Votre tableau de bord GRC affiche le vert. Il n'y a aucune violation des règles de séparation des tâches. L'attribution des rôles respecte le principe du privilège minimal. Vos auditeurs ont donné leur accord au trimestre dernier.
Le ransomware crypte alors votre base de données HANA.
Les pirates n'ont jamais touché à votre couche d'autorisation. Ils ont exploité une faille non corrigée du noyau. Ils ont pénétré dans le système via le système d'exploitation. Votre matrice des rôles, pourtant soigneusement élaborée, n'a servi à rien.
C'est là que réside la différence entre la sécurité SAP et la cybersécurité SAP. La plupart des entreprises disposent de la première. Rares sont celles qui disposent de la seconde.
Définir la différence : GRC et cybersécurité
Les termes « SAP Security » et « SAP Cyber Security » se ressemblent. Ils traitent des menaces différentes en adoptant des approches distinctes.
Sécurité SAP (Classic)
La sécurité SAP traditionnelle se concentre sur les droits d'accès des utilisateurs au sein du système SAP :
- Rôles et autorisations : Quels utilisateurs ont accès à quelles transactions ?
- Séparation des tâches (SoD) : Prévenir les combinaisons d'accès à risque
- GRC (gouvernance, risques, conformité) : Surveillance et application des politiques d'accès
- Gestion des utilisateurs : Attribution, suppression des droits d'accès, vérification des accès
Cette couche répond à une question : « Cet utilisateur est-il autorisé à effectuer cette action ? »
L'accent est mis sur les risques internes. Le modèle de menace part du principe que des utilisateurs authentifiés tentent d'effectuer des opérations non autorisées. Par exemple, un magasinier qui tente d'approuver ses propres bons de commande, ou un sous-traitant qui accède à des données salariales ne relevant pas de sa compétence.
Les outils GRC sont particulièrement efficaces pour prévenir la fraude interne. Ils jouent le rôle du lecteur de carte d'identité à l'entrée.
Sécurité informatique SAP (moderne)
Cybersécurité SAP se concentre sur les menaces externes visant à compromettre SAP :
- Gestion des vulnérabilités : Identification et correction des failles de sécurité
- Détection des menaces : Surveillance des signatures d'attaques et des anomalies
- Renforcement de la sécurité : Configuration des systèmes pour réduire au minimum la surface d'attaque
- Réponse aux incidents : Détection et confinement des attaques en cours
Cette couche permet de répondre à différentes questions : « Quelqu'un tente-t-il de s'introduire dans le système ? Y a-t-il eu une faille de sécurité ? Notre configuration est-elle sécurisée ? »
L'accent est mis sur les menaces externes. Le modèle de menace part du principe que des pirates informatiques sophistiqués ciblent vos systèmes depuis l'extérieur. Les auteurs de ransomware recherchent des systèmes SAP vulnérables. Des acteurs étatiques exploitant des vulnérabilités « zero-day ». Des botnets automatisés recherchant des noyaux non patchés.
Les outils de cybersécurité sont l'équivalent des agents de sécurité armés et des caméras de vidéosurveillance. Ils détectent les menaces que les cartes d'identité ne peuvent pas contrer.
Le fossé sémantique
|
Aspect |
Sécurité SAP (GRC) |
Sécurité cybernétique SAP |
|
Menace principale |
Fraude interne |
Attaques externes |
|
En bref |
Qui peut faire quoi |
Qu'est-ce qui nous attaque ? |
|
Commandes |
Rôles, autorisations, séparation des tâches |
Correctifs, renforcement de la sécurité, détection |
|
Outils |
Plateformes GRC, gestion des identités et des accès (IDM) |
Scanners de vulnérabilités, SIEM |
|
Propriétaire |
Équipe de sécurité SAP |
Sécurité informatique/Centre d'opérations de sécurité (SOC) + Basis |
|
Portée de l'audit |
Conformité en matière d'accessibilité |
Situation en matière de menaces |
Les organisations ont besoin de ces deux volets. Un système de GRC sans cybersécurité revient à fermer la porte d'entrée à clé tout en laissant la fenêtre arrière ouverte. La cybersécurité sans GRC protège contre les pirates informatiques, mais pas contre les menaces internes.
Le nouveau paysage des menaces pour SAP
Les systèmes SAP contiennent les données convoitées par les pirates : documents financiers, informations sur les clients, propriété intellectuelle, données relatives à la chaîne d'approvisionnement. Les menaces ont désormais dépassé le simple cadre des abus internes.
Un ransomware cible directement SAP
Les campagnes modernes de ransomware ciblent spécifiquement les bases de données SAP. Les pirates savent que le chiffrement de votre base de données HANA paralyse vos activités. Ils savent que les entreprises sont prêtes à payer pour récupérer leurs données.
Les ransomwares s'introduisent par divers vecteurs :
- Systèmes d'exploitation non mis à jour : Vulnérabilités de Windows Server ou Linux
- Services SAP exposés : RFC, HTTP ou ports de base de données accessibles depuis Internet
- Identifiants compromis : Mots de passe volés utilisés pour l'authentification
- Attaques visant la chaîne d'approvisionnement : logiciels tiers compromis ayant accès à SAP
Le ransomware s'exécute au niveau du système d'exploitation. Il chiffre les fichiers présents sur le disque. Votre matrice des rôles ne peut pas empêcher le chiffrement des fichiers. Vos contrôles d'autorisation ne se déclenchent jamais, car l'attaque contourne entièrement la couche applicative.
Avertissement concernant Log4j
La La vulnérabilité Log4j a montré à quelle vitesse les environnements SAP peuvent devenir des cibles. Une faille critique dans une bibliothèque Java courante a affecté les systèmes SAP dans le monde entier. Quelques heures seulement après la divulgation publique, les pirates ont parcouru Internet à la recherche d'instances vulnérables.
Les entreprises disposant d'un système de gestion des vulnérabilités bien rodé ont rapidement identifié les systèmes concernés. Elles ont appliqué des correctifs ou mis en place des solutions de contournement avant que les failles ne soient exploitées. Celles qui ne disposaient pas de cette capacité se sont empressées de dresser l'inventaire de leurs vulnérabilités.
Log4j était l'une de ces vulnérabilités. SAP publie des notes de sécurité tous les mois. Les corrige les vulnérabilités critiques que les pirates exploitent activement. Sans gestion systématique des vulnérabilités, votre surface d'attaque augmente chaque mois.
Pourquoi les pirates informatiques s'attaquent-ils à SAP ?
Les systèmes SAP constituent des cibles de choix pour plusieurs raisons :
- Données sensibles : Transactions financières, tarification, dossiers clients
- Impact sur l'activité : Les temps d'arrêt coûtent des millions par heure
- Application complexe des correctifs : De nombreuses entreprises retardent l'application des correctifs en raison des exigences en matière de tests
- Surveillance limitée : Les équipes SOC manquent souvent de visibilité sur SAP
- Surface d'attaque stable : Les versions SAP restent déployées pendant des années
Les pirates étudient de manière approfondie les vulnérabilités de SAP. Ils savent quelles versions du noyau contiennent quels bugs. Ils savent quels paramètres de profil créent des failles de sécurité. Ils développent des outils automatisés qui analysent ces failles à grande échelle.
Éléments clés d'une stratégie de cyberdéfense SAP
Une cybersécurité SAP efficace repose sur trois capacités interdépendantes. Chacune d'entre elles intervient à une étape différente du cycle de vie d'une attaque.
Composante 1 : Gestion des vulnérabilités
La gestion des vulnérabilités consiste à appliquer les correctifs avant que les failles ne soient exploitées. Il est impossible de se défendre contre des attaques qui ciblent des failles que vous n'avez pas corrigées.
Application de correctifs au noyau SAP
Le noyau SAP comporte des vulnérabilités critiques auxquelles SAP apporte régulièrement des correctifs. Les mises à jour du noyau devraient suivre un rythme prévisible. L'analyse automatisée de SAP HotNews permet de hiérarchiser les correctifs nécessitant une attention immédiate.
Mise à jour du système d'exploitation
SAP fonctionne sur des systèmes d'exploitation qui nécessitent leurs propres correctifs. Une application SAP entièrement mise à jour sur un serveur Windows non mis à jour reste vulnérable. La gestion des vulnérabilités doit s'étendre aux deux niveaux.
Visibilité de l'état des correctifs
On ne peut pas corriger ce qu'on ne voit pas. La gestion des vulnérabilités nécessite une visibilité permanente sur :
- Versions actuelles du noyau et des paquets de support
- Notes de sécurité SAP manquantes
- Niveaux de correctifs du système d'exploitation sur l'ensemble des serveurs SAP
- Versions des composants tiers (Java, plug-ins de navigateur, etc.)
Composante 2 : Détection des menaces
La gestion des vulnérabilités permet de prévenir les attaques connues. La détection des menaces permet de repérer les attaques en cours, y compris celles qui exploitent des vulnérabilités inconnues.
Surveillance des modifications de configuration
Les attaquants modifient les configurations système afin d'assurer leur persistance ou d'étendre leurs privilèges. La surveillance des paramètres de sécurité détecte les modifications non autorisées apportées à :
- Paramètres de profil ayant une incidence sur la sécurité
- Configuration ICM (exposition sur le Web)
- Paramètres de destination RFC
- Fiches utilisateur (notamment SAP* et DDIC)
Détection des anomalies
Certaines attaques ne déclenchent pas de signatures spécifiques. La détection des anomalies permet d'identifier les schémas inhabituels :
- Tentatives de connexion infructueuses sur plusieurs systèmes
- Modèles inhabituels d'appels RFC
- Exportations de données en masse
- Tâches administratives en dehors des heures de bureau
Analyse des journaux
SAP génère des journaux détaillés contenant des preuves d'attaques. Les journaux système SM21, les journaux d'audit de sécurité et les journaux de passerelle enregistrent les événements indiquant une compromission. La plupart des entreprises n'analysent pas ces journaux de manière systématique.
Composante 3 : Renforcement
Le renforcement de la sécurité réduit la surface d'attaque en configurant les systèmes de manière à minimiser leur exposition.
Renforcement des paramètres de profil
Les systèmes SAP sont livrés avec des configurations par défaut qui privilégient la compatibilité au détriment de la sécurité. Le renforcement de la sécurité ajuste les paramètres de profil afin de :
- Désactiver les services inutiles
- Imposer des critères de complexité pour les mots de passe
- Limiter les méthodes d'accès à distance
- Activer la journalisation de sécurité
Segmentation du réseau
Les systèmes SAP ne doivent pas être directement accessibles depuis Internet. Une architecture réseau adéquate permet de limiter cette exposition :
- RFC provenant uniquement de sources fiables
- HTTP/HTTPS via des proxys inversés
- Les ports de la base de données ne sont jamais accessibles depuis l'extérieur
- Serveurs Jump pour l'accès administratif
Paramètres par défaut sécurisés
La sécurisation consiste notamment à supprimer ou à sécuriser les comptes par défaut (SAP*, DDIC, SAPCPIC), à désactiver les applications d'exemple et à supprimer les services ICF superflus. Chaque service activé représente une surface d'attaque potentielle.
Combler le fossé : comment les équipes « Basis » et « InfoSec » doivent collaborer
La cybersécurité SAP se heurte à un vide organisationnel. Le SOC gère la sécurité de l'entreprise, mais ne dispose pas de l'expertise nécessaire en matière de SAP. L'équipe Basis s'occupe de SAP, mais ne parvient pas à intégrer les opérations de sécurité.
Le problème du silo
Dans la plupart des organisations :
- Équipe Basis : Gère la configuration technique SAP. Maîtrise les paramètres de profil, les versions du noyau et les menaces spécifiques à SAP. Ne s'intègre pas aux processus SIEM et de gestion des incidents de l'entreprise.
- SOC (Centre des opérations de sécurité) : Surveille les menaces pesant sur l'entreprise. Utilise Splunk, Sentinel ou d'autres plateformes SIEM. Examine les alertes et coordonne la gestion des incidents. Ne détecte pas les menaces spécifiques à SAP, car SAP ne fournit pas de données à ses outils.
Résultat : les menaces liées à SAP passent inaperçues. Ceux qui pourraient les détecter ne maîtrisent pas SAP. Ceux qui maîtrisent SAP ne disposent pas des outils de détection nécessaires.
Conversion de SAP en SOC
Pour combler ce fossé, il faut une traduction. SAP génère des événements liés à la sécurité dans des formats propres à SAP. Le SOC a besoin de ces événements dans son propre langage et avec ses propres outils.
Une intégration efficace comprend :
Intégration SIEM
Les événements de sécurité SAP doivent être transmis à votre système SIEM d'entreprise (ServiceNow, Splunk, Microsoft Sentinel, etc.). Les alertes SAP s'ajoutent ainsi aux alertes réseau, terminal et cloud. Le SOC dispose ainsi d'une vue d'ensemble complète.
Traduction de l'alerte
Les événements SAP bruts doivent être replacés dans leur contexte. « Le paramètre de profil login/fails_to_user_lock est passé de 5 à 99 » ne signifie rien pour un analyste du SOC. « Protection contre les attaques par force brute désactivée sur le système SAP de production » suscite une réaction d'urgence appropriée.
Avantra convertit les événements techniques SAP en alertes de sécurité compréhensibles par les équipes du SOC. Les informations générées sont exprimées dans le langage du SOC, et non dans celui de SAP.
Tableaux de bord unifiés
La situation en matière de sécurité doit être visible en un seul endroit. L'état des vulnérabilités SAP, la conformité aux mesures de renforcement de la sécurité et les alertes de menaces doivent apparaître aux côtés des autres indicateurs de sécurité de l'entreprise.
Modèle de propriété partagée
Une cybersécurité SAP efficace passe par la collaboration :
|
Fonction |
Équipe Basis |
Sécurité informatique/Centre d'opérations de sécurité |
|
Identification des correctifs |
Plomb |
Consulter |
|
Test cutané |
Plomb |
Critique |
|
Déploiement de correctifs |
Plomb |
Vérifier |
|
Normes de renforcement |
Consulter |
Plomb |
|
Mise en œuvre de la sécurisation |
Plomb |
Audit |
|
Règles de détection des menaces |
Consulter |
Plomb |
|
Triage des alertes |
Assistance |
Plomb |
|
Gestion des incidents |
Assistance |
Plomb |
Aucune des deux équipes n'est seule responsable de la cybersécurité SAP. L'équipe Basis apporte son expertise SAP. L'équipe InfoSec apporte sa méthodologie en matière de sécurité. Ensemble, elles comblent cette lacune.
Le rôle d'Avantra : la couche de cybersécurité dans le cadre de la GRC
Les plateformes GRC gèrent la couche d'autorisation. Elles répondent à la question « qui peut faire quoi ? ». Elles ne traitent pas des questions telles que « sommes-nous vulnérables ? » ou « sommes-nous victimes d'une attaque ? ».
Avantra fournit la couche de cybersécurité qui sous-tend le GRC :
Visibilité des vulnérabilités
Suivi continu des versions du noyau, des niveaux de correctifs et de l'applicabilité des notes de sécurité. Vous identifiez ainsi les correctifs nécessaires sur l'ensemble de votre infrastructure.
Renforcement de la conformité
Contrôles automatisés par rapport aux normes de sécurité. Tout écart déclenche une alerte. Les dérives de configuration sont détectées avant qu'elles ne puissent être exploitées.
Détection des menaces
Surveillance en temps réel des modifications et des anomalies ayant une incidence sur la sécurité. Les activités suspectes sont détectées immédiatement, et non lors du prochain audit.
Intégration SOC
Les événements de sécurité SAP sont convertis en alertes prêtes à être traitées par le SOC. L'intégration avec les plateformes SIEM permet à votre équipe de sécurité de disposer d'une visibilité sur SAP directement depuis son environnement de travail.
La combinaison de GRC (autorisations) et d'Avantra (sécurité) offre une protection complète. L'absence de l'un ou de l'autre laisse des failles que les pirates sauront exploiter.
Conclusion : la sécurité est un travail d'équipe
La cybersécurité SAP n'est pas une simple mise à niveau de votre programme GRC. Il s'agit d'une discipline distincte qui traite des menaces spécifiques.
La GRC permet de prévenir la fraude interne. La cybersécurité permet de prévenir les attaques externes. Les deux sont indispensables. Aucune des deux ne suffit à elle seule.
Les organisations qui protègent efficacement leurs systèmes SAP présentent des caractéristiques communes :
- Ils font la distinction entre la GRC et la cybersécurité. Des équipes différentes, des outils différents, des indicateurs différents.
- Ils corrigent systématiquement les failles. Les mises à jour du noyau, les notes de sécurité et les correctifs du système d'exploitation suivent un calendrier prévisible.
- Ils se préparent à l'avance. Des profils de configuration ont été définis. Tout écart déclenche une alerte.
- Ils détectent les menaces. La surveillance porte non seulement sur la disponibilité des applications, mais aussi sur les incidents de sécurité.
- Ils intègrent SAP dans le dispositif de sécurité de l'entreprise. Le SOC prend en charge SAP. La gestion des incidents inclut SAP.
Votre tableau de bord GRC peut afficher une couleur verte alors même que des pirates informatiques s'introduisent dans vos systèmes. Ne vous laissez pas tromper par ces voyants verts.
Mettez en place ces deux niveaux de protection. Assurez la sécurité des autorisations grâce à la GRC. Sécurisez vos systèmes grâce à la cyberdéfense. Protégez votre environnement SAP contre les menaces qui n'affectent en rien votre matrice des rôles.
4. Foire aux questions
Q : Quelle est la différence entre la sécurité SAP et la cybersécurité SAP ?
R : SAP Security (classique) met l'accent sur les rôles, les autorisations, la conformité, la gouvernance et la gestion des risques (GRC), ainsi que sur la séparation des tâches. Il prévient la fraude interne en contrôlant qui peut effectuer quelles actions. SAP Cyber Security se concentre sur la gestion des vulnérabilités, la détection des menaces et le renforcement de la sécurité. Il prévient les attaques externes, telles que les ransomwares, en protégeant le système contre toute exploitation.
Q : Les ransomwares peuvent-ils contourner les contrôles d'autorisation SAP ?
R : Oui. Les ransomwares modernes s'attaquent directement au système d'exploitation et à la base de données. Ils chiffrent les fichiers au niveau du système d'exploitation sans passer par l'application SAP. Votre matrice des rôles n'a aucune importance si l'attaque n'atteint jamais la couche d'autorisation.
Q : Pourquoi les équipes SOC passent-elles souvent à côté des menaces liées à SAP ?
R : Les équipes SOC manquent généralement d'expertise SAP et leurs outils de surveillance (SIEM) ne reçoivent qu'un volume limité de données SAP. Les équipes Basis maîtrisent SAP, mais ne sont pas suffisamment intégrées aux opérations de sécurité. Il en résulte un angle mort dans lequel les menaces spécifiques à SAP passent inaperçues.
Q : Qu'est-ce que SAP HotNews et en quoi est-ce important pour la cybersécurité ?
R : Les SAP HotNews sont des notes de sécurité critiques qui traitent de vulnérabilités actuellement exploitées. Elles requièrent une attention immédiate. L'analyse automatisée des correctifs HotNews aide les entreprises à identifier et à corriger les vulnérabilités critiques avant que les pirates ne les exploitent.
Q : En quoi Avantra complète-t-il les plateformes GRC ?
R : Les plateformes GRC gèrent la couche d'autorisation (qui peut faire quoi). Avantra fournit la couche de cybersécurité sous-jacente : visibilité des vulnérabilités, renforcement de la conformité, détection des menaces et intégration au SOC. Ensemble, elles couvrent à la fois la prévention de la fraude interne et la défense contre les attaques externes.
Q : La responsabilité de la cybersécurité de SAP doit-elle incomber aux équipes Basis ou au service de sécurité de l'information ?
R : Aucune des deux équipes ne peut y parvenir seule. La cybersécurité SAP repose sur la collaboration. Les équipes Basis apportent leur expertise technique SAP pour la mise en œuvre des correctifs et le renforcement de la sécurité. Les équipes InfoSec apportent leur méthodologie de sécurité pour les règles de détection, la gestion des incidents et l'intégration SIEM. Une responsabilité partagée permet de combler le fossé entre ces disciplines.