Tout savoir sur la sécurité SAP

Les entreprises utilisant SAP comme une application métier ou un système ERP y stockent souvent leurs actifs les plus critiques, notamment leurs propriétés intellectuelles. Ces données doivent être protégées contre tout accès non autorisé susceptible de provenir à la fois de l’extérieur et de l’intérieur de l’entreprise. Les systèmes SAP nécessitent une protection et une surveillance étendues en matière de sécurité.

La sécurité SAP (Systems Applications and Products) est un moyen de protéger les données et les systèmes de votre entreprise en surveillant et en contrôlant les accès à la fois en interne et en externe. Les systèmes SAP sont des logiciels ERP largement utilisés par toutes sortes d’entreprises et dans divers secteurs.

La sécurité SAP comporte divers aspects, tels que la sécurité de l’infrastructure, du réseau, du système d’exploitation et de la base de données. Le niveau suivant est le code sécurisé, qui concerne le maintien du code SAP et de la sécurité par le biais d’un code personnalisé.

Une configuration sécurisée des serveurs SAP est essentielle pour protéger les données privées de votre entreprise et les maintenir hors de portée des cybercriminels. Elle concerne la configuration sécurisée d’un serveur, l’activation de la journalisation de la sécurité, la sécurité en termes de communication système ainsi que la sécurité des données. Les utilisateurs et les autorisations sont également surveillés et suivis de manière critique.

Compte tenu de la nature complexe et interconnectée des systèmes SAP, le maintien de la sécurité de ces derniers s’avère être une tâche compliquée. Concernant la sécurité SAP, voici un aperçu des différents aspects impliqués :

• Sécurité des infrastructures
• Sécurité Internet
• Sécurité du système d’exploitation
• Sécurité de la base de données
• Sécurité du code
• Configuration d’un serveur
• Activation de la journalisation de sécurité
• Communication système

Lorsque ces éléments sont correctement déployés, il est facile de maintenir la conformité du système à l’aide d’une surveillance continue, d’audits et de la mise en place de stratégies d’urgence.

La sécurité SAP est souvent isolée ou représente un véritable angle mort au niveau de la surveillance centralisée de la cybersécurité au sein d’une entreprise. De plus avec 66% des dirigeants d’entreprise qui estiment que les cyberattaques sont de plus en plus fréquentes dans le monde, il s’agit véritablement d’une préoccupation majeure.

Ainsi, afin de contrer ces attaques, la sécurité SAP est conçue pour aider à protéger les systèmes critiques sur lesquels les entreprises s’appuient pour gérer efficacement leur activité.

Les cas d’utilisation les plus courants sont les suivants :

• Éviter d’éventuelles exploitations et fraudes.
• Assurer l’intégrité des données.
• Identifier les accès non autorisés.
• Des audits continus et automatisés.
• La détection des fuites de données.
• La surveillance centralisée de la sécurité.

Une attaque visant des systèmes SAP peut avoir des conséquences dévastatrices sur les activités de l’entreprise, pouvant entraîner des pertes financières et un impact négatif sur la réputation.

Ces systèmes doivent être protégés contre les cybermenaces internes et externes afin de maintenir la confidentialité, la disponibilité et l’intégrité.

Malgré cela, de nombreuses entreprises les gardent hors du périmètre d’action des équipes de sécurité ou s’appuient uniquement sur les outils des fournisseurs ERP. Cette stratégie augmente les risques d’attaque et fait des systèmes ERP, tels que SAP, une cible de choix pour d’éventuels adversaires.

Etant donné que les systèmes SAP connectent différents départements et programmes pour vous aider à gérer votre entreprise de manière fluide, ils sont incroyablement compliqués. Ainsi, comme ils sont complexes et uniques par nature, il est donc plus difficile de développer des mesures de cybersécurité appropriées.

De plus, avec des cybercriminels qui tentent d’attaquer des systèmes toutes les 39 secondes, selon une étude de l’Université du Maryland, la protection de ces derniers est vitale.

Au sein de la sécurité SAP, vous pouvez prendre plusieurs mesures pour empêcher les attaques :

SAP délivre les autorisations nécessaires de manière standard. Les concepts d’autorisations liés au client sont configurés dans SAP, permettant ainsi d’attribuer les autorisations les plus importantes. L’attribution des combinaisons d’autorisations (séparation des tâches, SOD/Segregation of Duties) est cruciale.

L’attribution de combinaisons d’autorisations critiques doit être évitée et utilisée ou bien attribuée uniquement dans des cas exceptionnels, comme dans le cas des comptes de type firefighter. Un autre aspect complexe de la sécurité SAP est que les autorisations et les rôles peuvent être modifiés dans SAP par des moyens standards propres à l’ERP.

Par conséquent, l’examen des autorisations et des combinaisons d’autorisations nécessaires est d’une importance cruciale et représente un défi important pour les entreprises. De plus, l’examen continu et automatisé des autorisations SAP est lui aussi d’une importance essentielle.

Ces contrôles utilisent un catalogue de tests. Créer ce dernier de zéro demande beaucoup d’efforts et est utile non seulement pour les autorisations au niveau de SAP Basis, mais également pour les processus métier. Par exemple, si le principe des 4-6 yeux est entravé par l’attribution des autorisations et des combinaisons d’autorisations nécessaires, alors dans ce cas précis, il existe un réel risque d’exploitation ou de fraude.

Les contrôles SOD sont idéalement effectués non seulement en fonction des rôles SAP, mais également en fonction des utilisateurs qui pourraient violer un soi-disant conflit SOD en attribuant plusieurs rôles. En plus de l’évaluation des utilisateurs, il est essentiel de savoir au final quels sont les rôles à l’origine de ce conflit de combinaisons. La transaction SAP SUIM et son API permettent de contrôler des combinaisons d’autorisations critiques.

SAP est de plus en plus concerné par des failles de sécurité. Les menaces qui sont actuellement traitées au niveau de la cybersécurité traditionnelle existent également au niveau des systèmes SAP. Des publications régulières sont faites sous le nom de SAP Security Notes, cependant, le défi pour les entreprises est de maintenir les systèmes SAP à jour et d’installer les correctifs de manière systématique.

Une telle rigueur n’est pas toujours possible.

Par conséquent, de nombreux systèmes SAP peuvent ne pas être corrigés pendant une période assez longue et présentent donc de graves failles de sécurité. Pour aggraver la situation, avec la sortie des nouveaux correctifs, des informations sont publiées sur la localisation des vulnérabilités et la manière avec laquelle elles peuvent être exploitées. Ainsi, non seulement les correctifs sont essentiels, mais la détection des vulnérabilités exploitées, aussi appelées exploits zero-day, l’est également.

SAP propose un grand nombre de transactions critiques et de modules fonctionnels qui sont même disponibles à distance. Il est possible de créer des comptes via l’API du système SAP, de les doter d’autorisations, puis de les utiliser à distance. D’autres blocs de construction et modules fonctionnels peuvent ensuite charger ou modifier des données à partir du système SAP.

Là encore, l’attribution des autorisations joue un rôle, car elle restreint l’utilisation des transactions. Il est également crucial de surveiller en continu, et quasiment en temps réel, l’exécution des transactions, les modules RFC ou les rapports SAP. L’accès aux systèmes SAP depuis l’extérieur, via les interfaces d’un système SAP, par exemple via l’interface RFC, doit également être surveillé.

La sécurité du code est également un élément essentiel de la sécurité SAP. Dans les systèmes SAP, il revient souvent aux développeurs d’assurer la sécurité du code ABAP. Le codage est assemblé dans les transports et est transféré depuis les systèmes de développement vers ceux de production, souvent sans un examen suffisant du codage.

De plus, SAP offre aux attaquants des options intéressantes pour l’injection de code, car le codage peut même être généré et exécuté au moment de l’exécution (runtime). La manipulation de transports importants et urgents n’est qu’un moyen d’acheminer dans un système SAP des programmes malveillants non détectés au préalable. SAP fournit un inspecteur de code, avec des modules tels que le Code Vulnerability Analyzer (l’analyseur de vulnérabilité de code), pour vérifier ce dernier.

Les paramètres système sont la base de la sécurité SAP et les options au niveau des paramètres des systèmes SAP sont nombreuses. Le paramétrage est effectué au niveau de la base de données par des transactions SAP également appelées SAP Profile Parameters, qui sont stockées dans des fichiers. Le déploiement d’un système SAP doit se conformer à un ensemble de règles concernant les paramètres système, qui se trouvent dans un manuel d’utilisation SAP Basis.

Vous découvrirez comment les paramètres de sécurité sont affectés dans un système SAP, comment l’accès est accordé ou refusé et quelle communication est autorisée au niveau d’un système SAP. Les couches regroupant le système d’exploitation, la base de données et les applications sont importantes à ce niveau. Chacune de ces couches nécessite une définition appropriée des paramètres de sécurité.

Malheureusement, ces dernières sont souvent insuffisantes dans le système SAP standard. Par exemple, dans de nombreuses entreprises, seuls 5% des dossiers sont correctement protégés.

La passerelle (Gateway) RFC peut être décrite comme le pare-feu interne de SAP et doit être configurée avec précision (RegInfo, SecInfo), afin d’éviter un accès distant non autorisé depuis les systèmes et les applications.

Les recommandations en matière de bonnes pratiques SAP, ou celles émanant de groupes d’utilisateurs SAP tels que DSAG, contiennent des paramètres et des catalogues de test éprouvés et axés sur la sécurité.

La sécurité SAP couvre également un ensemble de logs de sécurité. Ces derniers doivent être activés et contrôlés en parallèle.

Les logs les plus critiques sont les logs d’audit de la sécurité SAP (SAP Security Audit Log – SM20), qui contiennent un ensemble d’événements pertinents pour la sécurité et l’audit. Les logs de modification (Change Logs – SCU3) des tables de base de données sont disponibles, ainsi que les documents dits de modification (Change Documents) des utilisateurs et des objets métier (SCDO). Le log de la passerelle SAP RFC SMGW transporte les logs de la passerelle RFC, ceux de SAP Internet Communication Manager ainsi que le répartiteur Web.

Le log d’accès en lecture SAP (SAP Read Access Log) stocke l’accès en lecture et en écriture à des champs de transactions spécifiques, à des rapports ou programmes. Cette option permet de fournir un élément essentiel pour répondre aux exigences du règlement de l’UE sur la protection des données (RGPD ou DS-GVO), à savoir la journalisation de l’accès aux données personnelles

Le log d’accès en lecture SAP (SAP Read Access Log) stocke l’accès en lecture et en écriture à des champs de transactions spécifiques, à des rapports ou programmes. Cette option permet de fournir un élément essentiel pour répondre aux exigences du règlement de l’UE sur la protection des données (RGPD ou DS-GVO), à savoir la journalisation de l’accès aux données personnelles

Avec tant de risques et tant d’éléments à organiser, il peut être difficile de mettre en œuvre un plan. Voici donc une checklist rapide et simple pour vous aider à vous lancer si vous cherchez à améliorer votre sécurité SAP.

Pour assurer la sécurité de vos données, vous devez effectuer un certain nombre d’évaluations différentes :

• Évaluation interne du contrôle d’accès
• Évaluation de la procédure de changement et de transport
• Évaluation des paramètres réseau et de l’architecture du paysage
• Évaluation de la sécurité du système d’exploitation
• Évaluation de la sécurité du SGBD (DBMS)
• Évaluation de la sécurité SAP NetWeaver
• Évaluation de divers composants SAP (comme SAP Gateway, SAP Messenger Server, SAP Portal, SAP Router, SAP GUI)
• Évaluation de la conformité aux normes SAP, ISACA, DSAG, OWASP

Après avoir effectué ces évaluations, vous devrez encore franchir d’autres étapes. Avec un plan en place, vous serez sans aucun doute en avance sur la plupart des entreprises et des cybercriminels. Voici un processus simple en 4 étapes pour vous aider à démarrer et à surveiller votre sécurité SAP :

1. Ayez des paramètres cohérents : assurez-vous que vos paramètres soient tous configurés pour être en phase avec votre structure organisationnelle. Vous devez également former vos équipes et vérifier que toutes les mesures de sécurité en place soient respectées.

2. Créez des procédures d’urgence : En cas d’urgence, vous devez avoir un plan en place pour y faire face rapidement et efficacement. Vous devez notamment être sûr que vos administrateurs réseau puissent facilement révoquer l’accès et les privilèges selon les besoins.

3. Nettoyez et vérifiez : Ensuite, vous devez toujours surveiller vos systèmes SAP. Assurez-vous également que la liste des autorisations soit mise à jour régulièrement, en particulier lorsque vous avez de nouvelles recrues ou que des employés changent de rôle.

4. Utilisez des outils de sécurité : Enfin, il est crucial d’avoir les bons outils de sécurité en place pour pouvoir observer ce qui se passe et détecter toute activité suspecte. De cette façon, vous pourrez plus facilement empêcher qu’une cyberattaque ou qu’une violation de données n’ait lieu.

Vous recherchez le bon logiciel de sécurité SAP ? Il est difficile de savoir où chercher et à qui faire confiance, surtout concernant un élément aussi important.

Bien que l’éditeur propose une solution de sécurité SAP, elle ne s’intègre souvent pas au reste de la surveillance mise en œuvre par l’entreprise en matière de cybersécurité. Cette situation crée un angle mort pour l’équipe de sécurité et augmente la cyber-menace en provenance d’acteurs internes et externes.

C’est pourquoi intégrer la surveillance de votre sécurité SAP à une solution SIEM centralisée peut vous apporter une valeur ajoutée significative dans les domaines de la cybersécurité, des opérations IT, de la conformité du système et de l’analyse de votre activité. En général, ces plateformes utilisent des technologies telles que l’UEBA (User Entity and Behavior Analytics) pour obtenir des informations comportementales en plus de la surveillance basée sur des règles.

La sécurité SAP doit être surveillée en permanence et automatiquement via des solutions SIEM. Cette dernière doit également être centrale au sein de l’entreprise, intégrée à la cybersécurité et gérée idéalement par un SOC (Security Operations Center), afin d’identifier les menaces et d’y répondre immédiatement.