Systèmes SAP : l’angle mort de la sécurité des entreprises

innovative-business-technology

Réceptacle de la plupart des données stratégiques des entreprises, nombre de systèmes SAP restent pourtant peu ou mal sécurisés. Un constat qui a poussé PASàPAS à déployer, sous forme de services, une offre reposant sur une solution spécialisée et permettant de prioriser les tâches les plus urgentes de sécurisation.

 

Un monde à part qui s’est toujours vécu comme une île, mais qui voit le niveau des eaux monter dangereusement. L’usage de plus en plus répandu de SAP ainsi que la sensibilité des données que renferment ces systèmes ne permettent plus à ces environnements de rester à l’abri des cybermenaces. « Sur les systèmes SAP, le premier risque reste la menace interne : vol de données, extraction de la base clients ou vol de documents renfermant de la propriété intellectuelle », tranche Matthieu S., architecte SAP chez PASàPAS. Un risque bien réel comme le prouve la mésaventure vécue par cette entreprise française, qui a vu un ex-employé partir avec la base clients pour les démarcher en se présentant comme leur nouvel interlocuteur légitime. « Et ce risque n’a fait que se cristalliser avec l’évolution récente du monde du travail, avec la progression des CDD, des intérimaires et des prestataires de services », reprend Matthieu S.

Ce constat n’écarte pas pour autant les menaces externes, comme les ransomwares. Un fléau qui a, par exemple, vu la société lyonnaise de lingerie Lise Charmel se placer en redressement judiciaire, après un chiffrement de ses données qui a paralysé l’ensemble de ses systèmes de gestion fin 2019. Et cette fragilité aux menaces externes n’est pas l’apanage des PME ; le géant des puces graphiques Nvidia a ainsi été contraint de fermer son portail client – sous SAP – en raison d’une vulnérabilité non corrigée par la société alors que l’éditeur avait publié un patch… trois ans plus tôt.

 

« Systèmes très ouverts par défaut »

« En raison de leurs interfaces HTML 5, qui les rendent accessibles sur tous types de terminaux, mais aussi de l’APIsation croissante des systèmes, les environnements SAP deviennent de plus en plus ouverts sur l’extérieur », relève de son côté Ivan Ivanov, directeur de l’activité Cloud Technology Services chez PASàPAS. Conséquence : une augmentation de la surface d’attaque, donc des risques en matière de perturbation de l’activité, de vol de données confidentielles ou de dégradation de l’image de marque.

Or, comme l’observent les deux experts, sécuriser un système SAP est tout sauf une évidence. « La vigilance doit être de mise dès la définition de l’architecture. De très nombreux éléments doivent être sécurisés car les systèmes sont livrés très ouverts en standard », remarque Matthieu S. Des tâches qui, précisément, n’ont souvent pas été anticipées, en particulier au plan budgétaire. « Les projets SAP se traduisent par des budgets conséquents pour les entreprises. Mais ces budgets sont orientés sur le bon fonctionnement des systèmes, pas sur leur sécurisation ».

 

Des bonnes pratiques souvent ignorées, faute de budget

La sécurité hérite d’un statut de parent pauvre d’autant plus dommageable qu’en réalité, la tâche est colossale. Y compris sur les premières implémentations (Greenfield). « Et, sur les systèmes existants, multi-connectés, soumis à des contraintes de haute disponibilité, la sécurisation est encore plus complexe, donc plus chère à mettre en œuvre », reprend l’expert. Le résultat ? Selon les experts de PASàPAS, le déploiement des bonnes pratiques prônées par SAP – au sein de sa Security Baseline – est loin d’être généralisé. Pire, les intégrateurs SAP eux-mêmes ont parfois tendance à passer ces bonnes pratiques sous silence, pour ne pas alourdir la facture des projets et ne pas effrayer les DSI. « Et la sécurisation ne s’arrête pas au projet d’intégration, reprend Ivan Ivanov. En production, il faut également mener un travail perpétuel de réduction de la surface d’attaque, en prenant en compte les différents niveaux à sécuriser : accès utilisateurs, accès indirects, accès par les couches techniques, failles affectant les développements spécifiques, etc. »

La conséquence ? Des lacunes de sécurité qui perdurent. Y compris sur des basiques, comme l’application des patchs de sécurité publiés par l’éditeur ou la gestion des accès. « Identifier les correctifs à appliquer avec les outils fournis par l’éditeur demande beaucoup de temps », note Matthieu S. Sans oublier l’impact des tests de non-régression en termes de consommation de ressources. En matière de gestion des accès, si des progrès ont été accomplis dans la gestion des rôles et autorisations côté métiers – suite à divers scandales financiers comme celui d’Enron -, le constat est très différent sur les profils techniques. D’où des aberrations, comme cette grande entreprise française au sein de laquelle n’existait aucune confidentialité de l’information véhiculée par SAP : « tous les utilisateurs avaient accès à toutes les données via une transaction ouvrant des droits sur toutes les tables de la base de données. Ce qui avait été vu comme une décision projet d’arbitrage budgétaire sans ou avec peu de conséquences avait, en réalité, des répercussions très lourdes sur la confidentialité de l’activité », illustre le spécialiste de PASàPAS.

 

Une alternative aux outils SAP

Face à ces lacunes patentes et multiples, confirmées par les audits et tests de pénétration, les DSI connaissent souvent une forme de découragement en raison de l’ampleur des chantiers de sécurisation à mener. D’autant plus que l’outil de gestion des menaces proposé par l’éditeur – SAP Enterprise Threat Detection – apparaît lui-même comme trop lourd et trop complexe. « C’est un  développement entièrement réalisé en interne à partir d’une page blanche par SAP, selon leur équipe de développement. Si cela permet de mesurer l’importance du sujet pour l’éditeur, il s’agit d’un outil puissant, mais complexe, avant tout pensé pour les besoins propres de SAP », décrit l’architecte de PASàPAS.

C’est d’ailleurs ce constat qui a poussé le prestataire à chercher une alternative pour bâtir sa propre offre de sécurisation des environnements SAP. Une quête qui a poussé PASàPAS à s’intéresser à l’offre d’un éditeur allemand, SecurityBridge. La solution de ce dernier présente l’avantage de demander peu de configurations, ce qui permet aux entreprises de démarrer tout de suite la sécurisation de leurs environnements sans en passer par un long projet d’intégration. « Comme d’autres, l’outil répertorie toutes les failles, avec le même effet tsunami. Mais, ici, on peut prioriser les tâches les plus simples couvrant les risques les plus importants », détaille Matthieu S. C’est précisément la démarche qu’a choisi de mettre en avant PASàPAS dans le cadre de son offre de Security as-a-Service, basée sur SecurityBridge.

 

Eclairer la sécurité SAP de l’intérieur

Proposée sur abonnement – aux entreprises infogérées ou ayant confié leur maintenance au prestataire, mais aussi prochainement à toute entreprise -, la solution (CyberSecurity 4 SAP) se décline en plusieurs packages : pour les analyses statiques de conformité de paramétrage et de code d’une part, et les analyses dynamiques comme la surveillance des échanges et des événements sur les systèmes SAP d’autre part. Ce second volet permet également de réagir à des événements suspects, pour bloquer un utilisateur ou retirer une autorisation. Ce pan de la solution peut encore venir enrichir un système de gestion des événements et des informations de sécurité (SIEM).

« Surtout, on parle ici d’une solution qui s’intègre dans SAP et exploite un socle technologique Netweaver/ABAP », précise Matthieu S. Une façon d’éclairer de l’intérieur ce que beaucoup d’entreprises considèrent encore comme une boîte noire et qu’elles tentent dès lors de sécuriser par sa périphérie. « La solution SecurityBridge a permis de faire progresser notre fonctionnement interne et, demain, fera progresser celui de nos clients en amenant progressivement les pratiques de sécurité au bon niveau, en termes de configuration, de patching, de gestion du code spécifique, de prise en compte des événements de sécurité ou encore de surveillance des dérives au fil du temps », résume Ivan Ivanov. Une façon également de tranquilliser les RSSI, qui ont trop longtemps considéré SAP comme un ilôt isolé. Alors qu’il s’agissait souvent d’une île aux trésors pour les cybercriminels.

 

En savoir plus sur notre offre CyberSecurity 4 SAP