Andreas Wiegenstein :<\/strong> Afin d'obtenir une transparence sur la proportion et la qualit\u00e9 du code client dans les syst\u00e8mes SAP, Virtual Forge r\u00e9alise en permanence un benchmark mondial.<\/p>\n Actuellement, nous avons analys\u00e9 les scans anonymes de plus de 300 syst\u00e8mes clients SAP. Des entreprises de toutes tailles et de tous secteurs, principalement en Allemagne et aux \u00c9tats-Unis, ont particip\u00e9 \u00e0 cette \u00e9tude, la plus compl\u00e8te de ce type \u00e0 ce jour.<\/p>\n Wiegenstein :<\/strong> Nous avons d'abord d\u00e9couvert que chaque syst\u00e8me de production SAP comprend en moyenne environ deux millions de lignes de code Abap \u00e9crites par les clients eux-m\u00eames, qui adaptent les fonctions standard de SAP \u00e0 leurs processus commerciaux.<\/p>\n Ce qui est tr\u00e8s alarmant, c'est que nous avons trouv\u00e9 dans chaque code client, sans exception, de nombreuses erreurs qui peuvent compromettre la s\u00e9curit\u00e9 et la stabilit\u00e9 d'un syst\u00e8me SAP.<\/p>\n On estime \u00e0 environ 2.000 le nombre d'erreurs critiques par syst\u00e8me SAP, qui rendent les entreprises vuln\u00e9rables aux attaques et peuvent \u00e9galement poser des probl\u00e8mes d'audit de conformit\u00e9.<\/p>\n Wiegenstein :<\/strong> La plupart du temps, il s'agit de contr\u00f4les d'autorisation mal programm\u00e9s ou manquants. Ces failles suffiraient \u00e0 elles seules \u00e0 causer de gros d\u00e9g\u00e2ts dans une entreprise, car les collaborateurs peuvent acc\u00e9der \u00e0 des informations sans y \u00eatre autoris\u00e9s - il y a l\u00e0 de quoi commettre de nombreux abus.<\/p>\n Mais le pire est \u00e0 craindre des erreurs de s\u00e9curit\u00e9 vraiment graves - les \"killer bugs\" - dans les d\u00e9veloppements internes d'Abap. Nous en avons actuellement d\u00e9couvert 16 en moyenne dans chaque syst\u00e8me SAP, ce qui est nettement plus que les ann\u00e9es pr\u00e9c\u00e9dentes.<\/p>\n Wiegenstein :<\/strong> Chacune de ces erreurs tueuses est si critique qu'elle peut \u00eatre exploit\u00e9e par des attaquants pour prendre le contr\u00f4le complet du syst\u00e8me.<\/p>\n Le code client SAP offre de nombreuses portes d'entr\u00e9e pour voler, supprimer ou manipuler des ensembles complets de donn\u00e9es et ainsi, par exemple, falsifier le r\u00e9sultat du bilan d'une entreprise ou saboter compl\u00e8tement le syst\u00e8me SAP ou tout simplement l'arr\u00eater.<\/p>\n Les dommages \u00e9conomiques qui peuvent en r\u00e9sulter sont \u00e9normes. Pensez par exemple au fait que les entreprises concern\u00e9es doivent r\u00e9pondre de tous les dommages caus\u00e9s par le vol de donn\u00e9es sensibles de collaborateurs ou de clients. Parall\u00e8lement, de tels incidents peuvent entra\u00eener une forte perte d'image.<\/p>\n Wiegenstein :<\/strong> Malheureusement non, car la plupart du temps, apr\u00e8s une attaque, il n'est pas possible de prouver sans faille par quelle faille de s\u00e9curit\u00e9 l'attaquant a pu s'introduire dans le syst\u00e8me SAP.<\/p>\n S'agissait-il d'un d\u00e9faut dans le code du client, dans le code standard SAP ou lors de l'installation du syst\u00e8me ou du pare-feu ? Ce qui complique l'analyse des causes, c'est que de nombreuses entreprises ne d\u00e9couvrent qu'apr\u00e8s un certain temps que leurs applications SAP ont \u00e9t\u00e9 pirat\u00e9es, par exemple lors de contr\u00f4les de routine ou par hasard.<\/p>\n Wiegenstein :<\/strong> En principe, deux groupes peuvent \u00eatre \u00e0 l'origine de ce probl\u00e8me, \u00e0 savoir les d\u00e9veloppeurs internes de l'entreprise ou les soci\u00e9t\u00e9s de conseil qui fournissent \u00e0 l'entreprise les extensions SAP dont elle a besoin.<\/p>\n Les erreurs peuvent alors \u00eatre introduites involontairement dans le code du client - par exemple par des programmeurs qui ne pensent pas \u00e0 int\u00e9grer les contr\u00f4les d'autorisation n\u00e9cessaires.<\/p>\n D'autre part, il arrive bien s\u00fbr aussi que des erreurs soient sciemment int\u00e9gr\u00e9es, par exemple par des employ\u00e9s frustr\u00e9s qui veulent se venger de leur employeur ou par des programmeurs externes qui s'en servent pour acc\u00e9der \u00e0 des informations confidentielles de l'entreprise.<\/p>\n Wiegenstein :<\/strong> Bien entendu, cela va de soi. Il n'est absolument pas vrai que les syst\u00e8mes SAP ne sont accessibles que via le r\u00e9seau interne, comme le pr\u00e9tendent encore de nombreux administrateurs SAP.<\/p>\n Certes, notre benchmark arrive \u00e9galement \u00e0 la conclusion que seulement 0,3 % des d\u00e9veloppements internes Abap dans une entreprise sont accessibles via Internet. Mais il y a d\u00e9j\u00e0 eu quelques cas o\u00f9 des chevaux de Troie ont \u00e9t\u00e9 introduits avec du code Abap achet\u00e9, ce qui a permis \u00e0 des donn\u00e9es SAP critiques de s'\u00e9chapper.<\/p>\n Par exemple, une entreprise a re\u00e7u d'une soci\u00e9t\u00e9 tierce un code Abap qu'elle avait \u00e9crit elle-m\u00eame et qui, \u00e0 la fin de chaque mois, agr\u00e9geait les r\u00e9sultats des cycles comptables et les envoyait \u00e0 une adresse \u00e9lectronique externe. Un cas classique de cybercriminalit\u00e9 !<\/p>\n Wiegenstein :<\/strong> Comme le montrent ces exemples, les pr\u00e9cautions traditionnelles, telles que les pare-feu, les logiciels antivirus et les bons mots de passe, ne suffisent en aucun cas \u00e0 fermer les portes d'entr\u00e9e potentielles du code client d'Abap.<\/p>\n Il ne suffit pas non plus que les entreprises veillent \u00e0 une configuration sans erreur des r\u00f4les et des autorisations de leurs collaborateurs. Il faut plut\u00f4t mettre en place des strat\u00e9gies et des mesures cibl\u00e9es afin de nettoyer le code des erreurs et d'\u00e9viter les risques futurs.<\/p>\n Il est tout d'abord recommand\u00e9 aux clients de soumettre les d\u00e9veloppements Abap \u00e0 des analyses approfondies. Pour cela, il est possible d'utiliser un logiciel de contr\u00f4le sp\u00e9cial qui identifie automatiquement les erreurs et les risques existants et les corrige dans la mesure du possible. De telles analyses ne prennent en g\u00e9n\u00e9ral que quelques minutes.<\/p>\n Wiegenstein :<\/strong> Il faut adopter plusieurs approches, tant organisationnelles que techniques. Pour \u00e9viter les erreurs d\u00e8s la programmation, les d\u00e9veloppeurs doivent suivre des formations sp\u00e9ciales sur la s\u00e9curit\u00e9 Abap et respecter des directives particuli\u00e8res lors de la programmation, comme par exemple celles de l'Office f\u00e9d\u00e9ral pour la s\u00e9curit\u00e9 dans la technologie de l'information (BSI).<\/p>\n Si du code est achet\u00e9 \u00e0 l'ext\u00e9rieur, les entreprises doivent veiller strictement \u00e0 inclure les normes de qualit\u00e9 correspondantes dans les contrats avec les fournisseurs, \u00e0 les contr\u00f4ler et \u00e0 les exiger. En outre, aucun d\u00e9veloppement interne SAP ne devrait \u00e0 l'avenir \u00eatre mis en production tant qu'il contient encore des erreurs critiques pour l'entreprise.<\/p>\n Le cahier des charges comprend \u00e9galement une mise en place rapide des patchs de s\u00e9curit\u00e9 SAP et une surveillance continue de tous les syst\u00e8mes SAP afin de d\u00e9tecter les attaques le plus rapidement possible. Malgr\u00e9 toutes les mesures de pr\u00e9caution, des plans d'urgence appropri\u00e9s sont indispensables pour pouvoir contrer les attaques le plus rapidement et le plus efficacement possible.<\/p>\n Wiegenstein :<\/strong> Notre benchmark est une \u00e9tude continue. Elle agr\u00e8ge les r\u00e9sultats d'un grand nombre d'analyses que les clients SAP nous fournissent de mani\u00e8re anonyme.<\/p>\n \u00c9tant donn\u00e9 que ces chiffres fournissent des informations statistiques sur la qualit\u00e9 du code client Abap, plus le nombre d'utilisateurs SAP qui y participent est \u00e9lev\u00e9, plus la valeur du benchmark est importante. Nous nous r\u00e9jouissons de chaque entreprise qui participe. Les entreprises elles-m\u00eames ont la possibilit\u00e9, gr\u00e2ce \u00e0 notre analyse, de se faire une id\u00e9e de l'\u00e9tat du code qu'elles ont \u00e9crit en un temps record.<\/p>\n Pour ce faire, le code client d'un syst\u00e8me SAP s\u00e9lectionn\u00e9 est enti\u00e8rement scann\u00e9. L'entreprise re\u00e7oit ensuite un rapport de contr\u00f4le qui indique, \u00e0 titre d'exemple, cinq emplacements par type d'erreur.<\/p>\n Souvent, cela r\u00e9v\u00e8le des points faibles qui affectent non seulement la s\u00e9curit\u00e9, mais aussi les performances d'un syst\u00e8me SAP. Ainsi, notre exp\u00e9rience montre qu'apr\u00e8s avoir corrig\u00e9 le code du client, de nombreux syst\u00e8mes fonctionnent non seulement de mani\u00e8re plus s\u00fbre, mais aussi de mani\u00e8re beaucoup plus stable et rapide.<\/p>\n Le code client erron\u00e9 est un risque de s\u00e9curit\u00e9 hautement critique pour les syst\u00e8mes SAP. C'est ce que Virtual Forge a d\u00e9couvert lors d'un Abap Quality Benchmark. Andreas Wiegenstein, CTO du fournisseur de s\u00e9curit\u00e9 SAP, explique les principales vuln\u00e9rabilit\u00e9s - et ce que les utilisateurs devraient faire pour y rem\u00e9dier.<\/p>","protected":false},"author":38,"featured_media":61274,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[161,2,1591],"tags":[453,3863],"coauthors":[19920],"class_list":["post-61293","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-szene","category-sap-nachrichten","category-1591","tag-abap","tag-trojaner","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" Fehlerhafter Kundencode ist ein hoch kritisches Sicherheitsrisiko f\u00fcr SAP-Systeme. Dies fand Virtual Forge bei einem Abap Quality Benchmark heraus. Andreas Wiegenstein, CTO des SAP-Sicherheitsanbieters, erl\u00e4utert die gr\u00f6\u00dften Schwachstellen \u2013 und was Anwender dagegen tun sollten.<\/p>\n","category_list_v2":"Szene<\/a>, Community Nachrichten<\/a>, MAG 15-12<\/a>","author_info_v2":{"name":"Magazine E-3","url":"https:\/\/e3mag.com\/fr\/author\/e-3-magazin\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/61293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/38"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=61293"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/61293\/revisions"}],"predecessor-version":[{"id":138451,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/61293\/revisions\/138451"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/61274"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=61293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=61293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=61293"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=61293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}E-3 : Quels sont les principaux r\u00e9sultats du benchmark ?<\/h3>\n
E-3 : Dans quels domaines se trouvent ces points faibles ?<\/h3>\n
E-3 : Qu'est-ce qui est si dangereux dans ces \"erreurs tueuses\" ?<\/h3>\n
E-3 : Existe-t-il des connaissances sur le nombre d'incidents de s\u00e9curit\u00e9 SAP qui sont r\u00e9ellement dus \u00e0 un code client d\u00e9fectueux ?<\/h3>\n
E-3 : Comment se fait-il que des d\u00e9veloppements propres \u00e0 Abap soient d\u00e9fectueux ?<\/h3>\n
E-3 : Les attaques par code client peuvent donc aussi \u00eatre men\u00e9es par des pirates externes ?<\/h3>\n
E-3 : Comment les clients SAP peuvent-ils se prot\u00e9ger contre les risques li\u00e9s \u00e0 leur propre code Abap ?<\/h3>\n
E-3 : Quelles mesures les entreprises devraient-elles prendre \u00e0 long terme ?<\/h3>\n
E-3 : Quelle est l'utilit\u00e9 de votre Abap Quality Benchmark dans ce contexte ?<\/h3>\n
E-3 : Monsieur Wiegenstein, merci beaucoup pour cet entretien.<\/h3>","protected":false},"excerpt":{"rendered":"