructures critiques vuln\u00e9rables. Un moyen de v\u00e9rifier le niveau de s\u00e9curit\u00e9 est de faire r\u00e9aliser des analyses de s\u00e9curit\u00e9 par ce que l'on appelle des \"ethical hackers\". Avec l'aide de professionnels, les failles de s\u00e9curit\u00e9 sont identifi\u00e9es \u00e0 temps, avant que des pirates \"r\u00e9els\" ne causent de r\u00e9els dommages. <\/p>","protected":false},"author":78,"featured_media":4119,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,740],"tags":[637,111,117,400],"coauthors":[23729],"class_list":["post-4097","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1612","tag-hacker","tag-infrastruktur","tag-sicherheit","tag-software","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",400,267,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-768x512.jpg",768,512,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-100x67.jpg",100,67,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-480x320.jpg",480,320,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-640x427.jpg",640,427,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-720x480.jpg",720,480,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-960x640.jpg",960,640,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",18,12,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",600,400,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",600,400,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Die Digitalisierung macht kritische Infrastrukturen verwundbar. Ein Mittel, das Sicherheitsniveau zu pr\u00fcfen, sind Sicherheitsanalysen durch sogenannte \u201eEthical Hacker\u201c. Mit professioneller Hilfe werden Sicherheitsl\u00fccken rechtzeitig identifiziert, bevor \u201ereale\u201c Hacker echten Schaden anrichten. <\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 16-12<\/a>","author_info_v2":{"name":"Christian Bruns, BTC","url":"https:\/\/e3mag.com\/fr\/author\/christian-bruns\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/4097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/78"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=4097"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/4097\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/4119"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=4097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=4097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=4097"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=4097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}