Longtemps négligée, la sécurité des ERP et en particulier des installations SAP, est dorénavant à l’agenda des RSSI pour 2022. La cible est diablement tentante pour un attaquant qui voudrait immobiliser l’activité d’une entreprise.
Longtemps, la sécurité des installations SAP a reposé sur les PRA et les PCA mais depuis l’ouverture des systèmes d’information, le basculement de SAP sur les technologies Web et l’essor de la cybercriminalité, le risque de piratage informatique est devenu une réalité. Benjamin Leroux, directeur marketing d’Advens, résume les vulnérabilités de l’ERP :
« Les plus courantes sont les défauts de mises à jour, les comptes par défaut encore en place, les politiques de mot de passe faible, les mots de passe par défaut jamais modifiés et le manque de journalisation. On peut y ajouter le défaut de chiffrement en interne (SNC) et le défaut de configuration des RFC (car SAP utilise les connexions RFC entre systèmes SAP pour émettre et recevoir des données métiers). » En outre, comme tous les logiciels, les ERP sont affublées de failles de sécurité.
Plus d’immunité pour les ERP…
En mai 2019, les experts sécurité d’Onapsis révélaient que jusqu’à 50 000 entreprises étaient exposées à 10KBlaze, une faille qui permettait à un pirate de prendre le contrôle de l’ensemble des données d’un système SAP. Jusque-là considérée comme une boîte noire à l’abri des attaquants, on s’aperçoit que SAP est une application comme une autre et peut voir ses données chiffrées par un ramsomware ou être potentiellement hackée par un pirate qui voudrait effectuer des transactions financières frauduleuses. SAP publie régulièrement des notes de sécurité et des patchs à appliquer pour corriger ces failles.
Ivan Mans, CTO de l’éditeur de sécurité SecurityBridge, souligne : « Il convient de faire la différence entre les piratages internes et externes ».
Des systèmes avec des portes grandes ouvertes
« En ce qui concerne les menaces externes, tous les systèmes et applications connectés à Internet sont visés. Nous voyons ici des routeurs SAP mal configurés et même des applications SAP modernes qui ont des portes grandes ouvertes. Les menaces internes présentent une surface d’attaque encore plus grande, et de tels événements sont généralement difficiles à identifier sans l’aide d’outils spécialisés. »
S’il est possible de gérer la sécurité de l’ERP avec les outils fournis par SAP, notamment SAP GRC (governance, risk, and compliance) ou la brique IAM, des plateformes spécialisées dans la sécurité SAP sont apparues sur ce marché.
Des outils spécifiques pour sécuriser SAP
C’est le cas des solutions antivirales et de protection applicative de BowBridge ou encore des plateformes globales SecurityBridge et Onapsis.
L’offre Onapsis prend en charge tous les modules de SAP Netweaver, HANA, Java et est compatible avec tout type de mise en œuvre SAP, qu’elle soit sur site, dans le Cloud ou gérée par un tiers. Sa rivale SecurityBridge aborde tous les aspects de la protection des entreprises utilisant SAP contre les menaces internes et externes pesant sur les applications SAP NetWeaver, ABAP et S/4HANA. Cette suite intègre le Threat intelligence, l’analyse du code SAP, le Patch Management ainsi que la gestion des incidents de sécurité.
En 2021, PasàPas, une ESN spécialisée dans l’intégration SAP, a tissé un partenariat avec SecurityBridge afin de proposer une offre de sécurisation SAP aux entreprises françaises. « Nous construisons des services d’infogérance sur cette solution dans un mode mutualisé pour nos clients, ou en tant que service dédié pour des clients qui disposent d’un SOC » explique Ivan Ivanov, directeur des opérations / COO chez PASàPAS.
Des clients matures sur le Cloud
Ces derniers ont préféré commencer par intégrer au SOC les applications réputées plus exposées que SAP, mais depuis 2021, l’ERP arrive en force. « Les clients qui nous demandent ce type d’intégrations sont ceux qui sont déjà très matures sur le Cloud ainsi que ceux qui sont soumis à des réglementations ou des exigences particulières à respecter. » Les alertes de sécurité générées par le monitoring en temps réel du système SAP par SecurityBrige permettent d’alimenter un SOC afin de traiter aux plus vite ces événements. En outre, avec Security Bridge, il est possible d’inspecter le code SAP et surtout celui des applications spécifiques afin de vérifier que ce code spécifique ne contienne pas de faille de sécurité.
Attention aux possibles failles dans les applications spécifiques
« SAP assure la sécurité de son code, publie des notes de sécurité et des patchs qu’il faut appliquer, ajoute Ivan Ivanov, mais SecurityBridge alerte sur des failles de sécurité potentielles qui peuvent se trouver dans le code spécifique. Par exemple, la faille de sécurité Log4j a affecté plusieurs dizaines de solutions SAP. Nous avons communiqué auprès de nos clients sur la présence de ces failles et appliqué les patchs sur les systèmes de test, puis très vite en production. »
Enfin, la suite SecurityBridge permet de gérer la Security Baseline de SAP, plus de 300 points de vérifications de l’environnement SAP qui permettent de s’assurer que la sécurité du système SAP est à la hauteur des enjeux.
Avis d’expert
Ivan Ivanov,
directeur des opérations / COO chez PASàPAS
« Quand on examine dans le détail une ancienne installation SAP, beaucoup de points de sécurité sont dans le rouge par rapport à la Security Baseline de SAP : qu’il s’agisse des droits étendus, paramétrages, mises à jour qui n’ont pas été réalisées, etc.
De même, souvent, une forte proportion des mots de passe SAP sont chiffrés avec un ancien hash notoirement insuffisant aujourd’hui. »
