La protection de la propriété intellectuelle des entreprises devient de plus en plus importante en cette période de fortes activités cybercriminelles. Etant donné que cette dernière est stockée au niveau de systèmes IT sur les réseaux d’entreprises, ces systèmes ont véritablement besoin aujourd’hui d’une protection complète ; celle-ci constitue une éternelle course contre de nouveaux vecteurs d’attaque en constante évolution. Outre la propriété intellectuelle des entreprises, les données personnelles en particulier constituent un autre domaine important en matière d’informations sensibles. Ces dernières doivent non seulement être protégées contre les accès non autorisés provenant de l’extérieur mais aussi contre ceux venant de l’intérieur de l’entreprise.
Les secteurs verticaux comme les hôpitaux doivent protéger l’accès aux données des patients, tout comme les autres organisations de ces secteurs, telles que les banques et les compagnies d’assurance qui doivent elles aussi protéger les données sensibles contre les accès non autorisés. La loi sur la protection des données de l’UE soutient cette initiative et prévoit, entre autres, des sanctions en cas de non-conformité ou d’absence de mesures de protection concernant le traitement des données personnelles. L’accès en lecture aux données sensibles doit faire l’objet d’une journalisation (logging). Ainsi, comme la propriété intellectuelle et les données personnelles sont disponibles dans les systèmes SAP®, une journalisation d’accès en lecture (Read Access Log) comme moyen de journalisation de l’accès aux données sensibles est proposée par SAP à ses clients.
La configuration des systèmes SAP et de la journalisation d’accès en lecture constitue un défi majeur pour les entreprises :
- Où sont les données pertinentes et personnelles ?
- Comment configurer la journalisation d’accès en lecture (Read Access Log) ?
- Quelles transactions et champs d’entrée et de sortie sont importants pour la journalisation ?
- Comment extraire les logs d’accès en lecture ?
- Comment la journalisation d’accès en lecture est-elle finalement évaluée ?
- Et enfin, comment générer une alerte ?
Les logs d’accès en lecture obtenus grâce à la configuration doivent ensuite être surveillés via des solutions dites de gestion des logs de sécurité (Security Log Management) ou SIEM (Security Information and Event Management). Ici, les logs d’accès en lecture de l’ensemble des systèmes SAP connectés sont surveillés de manière centralisée. L’avantage pour le client est évident :
- Surveillance centralisée et automatisée de la journalisation d’accès en lecture en ce qui concerne l’accès suspect aux données personnelles d’un groupe d’utilisateurs non autorisés.
- Surveillance d’un grand nombre d’accès au niveau d’un utilisateur.
- Conservation d’une piste d’audit au niveau de l’accès en lecture pour une analyse ultérieure.
- Tous les systèmes SAP connectés sont combinés dans un seul récepteur de données (data sink).
- Ad-hoc reports and
- Rapports ad hoc et évaluation des logs basée sur des règles sous la forme d’alertes.
- Corrélation des données de la journalisation d’accès en lecture avec les informations du réseau (Détection des Fuites de données).
Surveillance de l’utilisation abusive des données personnelles à l’aide de la journalisation d’accès en lecture SAP®
La journalisation d’accès en lecture (Read Access Log) SAP stocke l’accès en lecture et en écriture au niveau de champs spécifiques en matière de transactions, de rapports ou de programmes. Elle fournit ainsi un élément très important pour répondre aux exigences du règlement de l’UE sur la protection des données (RGPD ou DS-GVO), à savoir la journalisation de l’accès aux données personnelles. Vous trouverez ci-dessous quelques exemples illustrant la manière avec laquelle les données personnelles peuvent être exploitées dans un système SAP à des fins malveillantes.
- Les numéros de sécurité sociale ou de contrat d’assurance sont des données importantes et hautement personnelles dans de nombreux pays et nombre d’entre eux sont stockés dans des systèmes SAP, par exemple au niveau de certaines agences gouvernementales. Un accès non autorisé à ces informations peut facilement entraîner le téléchargement de ces données à partir du système SAP et leur envoi vers un compte de messagerie privé.
- Les autorités fiscales transmettent des informations sur les fraudeurs fiscaux via les systèmes SAP. Des experts sont alors invités à utiliser les aides à la recherche dans le système SAP, à enquêter sur certaines personnes, et ce uniquement avec des restrictions et des termes de recherche bien précis, par exemple pour éviter de charger toute la liste des fraudeurs fiscaux. L’utilisation d’une aide à la saisie SAP avec le métacaractère « * » peut entraîner l’affichage d’un grand nombre de résultats au niveau du système. L’exportation et le téléchargement de cette liste est une étape simple dans SAP. Transmettre cette liste aux médias avec des informations concernant des célébrités ayant fraudé est un incident tout à fait réaliste et qui a d’ailleurs déjà été signalé. Sans la journalisation d’accès en lecture configurée pour ces champs essentiels, l’administration fiscale se heurterait par exemple à des problèmes insolubles, à savoir la traçabilité de l’utilisation abusive de l’aide à la saisie de SAP.
- Les informations sur les paiements des salaires ou des retraites peuvent être imprimées à partir d’un système SAP et oubliées sur une imprimante ou dans un lieu public. Il est clair que de telles données sensibles nécessitent une certaine confidentialité. Une impression en elle-même est déjà une violation, et la divulgation de telles données est clairement un abus. Comment savoir qui a eu accès à ces informations ? Quels comptes ont été consultés au cours des derniers jours et qui a imprimé ces données ?
- Dans les entreprises, la rotation au niveau des postes est plus que souhaitable. Ainsi, tous les 3 ans par exemple, les employés peuvent occuper différents postes dans des entités ou départements différents. On peut se demander si les comptes SAP de ces employés et leurs autorisations sont systématiques modifiés, ou bien si les rôles nécessaires au sein du nouveau service et l’accès requis sont simplement ajoutés. Il se peut donc que le passage d’un employé du service RH au service juridique, ou vice-versa, donne lieu à des combinaisons intéressantes de droits. Il se peut que les anciens rôles SAP ou bien ceux nouvellement acquis soient exploités pour accéder à des données sensibles, profitant ainsi du passage d’un service à un autre. Par exemple, à partir d’un ordinateur et d’un compte, divers autres comptes peuvent être consultés, permettant ainsi à des personnes d’avoir accès à des données sensibles concernant des employés alors qu’elles ne devraient en réalité plus avoir les autorisations nécessaires.
Ces utilisations abusives ou malveillantes de données personnelles peuvent se produire dans les systèmes SAP. La configuration des logs d’accès en lecture et leur évaluation est un élément essentiel de SAP Security Monitoring, notamment à l’ère du RGPD. À l’aide de cette journalisation, les logs d’accès à SAP peuvent au moins être générés, extraits et collectés de manière centralisée, et au mieux surveillés automatiquement avec des règles appropriées.
À l’aide d’une solution de gestion des logs de sécurité (Security Log Management) ou SIEM (Security Information and Event Management), un large éventail de logs est collecté et automatiquement surveillé par des règles ou mis à disposition sous forme de rapports. L’intégration des logs SAP dans de tels systèmes a non seulement l’avantage de mettre en place une surveillance SAP spécifique, mais permet également de corréler les logs SAP avec les informations du réseau. Le scénario mentionné ci-dessus en termes d’affichage, de téléchargement et d’envoi d’informations obtenues à partir de SAP vers un compte de messagerie privé peut être révélé grâce à une corrélation des logs SAP®, des logs de la passerelle de messagerie et de l’accès VPN.
