Par Christoph Aschauer, Director, LogPoint pour SAP

 

Les entreprises utilisant SAP comme une application métier ou un système ERP y stockent souvent leurs actifs les plus critiques, notamment leurs propriétés intellectuelles. Ces données doivent être protégées contre tout accès non autorisé susceptible de provenir à la fois de l’extérieur et de l’intérieur de l’entreprise. Les systèmes SAP nécessitent une protection et une surveillance étendues en matière de sécurité.

 

Qu’est-ce que la sécurité SAP ?

La sécurité SAP comporte divers aspects, tels que la sécurité de l’infrastructure, du réseau, du système d’exploitation et de la base de données. Le niveau suivant est le code sécurisé, qui concerne le maintien du code SAP et de la sécurité par le biais d’un code personnalisé. Une configuration sécurisée des serveurs SAP est essentielle. Elle concerne la configuration sécurisée d’un serveur, l’activation de la journalisation de la sécurité, la sécurité en termes de communication système ainsi que la sécurité des données. Les utilisateurs et les autorisations ne sont pas moins critiques. Dans l’ensemble, il est essentiel de garantir la conformité du système à l’aide d’une surveillance continue, via des audits et la mise en place de concepts d’urgence.

Sécurité SAP : utilité et importance ?

La sécurité SAP est souvent isolée ou représente un véritable angle mort au niveau de la surveillance centralisée de la cybersécurité au sein d’une entreprise. La sécurité SAP doit protéger les systèmes critiques sur lesquels les entreprises s’appuient pour gérer efficacement leur activité.

Les cas d’utilisation les plus courants sont les suivants :

  • Éviter d’éventuelles exploitations et fraudes.
  • Assurer l’intégrité des données.
  • Identifier les accès non autorisés.
  • Des audits continus et automatisés.
  • La détection des fuites de données.
  • La surveillance centralisée de la sécurité.

Une attaque visant des systèmes SAP peut avoir des conséquences dévastatrices sur les activités de l’entreprise, pouvant entraîner des pertes financières et un impact négatif sur la réputation. Ces systèmes doivent être protégés contre les cybermenaces internes et externes afin de maintenir la confidentialité, la disponibilité et l’intégrité. Malgré cela, de nombreuses entreprises les gardent hors du périmètre d’action des équipes de sécurité ou s’appuient uniquement sur les outils des fournisseurs ERP. Cette stratégie augmente les risques d’attaque et fait des systèmes ERP, tels que SAP, une cible de choix pour d’éventuels adversaires.

Why SAP systems are especially vulnerable to cyberattack

Comment fonctionne la sécurité SAP ?

Les systèmes SAP sont complexes et uniques par nature, rendant ainsi un niveau de cybersécurité suffisant difficile à atteindre. Il existe plusieurs domaines à maîtriser au sein de la sécurité SAP pour garantir une bonne posture en matière de cybersécurité :

Rôles et autorisations

SAP délivre les autorisations nécessaires de manière standard. Les concepts d’autorisations liés au client sont configurés dans SAP, permettant ainsi d’attribuer les autorisations les plus importantes. L’attribution des combinaisons d’autorisations (séparation des tâches, SOD/Segregation of Duties) est cruciale. L’attribution de combinaisons d’autorisations critiques doit être évitée et utilisée ou bien attribuée uniquement dans des cas exceptionnels, comme dans le cas des comptes de type firefighter. Un autre aspect complexe de la sécurité SAP est que les autorisations et les rôles peuvent être modifiés dans SAP par des moyens standards propres à l’ERP.

Par conséquent, l’examen des autorisations et des combinaisons d’autorisations nécessaires est d’une importance cruciale et représente un défi important pour les entreprises. De plus, l’examen continu et automatisé des autorisations SAP est lui aussi d’une importance essentielle.

Ces contrôles utilisent un catalogue de tests. Créer ce dernier de zéro demande beaucoup d’efforts et est utile non seulement pour les autorisations au niveau de SAP Basis, mais également pour les processus métier. Par exemple, si le principe des 4-6 yeux est entravé par l’attribution des autorisations et des combinaisons d’autorisations nécessaires, alors dans ce cas précis, il existe un réel risque d’exploitation ou de fraude.

Les contrôles SOD sont idéalement effectués non seulement en fonction des rôles SAP, mais également en fonction des utilisateurs qui pourraient violer un soi-disant conflit SOD en attribuant plusieurs rôles. En plus de l’évaluation des utilisateurs, il est essentiel de savoir au final quels sont les rôles à l’origine de ce conflit de combinaisons. La transaction SAP SUIM et son API permettent de contrôler des combinaisons d’autorisations critiques.

Gestion des correctifs

SAP est de plus en plus concerné par des failles de sécurité. Les menaces qui sont actuellement traitées au niveau de la cybersécurité traditionnelle existent également au niveau des systèmes SAP. Des publications régulières sont faites sous le nom de SAP Security Notes, cependant, le défi pour les entreprises est de maintenir les systèmes SAP à jour et d’installer les correctifs de manière systématique. Une telle rigueur n’est pas toujours possible. Par conséquent, de nombreux systèmes SAP peuvent ne pas être corrigés pendant une période assez longue et présentent donc de graves failles de sécurité. Pour aggraver la situation, avec la sortie des nouveaux correctifs, des informations sont publiées sur la localisation des vulnérabilités et la manière avec laquelle elles peuvent être exploitées. Ainsi, non seulement les correctifs sont essentiels, mais la détection des vulnérabilités exploitées, aussi appelées exploits zero-day, l’est également.

Surveillance des transactions

SAP propose un grand nombre de transactions critiques et de modules fonctionnels qui sont même disponibles à distance. Il est possible de créer des comptes via l’API du système SAP, de les doter d’autorisations, puis de les utiliser à distance. D’autres blocs de construction et modules fonctionnels peuvent ensuite charger ou modifier des données à partir du système SAP. Là encore, l’attribution des autorisations joue un rôle, car elle restreint l’utilisation des transactions. Il est également crucial de surveiller en continu, et quasiment en temps réel, l’exécution des transactions, les modules RFC ou les rapports SAP. L’accès aux systèmes SAP depuis l’extérieur, via les interfaces d’un système SAP, par exemple via l’interface RFC, doit également être surveillé.

Sécurité du code SAP

La sécurité du code est également un élément essentiel de la sécurité SAP. Dans les systèmes SAP, il revient souvent aux développeurs d’assurer la sécurité du code ABAP. Le codage est assemblé dans les transports et est transféré depuis les systèmes de développement vers ceux de production, souvent sans un examen suffisant du codage. De plus, SAP offre aux attaquants des options intéressantes pour l’injection de code, car le codage peut même être généré et exécuté au moment de l’exécution (runtime). La manipulation de transports importants et urgents n’est qu’un moyen d’acheminer dans un système SAP des programmes malveillants non détectés au préalabale. SAP fournit un inspecteur de code, avec des modules tels que le Code Vulnerability Analyzer (l’analyseur de vulnérabilité de code), pour vérifier ce dernier.

Les paramètres du système

Les paramètres système sont la base de la sécurité SAP et les options au niveau des paramètres des systèmes SAP sont nombreuses. Le paramétrage est effectué au niveau de la base de données par des transactions SAP également appelées SAP Profile Parameters, qui sont stockées dans des fichiers. Le déploiement d’un système SAP doit se conformer à un ensemble de règles concernant les paramètres système, qui se trouvent dans un manuel d’utilisation SAP Basis. Vous découvrirez comment les paramètres de sécurité sont affectés dans un système SAP, comment l’accès est accordé ou refusé et quelle communication est autorisée au niveau d’un système SAP. Les couches regroupant le système d’exploitation, la base de données et les applications sont importantes à ce niveau. Chacune de ces couches nécessite une définition appropriée des paramètres de sécurité. Malheureusement, ceux-ci sont souvent insuffisants dans le système SAP standard.

Configuration RFC

La communication RFC est un élément crucial. La passerelle (Gateway) RFC peut être décrite comme le pare-feu interne de SAP et doit être configurée avec précision (RegInfo, SecInfo), afin d’éviter un accès distant non autorisé depuis les systèmes et les applications. Les recommandations en matière de bonnes pratiques SAP, ou celles émanant de groupes d’utilisateurs SAP tels que DSAG, contiennent des paramètres et des catalogues de test éprouvés et axés sur la sécurité.

Gestion de la sécurité SAP dans LogPoint

La sécurité SAP et la lecture des logs d’accès

La sécurité SAP couvre également un ensemble de logs de sécurité. Ces derniers doivent être activés et contrôlés en parallèle. Les logs les plus critiques sont les logs d’audit de la sécurité SAP (SAP Security Audit Log – SM20), qui contiennent un ensemble d’événements pertinents pour la sécurité et l’audit. Les logs de modification (Change Logs – SCU3) des tables de base de données sont disponibles, ainsi que les documents dits de modification (Change Documents) des utilisateurs et des objets métier (SCDO). Le log de la passerelle SAP RFC SMGW transporte les logs de la passerelle RFC, ceux de SAP Internet Communication Manager ainsi que le répartiteur Web.

Le log d’accès en lecture SAP (SAP Read Access Log) stocke l’accès en lecture et en écriture à des champs de transactions spécifiques, à des rapports ou programmes. Cette option permet de fournir un élément essentiel pour répondre aux exigences du règlement de l’UE sur la protection des données (RGPD ou DS-GVO), à savoir la journalisation de l’accès aux données personnelles. La configuration de SAP Read Access Log et son évaluation est un élément essentiel de SAP Security Monitoring, notamment à l’ère du RGPD. Avec l’aide de ces logs, l’accès à SAP peut être surveillé, extrait et collecté de manière centralisée et, au mieux, surveillé automatiquement avec des règles appropriées. SAP Read Access Log est géré via la transaction SRALMANAGER.

Sécurité SAP : Solutions et outils

Bien que l’éditeur propose une solution de sécurité SAP, elle ne s’intègre souvent pas au reste de la surveillance mise en œuvre par l’entreprise en matière de cybersécurité. Cette situation crée un angle mort pour l’équipe de sécurité et augmente la cyber-menace en provenance d’acteurs internes et externes.
C’est pourquoi intégrer la surveillance de votre sécurité SAP à une solution SIEM centralisée peut vous apporter une valeur ajoutée significative dans les domaines de la cybersécurité, des opérations IT, de la conformité du système et de l’analyse de votre activité. En général, ces plateformes utilisent des technologies telles que l’UEBA (User Entity and Behavior Analytics) pour obtenir des informations comportementales en plus de la surveillance basée sur des règles.

La sécurité SAP doit être surveillée en permanence et automatiquement via des solutions SIEM. Cette dernière doit également être centrale au sein de l’entreprise, intégrée à la cybersécurité et gérée idéalement par un SOC (Security Operations Center), afin d’identifier les menaces et d’y répondre immédiatement.

Infographie LogPoint et la data security