par Sükrü ilkel Birakoglu, Senior Director
Les systèmes métier critiques (BCS) hébergent une multitude de données essentielles relatives à la supply chain et à la gestion du cycle de vie des produits parmi de très nombreuses autres bases de données. Lorsque SAP est déconnecté des autres systèmes de sécurité et que la visibilité est limitée ou inexistante, une telle situation génère de nombreux problèmes, liés notamment à des menaces internes.
Bien sûr, l’une des plus grandes menaces, sinon la plus grande, vient de l’extérieur, rendant ainsi impératif de protéger le système SAP dans sa globalité. Alors, comment protégez-vous les mots de passe et l’accès aux mots de passe des systèmes SAP ? Un bon point de départ serait, tout d’abord, de bien comprendre comment on accède à ces derniers : comment un utilisateur SAP se connecte-t-il, que se passe-t-il ensuite, où va-t-il et comment un intrus pourrait-il accéder à ces mots de passe ?
Pourquoi les systèmes SAP peuvent être la cible de cyberattaques et comment les utilisateurs se connectent-ils en toute sécurité ?
Pour résumer, un système SAP représente un véritable trésor en termes de données. SAP est un système métier intégré qui prend en charge les processus les plus essentiels d’une entreprise et, dans la plupart des cas, il est intégré à d’autres solutions d’entreprise. Par conséquent, les systèmes SAP contiennent un énorme volume de données sensibles. Cette particularité, propre aux systèmes et bases de données SAP, en fait une cible privilégiée au niveau de potentielles failles de sécurité qui auraient pour objectif d’obtenir l’accès à des données sensibles et de mener des activités frauduleuses.
Comme pour tout autre système, les utilisateurs ont des identifiants et des mots de passe. SAP propose Secure Login, qui est une solution logicielle innovante spécialement créée pour améliorer la productivité des utilisateurs et des équipes IT. Elle permet également de protéger les données essentielles via des solutions SAP au moyen d’une authentification unique (Single Sign-On) et sécurisée au niveau de l’environnement SAP.
L’utilisateur SAP peut se connecter à un système SAP via SAP GUI (Graphical User Interface) à l’aide de l’authentification unique (Single Sign On) ou à l’aide d’une combinaison utilisateur/mot de passe. Ces hachages de mot de passe sont ensuite enregistrés dans les tables utilisateur principales au niveau de la base de données du système SAP. Un intrus, ayant accès à ces hachages, pourrait déchiffrer les mots de passe particulièrement faibles ou bien en générer à l’aide d’attaques par dictionnaire ou par collision. Cette possibilité soulève une question majeure.
Comment un intrus contourne-t-il les mécanismes de contrôle d’accès de SAP pour obtenir des hachages de mot de passe ?
La première façon d’accéder aux hachages de mot de passe dans un système SAP de production consiste à parcourir les tables de base de données à l’aide de la transaction SE16, en particulier si les contrôles d’accès appropriés aux tables ne sont pas bien définis. L’accès aux mots de passe et aux données métier sensibles peut être empêché en attribuant des groupes d’autorisation (Authorization Groups) appropriés aux tables de base de données. Malheureusement, cette mesure n’est pas mise en œuvre dans de nombreuses implémentations SAP et trop d’utilisateurs ont accès à des tables de base de données contenant des données sensibles. Les hachages de mot de passe peuvent être affichés et téléchargés à l’aide de la transaction SE16.
La possibilité de déboguer des programmes dans des environnements de production offre un autre moyen d’obtenir des hachages de mot de passe. Le mode débogage permet de consulter les valeurs en cours de traitement et d’obtenir des hachages de mot de passe. L’exécution d’un rapport basique, tel que RSUSR200 (List of Users According to Logon Date and Password Change), qui lit une table contenant des données relatives à l’utilisateur, peut suffire à obtenir un hachage en mode débogage.
Nous pouvons mentionner de nombreuses autres façons d’obtenir des hachages de mot de passe et des données sensibles, comme par exemple, la connexion aux systèmes SAP à partir de programmes externes à l’aide de modules de fonction compatibles RFC ou l’accès à la base de données d’un système SAP directement via des connecteurs de base de données.
Le rôle de Logpoint SIEM dans la protection de vos systèmes SAP
Il est essentiel de détecter en temps réel les accès non autorisés aux tables de base de données essentielles, l’exécution de programmes critiques ou le débogage des systèmes de production, de les corréler avec d’autres événements liés à la sécurité et d’afficher des alertes dans un outil SIEM intégré (Security Information and Event Management). En règle générale, les systèmes SAP sont déconnectés du suivi de la sécurité IT. Cette situation signifie que les données SAP ne sont pas corrélées avec d’autres événements du réseau IT et ce manque d’intégration génère une faille de sécurité sérieuse qui ne peut être traitée qu’en intégrant les données SAP dans une solution de suivi centrale.
En fusionnant les technologies BCS for SAP et SIEM, nous comblons le fossé en matière de sécurité en intégrant la sécurité SAP dans le SIEM. De cette manière, les données sont corrélées avec d’autres événements du réseau IT, fournissant ainsi des informations contextuelles et offrant aussi une visibilité complète sur les menaces au niveau de l’ensemble du paysage.
Vous pouvez obtenir plus d’informations sur nos solutions de suivi de la sécurité SAP (SAP Security Monitoring Solutions) sur notre site Web et télécharger notre brochure BCS for SAP en utilisant ce lien.