Christoph Aschauer, Director, LogPoint for SAP
SAP est un leader du marché des logiciels d’application d’entreprise et est utilisé par 92% des entreprises Forbes Global 2000. Ce classement comprend les entreprises qui distribuent 78 % de la nourriture et 82 % des dispositifs médicaux dans le monde entier. Les systèmes SAP contiennent de grandes quantités de données personnelles sensibles concernant la planification des ressources de l’entreprise, la gestion des ressources humaines, les ventes, le SRM et le CRM, ainsi que d’autres modules du système.
À bien des égards, un système SAP pourrait être décrit comme le support majeur de la propriété intellectuelle et des secrets faisant le succès d’une entreprise, qui sont essentiels à la distribution de ses produits et au déploiement de ses services. SAP est également un outil incontournable pour la planification des activités, la production dans l’ERP, la gestion du cycle de vie des produits, la Business Intelligence, la gestion du matériel, etc. Ce rôle majeur souligne la nécessité de protéger les systèmes SAP contre les cyberattaques et les cybercriminels.
En raison de l’utilisation généralisée de SAP dans le monde et des données sensibles qu’il gère pour les entreprises de tous secteurs, il s’agit d’une cible attrayante. En analysant les vecteurs de menace SAP et le paysage des acteurs malveillants associés, il est clair qu’une connaissance importante du domaine spécifique à SAP est disponible, permettant ainsi aux cybercriminels d’attaquer les systèmes SAP de manière très sophistiquée. De telles opportunités permettent de cibler les actifs à forte valeur des grandes entreprises et potentiellement perturber les infrastructures critiques.
Pour protéger les entreprises utilisant SAP, il est essentiel de comprendre les bases de la sécurité SAP, ses faiblesses et comment appliquer une approche holistique à 360 degrés en matière de sécurité, notamment un Modern SIEM SAP.
Les bases de la sécurité SAP
La sécurité SAP propose de vastes offres couvrant les entreprises, les processus, les applications, les systèmes sous-jacents et l’environnement IT/OT. Par conséquent, la sensibilisation à la sécurité SAP est essentielle, tout comme la mise en place d’une gouvernance dédiée à cette dernière. Une telle approche aide à poser les bases en matière de stratégies, politiques et normes pour SAP. Lors des discussions concernant la sécurité SAP, la protection et la confidentialité des données sont des sujets incontournables. Ils sont essentiels à la protection de la propriété intellectuelle d’une entreprise et au respect des exigences en termes d’audit et de conformité réglementaire comme le RGPD.
La sécurité SAP couvre aussi des fonctionnalités telles que la gestion des utilisateurs et des identités, le contrôle d’accès et les autorisations, la sécurité du code, la sécurité du réseau, la sécurité du système d’exploitation, la sécurité des bases de données et la sécurité des endpoints/clients. De plus, un autre élément qui doit être défini lors des discussions sur la sécurité SAP concerne notamment le renforcement des systèmes SAP. Consultez l’article sur notre blog, dédié à cette thématique, pour en savoir plus sur les bases de la sécurité SAP.
Pour protéger correctement les systèmes SAP, une approche holistique est nécessaire. Celle-ci implique de commencer par évaluer et établir une stratégie de gouvernance de la sécurité SAP qui comprend la création de politiques et la gestion des risques. De plus, les politiques et les concepts SoD (Segregation of Duties/séparation des tâches) et de conformité doivent être surveillés sur la base de rapports et en temps réel. Enfin, la surveillance de l’accès aux données essentielles comme la propriété intellectuelle d’une entreprise ou l’accès aux données personnelles est critique car les concepts de sécurité peuvent être contournés à tout moment.
SAP lui-même fournit les outils de sécurité SAP les plus courants : SAP Solution Manager et SAP Governance Risk and Compliance (SAP GRC). Les environnements SAP plus importants sont généralement gérés à l’aide de SAP Focused Run. SAP a également publié SAP Enterprise Threat Detection, présenté comme le « SIEM SAP » pour répondre à l’exigence en matière de surveillance des événements et de l’activité de sécurité SAP en temps quasi réel.
Les failles de l’équipe
Historiquement, la sécurité SAP est basée sur les outils fournis par SAP lui-même. En effet, la sécurité SAP a été principalement centrée sur la gestion des identités, le contrôle d’accès et les autorisations gérées par le département SAP. Ce dernier fait souvent partie de l’organisation financière ou du département des opérations IT. La sécurité SAP intègre rarement une collaboration avec l’équipe de cybersécurité, laquelle gère effectivement la sécurité de l’infrastructure de l’entreprise à une échelle plus grande.
Les entreprises ne parviennent souvent pas à unir les forces de ces deux départements clés pour défendre leurs actifs les plus précieux et les plus vulnérables. Alors que les départements de cybersécurité manquent de connaissances en matière de sécurité SAP, les départements SAP manquent souvent de connaissances fondamentales en matière de cybersécurité. Ce problème majeur se trouve être amplifié par le fait que la plupart des clients SAP continuent de s’appuyer sur des outils de sécurité SAP de base et ne déploient pas SAP Enterprise Threat Detection.
SAP Enterprise Threat Detection prend en charge la surveillance indispensable des systèmes SAP en termes de conformité, paramètres système et d’activité du système en temps quasi réel. Malheureusement, ces efforts ne servent qu’à creuser l’écart entre la sécurité SAP et la cybersécurité.
Les lacunes en matière de cybersécurité
Une solution SIEM, telle que déployée par de nombreuses équipes de cybersécurité, est le système unique où toutes sortes d’informations relatives à la sécurité sont collectées et analysées en temps réel. Elle est conçue pour recevoir et analyser des millions d’événements par jour et identifier les menaces en fonction de règles prédéfinies et d’anomalies au niveau du comportement des utilisateurs. Un SIEM collecte des données à partir de toutes sortes de périphériques réseau, de systèmes de gestion des identités et des accès, de systèmes endpoints, de serveurs et de bases de données, d’infrastructures IT, de systèmes d’exploitation et d’applications.
En revanche, SAP Enterprise Threat Detection se concentre uniquement sur la surveillance des informations de sécurité SAP. Il ne prend pas en charge la corrélation des données et événements SAP avec les données collectées par le SIEM au sein de l’équipe de cybersécurité. Cette limitation isole la sécurité SAP, qui se retrouve alors « seule sur son île », générant ainsi un décalage entre la sécurité SAP et la cybersécurité, en omettant d’utiliser les informations de sécurité contextuelles cruciales de l’infrastructure IT environnante et en ne bénéficiant pas des compétences de l’équipe de cybersécurité.
La structure cloisonnée des informations de sécurité est un obstacle important à l’adoption d’une approche holistique à 360 degrés de la sécurité. Ce décalage ralentit la détection et la réponse aux incidents de cybersécurité et rend les systèmes SAP vulnérables aux cybercriminels qui profitent de cette situation pour pénétrer dans les systèmes SAP. Afin de combler l’écart et prendre en charge une vision globale de la sécurité, des solutions Modern SIEM SAP sont nécessaires.
Le Modern SIEM SAP
Une approche moderne en matière de sécurité SAP est basée sur la combinaison des informations de sécurité SAP avec les informations de sécurité contextuelles de l’infrastructure IT environnante présentes dans le SIEM. Les données de sécurité SAP se combinent avec ces données et les compétences de l’équipe de cybersécurité pour combler les lacunes, améliorer et accélérer la détection et la réponse aux incidents.
Cette stratégie permet aux équipes de sécurité SAP de tirer parti des analyses avancées des plateformes SIEM, notamment l’UEBA (User and Entity Behavior Analytics), complétant ainsi l’approche standard basée sur des règles (menaces connues) avec la capacité de détecter les menaces inconnues et les comportements suspects inconnus. Par exemple, il peut s’agir d’un compte SAP hautement privilégié exécutant une transaction financière inhabituelle dans les limites autorisées à la suite d’une attaque de phishing.
On peut alors se poser de savoir comment un analyste SIEM de l’équipe de cybersécurité sera capable de travailler avec les informations de sécurité SAP ? Le SIEM SAP Next-Gen prend en charge le mapping des menaces identifiées avec le framework MITRE ATT&CK, aidant ainsi l’analyste en cybersécurité à comprendre clairement et à remédier à l’attaque. De plus, le SIEM SAP Next-Gen prend en charge les playbooks pour la réponse aux incidents, formalisant les processus de réponse et permettant l’automatisation de la remédiation.
Enfin, de nouvelles compétences seront requises, combinant l’expertise en sécurité SAP et en cybersécurité. Mais l’intégration de SAP dans un SIEM est le seul endroit où la sécurité SAP et la cybersécurité pourront se rencontrer afin de créer une vue holistique et disposer d’une plus grande efficacité en matière de cybersécurité. Bien que l’analyse avancée, le mapping MITRE ATT&CK et l’automatisation soient utiles, il ne fait aucun doute que les compétences humaines dans SAP et la cybersécurité seront très recherchée à l’avenir. Il est maintenant temps de commencer.
