{"id":62027,"date":"2015-06-22T13:46:49","date_gmt":"2015-06-22T11:46:49","guid":{"rendered":"http:\/\/e3mag.com\/?p=62027"},"modified":"2019-08-22T13:58:02","modified_gmt":"2019-08-22T11:58:02","slug":"failles-de-securite-dans-95-des-systemes-sap","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/failles-de-securite-dans-95-des-systemes-sap\/","title":{"rendered":"Des failles de s\u00e9curit\u00e9 dans 95% des syst\u00e8mes SAP"},"content":{"rendered":"

Onapsis, sp\u00e9cialiste de la s\u00e9curit\u00e9 SAP, a identifi\u00e9 les trois modes op\u00e9ratoires les plus courants dans les cyberattaques visant les applications SAP. Ces vecteurs d'attaque exposent \u00e0 un risque \u00e9lev\u00e9 la propri\u00e9t\u00e9 intellectuelle, les donn\u00e9es financi\u00e8res, de cartes de cr\u00e9dit, de clients et de fournisseurs, ainsi que les informations stock\u00e9es dans les bases de donn\u00e9es des plus grandes entreprises mondiales.<\/p>\n

Pour leur \u00e9tude, les Onapsis Research Labs ont examin\u00e9 des centaines d'installations SAP. 95 % de ces syst\u00e8mes SAP pr\u00e9sentaient des vuln\u00e9rabilit\u00e9s permettant aux pirates d'obtenir un acc\u00e8s complet aux donn\u00e9es et processus commerciaux des entreprises concern\u00e9es.<\/p>\n

18 mois jusqu'\u00e0 ce qu'un patch soit impl\u00e9ment\u00e9<\/h3>\n

En outre, les chercheurs ont constat\u00e9 que, pour la plupart des entreprises, il faut 18 mois ou plus pour mettre en \u0153uvre des correctifs pour les vuln\u00e9rabilit\u00e9s d\u00e9couvertes.<\/p>\n

Rien qu'en 2014, SAP a publi\u00e9 391 correctifs de s\u00e9curit\u00e9, soit plus de 30 par mois en moyenne ! Pr\u00e8s de 50 % de ces correctifs ont \u00e9t\u00e9 class\u00e9s par SAP comme hautement prioritaires.<\/p>\n

Qui est responsable ?<\/h3>\n

\"La cybers\u00e9curit\u00e9 SAP n'est pas un sujet suffisamment pris au s\u00e9rieux par de nombreuses entreprises, car il n'est pas pr\u00e9cis\u00e9 qui en est responsable : l'\u00e9quipe d'exploitation SAP ou l'\u00e9quipe de s\u00e9curit\u00e9 informatique. Cela nous a vraiment surpris\".<\/em><\/p>\n

d\u00e9clare Mariano Nunez, PDG et fondateur d'Onapsis.<\/p>\n

La plupart des correctifs appliqu\u00e9s ne concernent pas la s\u00e9curit\u00e9, arrivent avec du retard ou ouvrent de nouvelles failles pour le fonctionnement du syst\u00e8me SAP. Chaque jour, de nouvelles fuites de donn\u00e9es se produisent sans que les Chief Information Security Officers (CISO) en soient inform\u00e9s - parce qu'ils n'ont pas la visibilit\u00e9 de leurs applications SAP.<\/p>\n

Les trois attaques SAP les plus fr\u00e9quentes<\/h3>\n
    \n
  1. Menaces sur les informations relatives aux clients et aux cartes de cr\u00e9dit, qui exploitent les \u00e9changes entre les syst\u00e8mes SAP : Les attaques partent d'un syst\u00e8me dont les param\u00e8tres de s\u00e9curit\u00e9 sont faibles et remontent jusqu'\u00e0 un syst\u00e8me important pour l'entreprise en ex\u00e9cutant des modules fonctionnels contr\u00f4lables \u00e0 distance dans le syst\u00e8me cible.<\/li>\n
  2. Attaques sur les portails des clients et des fournisseurs : pour ce faire, des utilisateurs de portes d\u00e9rob\u00e9es sont cr\u00e9\u00e9s dans le module de gestion des utilisateurs SAP J2EE. En exploitant une faille, les pirates peuvent acc\u00e9der aux portails SAP et aux plateformes d'int\u00e9gration des processus, ainsi qu'aux syst\u00e8mes internes qui y sont li\u00e9s.<\/li>\n
  3. Attaques sur les bases de donn\u00e9es via des protocoles SAP propri\u00e9taires : pour cette attaque, des commandes du syst\u00e8me d'exploitation sont ex\u00e9cut\u00e9es avec les droits de certains utilisateurs et des failles dans la passerelle RFC SAP sont exploit\u00e9es. Le pirate a acc\u00e8s \u00e0 toute information stock\u00e9e dans la base de donn\u00e9es SAP et peut la modifier.<\/li>\n<\/ol>\n

    Conclusion<\/h3>\n

    \"La base de donn\u00e9es en temps r\u00e9el Hana aggrave m\u00eame la situation. Le nombre de nouveaux patchs de s\u00e9curit\u00e9 qui concernent sp\u00e9cifiquement cette nouvelle plateforme a augment\u00e9 de 450 %.<\/p>\n

    A cela s'ajoute le fait que Hana, en tant que composant central, est plac\u00e9 au c\u0153ur de l'\u00e9cosyst\u00e8me SAP. Les donn\u00e9es stock\u00e9es dans les plates-formes SAP doivent d\u00e9sormais \u00eatre prot\u00e9g\u00e9es \u00e0 la fois dans le cloud et dans l'entreprise\", poursuit Nunez.<\/p>\n

     <\/p>\n

    \n

     <\/p>\n

    Plan d'action pour les responsables de la s\u00e9curit\u00e9 de l'information (CISO)<\/h3>\n

    Les entreprises qui g\u00e8rent des processus commerciaux importants via des solutions de la Business Suite doivent absolument suivre les derniers conseils de s\u00e9curit\u00e9 SAP. Elles devraient \u00e9galement s'assurer que leurs syst\u00e8mes sont correctement configur\u00e9s afin de r\u00e9pondre aux exigences de conformit\u00e9 en vigueur et d'am\u00e9liorer le niveau de s\u00e9curit\u00e9. Ces activit\u00e9s devraient suivre un plan d'action qui \u00e9tablit la cybers\u00e9curit\u00e9 SAP comme partie int\u00e9grante de la strat\u00e9gie et de la feuille de route de l'entreprise :<\/p>\n