{"id":56481,"date":"2019-03-07T08:00:13","date_gmt":"2019-03-07T07:00:13","guid":{"rendered":"http:\/\/e3mag.com\/?p=56481"},"modified":"2020-02-09T14:50:41","modified_gmt":"2020-02-09T13:50:41","slug":"it-security-super-facile-ou-super-difficile","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/it-security-supereinfach-oder-superschwer\/","title":{"rendered":"S\u00e9curit\u00e9 informatique : super-simple ou super-difficile"},"content":{"rendered":"<p>Au plus tard depuis la faille de la passerelle pr\u00e9sent\u00e9e en 2007 lors de la conf\u00e9rence Blackhat (cf. <a href=\"https:\/\/www.youtube.com\/watch?v=Fhlx6bpY_XQ\" target=\"_blank\" rel=\"noopener noreferrer\">VIDEO<\/a>), la perception de la s\u00e9curit\u00e9 SAP a chang\u00e9 durablement. Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant sans authentification de se cr\u00e9er un utilisateur administrateur avec des droits \"SAP_ALL\" sur les syst\u00e8mes SAP ERP et Abap.<\/p>\n<p>L'attaquant a ensuite le contr\u00f4le total et peut voir et manipuler n'importe quelles donn\u00e9es. Malgr\u00e9 le fait que cette faille soit connue depuis si longtemps, de nombreux clients ERP sont encore vuln\u00e9rables \u00e0 cette faille et \u00e0 de nombreuses autres failles standard en 2019. \u00c0 quoi cela est-il d\u00fb ?<\/p>\n<p>Les avis de s\u00e9curit\u00e9 SAP ne peuvent pas \u00eatre directement compar\u00e9s aux mises \u00e0 jour de s\u00e9curit\u00e9 Microsoft-Windows, car SAP suit le principe de la compatibilit\u00e9 ascendante dans le monde Abap. Par cons\u00e9quent, SAP fournit toujours un interrupteur dans les notes lorsqu'il existe un risque que le correctif mette en danger la fonctionnalit\u00e9 ou la disponibilit\u00e9 existante chez le client.<\/p>\n<p>Dans ces cas, l'installation seule ne suffit pas, le client doit ensuite effectuer les \u00e9tapes manuelles pour l'activation. Souvent, ce sont justement les vuln\u00e9rabilit\u00e9s critiques qui n\u00e9cessitent ce travail manuel ult\u00e9rieur et conduisent ainsi inconsciemment \u00e0 des syst\u00e8mes non s\u00e9curis\u00e9s. C'est \u00e9galement le cas de la faille de la passerelle, contre laquelle un grand nombre de syst\u00e8mes clients sont encore vuln\u00e9rables.<\/p>\n<p>SAP a modifi\u00e9 sa strat\u00e9gie de s\u00e9curit\u00e9 en 2009 et a publi\u00e9 depuis 4256 avis de s\u00e9curit\u00e9 SAP, dont plus de 50 % entre 2010 et 2012. Selon les d\u00e9clarations faites lors d'un TechEd, SAP a alors examin\u00e9 pour la premi\u00e8re fois l'ensemble de la norme SAP avec une analyse statique du code, ce qui aurait contribu\u00e9 \u00e0 l'accumulation susmentionn\u00e9e.<\/p>\n<p>En 2010, le \"SAP Security Patchday\" a \u00e9t\u00e9 introduit le deuxi\u00e8me mardi du mois. Ainsi, les avis ne sont plus publi\u00e9s que de mani\u00e8re group\u00e9e. A partir de 2012, les notes de s\u00e9curit\u00e9 ne sont plus livr\u00e9es avec les Support Packages qu'en fonction de leur priorit\u00e9.<\/p>\n<p>La r\u00e8gle des 18 mois doit \u00eatre respect\u00e9e de toute urgence : selon cette r\u00e8gle, l'installation d'avis de s\u00e9curit\u00e9 n'est garantie que dans les syst\u00e8mes dont le niveau du Support Package ne remonte pas \u00e0 plus de 18 mois. Chaque client a donc besoin, en plus d'un cycle de patchs de s\u00e9curit\u00e9 SAP, d'un cycle r\u00e9gulier de mise en place de Support Package.<\/p>\n<p>Alors que dans un environnement syst\u00e8me SAP \u00e0 un seul niveau, il est encore possible de surveiller manuellement les indications, les configurations et les niveaux des Support Packages, cela devient de plus en plus difficile, voire impossible, dans les environnements SAP importants et h\u00e9t\u00e9rog\u00e8nes. Dans ce cas, il est int\u00e9ressant de surveiller ces t\u00e2ches \u00e0 l'aide d'un automate. Tant SAP que le march\u00e9 libre proposent ici diverses solutions.<\/p>\n<p>Ces d\u00e9fis seront-ils r\u00e9solus en 2019 avec S\/4 et Hana ? Dans le cloud, SAP effectue la maintenance de l'infrastructure, mais le client n'a plus ici d'acc\u00e8s \u00e0 l'interface utilisateur graphique SAP et ne peut pas effectuer de d\u00e9veloppements propres dans le syst\u00e8me central.<\/p>\n<p>Les clients sont confront\u00e9s \u00e0 de nouveaux d\u00e9fis dans les architectures hybrides. Souvent, avec la complexit\u00e9 croissante, il n'est pas clair o\u00f9, \u00e0 quelle fr\u00e9quence, quelles donn\u00e9es sont stock\u00e9es et qui y a acc\u00e8s.<\/p>\n<p>C'est notamment le cas lorsque le d\u00e9partement sp\u00e9cialis\u00e9 peut activer des services suppl\u00e9mentaires avec une carte de cr\u00e9dit, dont l'IT ne se rend tout d'abord pas compte. Les clients qui utilisent S\/4 sur site doivent continuer \u00e0 prendre en compte les th\u00e8mes mentionn\u00e9s ci-dessus.<\/p>\n<p>En 2019 aussi, un S\/4 1809 actuel doit \u00eatre renforc\u00e9 apr\u00e8s son installation. Les exemples sont le Security Audit Log qui n'est pas activ\u00e9 dans la norme, la protection contre les attaques RFC Call Back qui n'est pas activ\u00e9e ou la longueur minimale du mot de passe de seulement 6 caract\u00e8res livr\u00e9e depuis 1992.<\/p>\n<p>La conclusion pour 2019 est que le client est responsable de la s\u00e9curit\u00e9 de ses donn\u00e9es et qu'il le restera. Ces derni\u00e8res ann\u00e9es, des failles critiques ont \u00e9t\u00e9 d\u00e9couvertes chaque ann\u00e9e dans le standard SAP.<\/p>\n<p>Il est donc toujours n\u00e9cessaire de patcher ses syst\u00e8mes SAP en temps voulu et de surveiller l'application des correctifs. Cela vaut aussi bien pour les composants utilis\u00e9s que pour ceux qui ne le sont pas.<\/p>","protected":false},"excerpt":{"rendered":"<p>Depuis 2012, les attaques contre les syst\u00e8mes SAP rendues publiques et r\u00e9ussies se multiplient. Comment la s\u00e9curit\u00e9 SAP a-t-elle \u00e9volu\u00e9 au cours des dix derni\u00e8res ann\u00e9es, quel est le niveau de s\u00e9curit\u00e9 actuel des syst\u00e8mes SAP et qu'est-ce qui nous attend en 2019 ?<\/p>","protected":false},"author":1676,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,27969],"tags":[39,73,19701,236,1175],"coauthors":[28039],"class_list":["post-56481","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1902","tag-cloud","tag-erp","tag-s-4-hana","tag-sap","tag-teched","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Seit 2012 h\u00e4ufen sich \u00f6ffentlich bekannt gewordene und erfolgreiche Angriffe auf SAP-Systeme. Wie hat sich die SAP-Sicherheit in den vergangenen zehn Jahren ge\u00e4ndert, wie sicher sind SAP-Systeme heute und was erwartet uns 2019?<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/fr\/category\/meinung\/it-security\/\" rel=\"category tag\">IT-Security Kolumne<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/category\/meinung\/\" rel=\"category tag\">Die Meinung der SAP-Community<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/category\/mag-1902\/\" rel=\"category tag\">MAG 19-02<\/a>","author_info_v2":{"name":"Frederik Weidemann, Virtual Forge","url":"https:\/\/e3mag.com\/fr\/author\/frederik-weidemann\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/56481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1676"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=56481"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/56481\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=56481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=56481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=56481"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=56481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}