De nombreux responsables pensent d'abord \u00e0 la protection des syst\u00e8mes de commande lorsqu'ils \u00e9voquent la s\u00e9curit\u00e9 informatique dans la production et se sentent en s\u00e9curit\u00e9 si leurs syst\u00e8mes SCADA ne sont pas connect\u00e9s \u00e0 Internet.<\/p>\n
Au plus tard lorsque ces syst\u00e8mes sont connect\u00e9s \u00e0 un Intranet, la pr\u00e9tendue s\u00e9curit\u00e9 n'est plus de mise. Mais la production ne se limite pas \u00e0 la commande d'une cha\u00eene de montage.<\/p>\n
Chaque processus de fabrication repose sur l'initiation de processus commerciaux par des personnes autoris\u00e9es. Pour ce faire, les donn\u00e9es de production sont de plus en plus souvent r\u00e9cup\u00e9r\u00e9es au niveau des installations de commande et transmises aux syst\u00e8mes SAP.<\/p>\n
Dans l'id\u00e9al, un tableau de bord aliment\u00e9 par des donn\u00e9es en temps r\u00e9el met \u00e0 la disposition de tous les d\u00e9cideurs, o\u00f9 qu'ils se trouvent, les informations n\u00e9cessaires \u00e0 la gestion des processus commerciaux tels que l'approvisionnement en mat\u00e9riaux et la planification de la production.<\/p>\n
Ainsi, les responsables des d\u00e9partements dirigent la logistique de production en commandant de nouveaux mat\u00e9riaux, en organisant la sous-traitance de la fabrication et en \u00e9tablissant la facture. Le contr\u00f4le de la qualit\u00e9 fait \u00e9galement partie int\u00e9grante d'un processus de fabrication g\u00e9r\u00e9 par SAP.<\/p>\n
Gr\u00e2ce \u00e0 cette imbrication directe des processus de production et des processus commerciaux, les pirates disposent d'un vaste champ d'action pour attaquer les modules et les applications ERP ou SCM.<\/p>\n
Des utilisateurs malveillants peuvent tout d'abord obtenir des informations centrales sur le savoir-faire en mati\u00e8re de production et les processus d'une entreprise. Les solutions de planification de la production bas\u00e9es sur SAP ainsi que les modules ERP et SCM deviennent ainsi des cibles int\u00e9ressantes pour l'espionnage industriel.<\/p>\n
Deuxi\u00e8mement, les utilisateurs malveillants et les propri\u00e9taires non autoris\u00e9s d'un compte d'utilisateur SAP ont de vastes possibilit\u00e9s d'activit\u00e9s frauduleuses.<\/p>\n
Une fois que l'on a obtenu l'acc\u00e8s \u00e0 une instance SAP via la couche transactionnelle - c'est-\u00e0-dire au niveau de SAP-NetWeaver ou de Hana -, il est possible de contourner les concepts de s\u00e9curit\u00e9 SAP classiques au niveau de l'application, comme la s\u00e9gr\u00e9gation des droits, gr\u00e2ce \u00e0 des proc\u00e9dures simples.<\/p>\n
Par cons\u00e9quent, les applications ne sont pas non plus prot\u00e9g\u00e9es. Une SoD pr\u00e9voit par exemple dans le cas normal qu'un utilisateur d'un d\u00e9partement de production puisse passer une commande de mat\u00e9riel, mais que la facturation ne puisse \u00eatre effectu\u00e9e que par le contr\u00f4le de gestion.<\/p>\n
Un utilisateur qui cr\u00e9e son propre compte avec des droits d'utilisation \u00e9tendus, qui d\u00e9tourne un compte privil\u00e9gi\u00e9 SAP All Account \u00e0 ses propres fins ou qui se cr\u00e9e un nouveau compte, se d\u00e9barrasse de ces restrictions SoD.<\/p>\n
Il passe une commande fictive, \u00e9crit une facture fictive \u00e0 un homme de paille et ordonne le virement sur son compte. Les petites sommes d'argent qui circulent r\u00e9guli\u00e8rement peuvent passer inaper\u00e7ues, d'autant plus que sa propre production se poursuit sans \u00eatre affect\u00e9e.<\/p>\n
De nombreux RSSI ne peuvent souvent m\u00eame pas avoir une vue d'ensemble de ces risques de s\u00e9curit\u00e9 quotidiens par manque de ressources.<\/p>\n
Troisi\u00e8mement, le sabotage des environnements SAP met en danger la production. Des fournisseurs malveillants arr\u00eateront les commandes de mat\u00e9riel n\u00e9cessaires, manipuleront peut-\u00eatre les donn\u00e9es de production, par exemple pour le calcul du prix de revient du mat\u00e9riel. Au niveau des transactions SAP, ils peuvent paralyser l'ensemble du syst\u00e8me SAP par un shut-down.<\/p>\n
Sans planification de la production, il n'y a alors plus de production possible. Dans la pratique, cela peut \u00eatre plus rare. Un syst\u00e8me SAP qui fonctionne et qui sert de plate-forme \u00e0 des activit\u00e9s frauduleuses est g\u00e9n\u00e9ralement plus lucratif.<\/p>\n
La connexion croissante des processus commerciaux li\u00e9s \u00e0 la production \u00e0 Internet via des solutions bas\u00e9es sur SAP et l'int\u00e9gration de partenaires externes aggravent la situation en mati\u00e8re de risques.<\/p>\n
La transmission mobile de donn\u00e9es ou la connexion de fournisseurs par exemple via le cloud et les syst\u00e8mes de contr\u00f4le augmentent la surface d'attaque. Les applications mobiles faisant partie de la plateforme mobile SAP peuvent devenir des portes d'entr\u00e9e sur les instances ERP SAP en raison d'un acc\u00e8s non justifi\u00e9.<\/p>\n
Les pirates recherchent de mani\u00e8re cibl\u00e9e de nouvelles possibilit\u00e9s d'acc\u00e8s. Un spear phishing classique visant des responsables de production pour enregistrer la saisie de mots de passe au moyen d'enregistreurs de frappe menace bien s\u00fbr aussi l'utilisateur SAP et n'est qu'un d\u00e9but.<\/p>\n
Les pirates externes malveillants utilisent des moteurs de recherche tels que Shodan pour trouver les instances SAP qu'ils recherchent. Les collaborateurs internes ont bien s\u00fbr encore plus de facilit\u00e9 \u00e0 acc\u00e9der aux syst\u00e8mes SAP.<\/p>\n
En exploitant une vuln\u00e9rabilit\u00e9 de type HTTP-Verb-Tampering, les pirates peuvent cr\u00e9er des utilisateurs de backdoor dans le module de gestion des utilisateurs SAP J2EE. Ils peuvent ainsi acc\u00e9der aux portails SAP et aux plateformes d'int\u00e9gration de processus, ainsi qu'aux syst\u00e8mes internes qui y sont li\u00e9s.<\/p>\n
Les attaques contre les bases de donn\u00e9es se font par le biais de vuln\u00e9rabilit\u00e9s des protocoles SAP propri\u00e9taires : les droits d'utilisateur d\u00e9tourn\u00e9s ou usurp\u00e9s permettent d'exploiter les failles de la passerelle RFC SAP au niveau des transactions SAP.<\/p>\n
Le pirate a acc\u00e8s \u00e0 toutes les informations stock\u00e9es dans la base de donn\u00e9es SAP et peut les lire. Pour ce faire, les pirates externes font souvent un d\u00e9tour par des environnements souvent non productifs et donc souvent insuffisamment prot\u00e9g\u00e9s :<\/p>\n
Par exemple, les environnements de test sont souvent oubli\u00e9s apr\u00e8s la mise en place du syst\u00e8me de production correspondant - et avec eux les comptes techniques qui s'y appliquent, souvent dot\u00e9s uniquement de mots de passe par d\u00e9faut.<\/p>\n
Un pirate peut facilement les utiliser comme tremplin pour attaquer les syst\u00e8mes de production. Ces m\u00e9thodes d'attaque fr\u00e9quemment observ\u00e9es permettent ensuite de modifier et de manipuler de nombreuses informations importantes pour la production.<\/p>\n
Par exemple, les tables SAP LFA1 (Vendor Master Data), KNA1 (Customer Master Data), EKKO et EKPO ou encore AUFK pour les ordres d'achat et KALC pour le calcul de la quantit\u00e9 des articles de production.<\/p>\n
La protection des processus de production bas\u00e9s sur SAP commence d\u00e8s les bases de tout environnement SAP - au niveau de la couche transactionnelle. La s\u00e9gr\u00e9gation des responsabilit\u00e9s, les mesures GRC et les applications de s\u00e9curit\u00e9 sp\u00e9ciales au niveau des applications, ainsi que l'assistance \u00e0 grande \u00e9chelle fournie par l'\u00e9diteur de logiciels SAP, sont des outils importants pour cr\u00e9er plus de s\u00e9curit\u00e9.<\/p>\n
Mais ils ne peuvent pas se suffire \u00e0 eux-m\u00eames. Ils n'\u00e9liminent pas les risques au niveau Hana ou NetWeaver dus \u00e0 l'apparition de failles de s\u00e9curit\u00e9, \u00e0 des correctifs logiciels non appliqu\u00e9s, \u00e0 une communication incontr\u00f4l\u00e9e via des interfaces permettant de transf\u00e9rer des donn\u00e9es erron\u00e9es ou \u00e0 un acc\u00e8s non prot\u00e9g\u00e9 aux services d'administration.<\/p>\n
Une protection compl\u00e8te de la couche transactionnelle peut \u00e9liminer efficacement bon nombre de ces risques et fournit la base de la s\u00e9curit\u00e9 des modules et applications ERP ou SCM.<\/p>\n
Une \u00e9valuation automatis\u00e9e de toutes les instances SAP - y compris des environnements de test et de d\u00e9veloppement - fait l'inventaire des failles de s\u00e9curit\u00e9 existantes et met en \u00e9vidence les risques potentiels.<\/p>\n
De tels messages tiennent \u00e9galement compte du contexte des informations d'infrastructure fournies par l'\u00e9valuation automatique. Ils enregistrent \u00e9galement les modifications du syst\u00e8me qui rendent \u00e9ventuellement une organisation vuln\u00e9rable. Cela permet de d\u00e9terminer les chances de succ\u00e8s d'une attaque.<\/p>\n
Les analyses correspondantes d\u00e9crivent en d\u00e9tail la probabilit\u00e9 et l'impact des menaces. Les administrateurs peuvent utiliser des instructions d\u00e9taill\u00e9es pour combler les failles en fonction de leur priorit\u00e9.<\/p>\n
Les solutions avanc\u00e9es surveillent \u00e9galement en permanence l'\u00e9tat des menaces et recherchent des mod\u00e8les d'attaque pour exploiter de nouvelles vuln\u00e9rabilit\u00e9s.<\/p>\n
Ils signalent les nouvelles attaques effectivement men\u00e9es contre les vuln\u00e9rabilit\u00e9s existantes et analysent les m\u00e9thodes d'attaque correspondantes en temps r\u00e9el. Les m\u00e9canismes de d\u00e9fense sont d\u00e9clench\u00e9s automatiquement et peuvent \u00eatre mis en \u0153uvre par les responsables.<\/p>\n
Les services informatiques emp\u00eachent ainsi l'exploitation des failles de s\u00e9curit\u00e9, m\u00eame si aucun patch r\u00e9gulier n'a encore \u00e9t\u00e9 publi\u00e9 et mis en \u0153uvre. Ce gain de vitesse est crucial.<\/p>\n
En effet, dans les environnements SAP, en raison de la complexit\u00e9 des syst\u00e8mes, il s'\u00e9coule en moyenne jusqu'\u00e0 18 mois entre le jour o\u00f9 une attaque se produit pour la premi\u00e8re fois et la mise en \u0153uvre effective d'un correctif pertinent.<\/p>\n
Pour se d\u00e9fendre contre les abus, la fraude et l'espionnage, il est \u00e9galement important de reconna\u00eetre les comportements inhabituels des utilisateurs, qui peuvent \u00eatre l'indice d'activit\u00e9s malveillantes de la part de collaborateurs.<\/p>\n
Les responsables de la s\u00e9curit\u00e9 ont la possibilit\u00e9 de r\u00e9agir le plus rapidement possible aux menaces et peuvent encaisser imm\u00e9diatement les droits d'utilisation utilis\u00e9s pour modifier les droits des utilisateurs ou pour acc\u00e9der aux donn\u00e9es de production.<\/p>\n
Une strat\u00e9gie de s\u00e9curit\u00e9 SAP r\u00e9ussie est construite sur plusieurs niveaux et repose sur plusieurs outils, dont des pare-feux et des solutions SIEM.<\/p>\n
Il est \u00e9galement important que ces solutions n'agissent pas comme des solutions isol\u00e9es, mais puissent \u00e9changer des donn\u00e9es pertinentes via des interfaces de programmation (API) d\u00e9finies.<\/p>\n
Seul celui qui prot\u00e8ge la couche transactionnelle peut prot\u00e9ger efficacement ses applications de production et ses modules ERP dans SAP. En effet, si un pirate informatique parvient \u00e0 acc\u00e9der \u00e0 n'importe quel point de d\u00e9part dans l'environnement syst\u00e8me SAP, tous les composants SAP li\u00e9s \u00e0 la production lui seront ouverts. La s\u00e9curit\u00e9 ERP et SCM a \u00e9galement besoin d'un sol solide sous ses pieds.<\/p>","protected":false},"excerpt":{"rendered":"
La s\u00e9curit\u00e9 SAP est \u00e9galement indispensable dans la gestion de la production. Celui qui peut s'y introduire sans autorisation dispose de vastes possibilit\u00e9s de fraude, d'espionnage et de sabotage. La protection d'une planification de la production bas\u00e9e sur SAP commence d\u00e9j\u00e0 au niveau des transactions.<\/p>","protected":false},"author":1852,"featured_media":61274,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,1577],"tags":[39,8922,722],"coauthors":[34566],"class_list":["post-61490","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-1577","tag-cloud","tag-mobile-apps","tag-netweaver","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"
SAP-Sicherheit ist auch in der Produktionssteuerung unerl\u00e4sslich. Wer sich hier unberechtigt ein\u00adschalten kann, dem stehen umfangreiche M\u00f6glichkeiten f\u00fcr Betrug, Spionage und Sabotage offen. Der Schutz einer SAP-gest\u00fctzten Produktionsplanung beginnt schon auf dem Transaktions-Layer.<\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 15-10<\/a>","author_info_v2":{"name":"Gerhard Unger, Onapsis","url":"https:\/\/e3mag.com\/fr\/author\/gerhard-unger\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/61490","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1852"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=61490"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/61490\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/61274"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=61490"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=61490"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=61490"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=61490"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}