Retour au blogue
Publié le 21 décembre 2018
Rédigé par Farid Brahimi

La cybersécurité sur SAP : une démarche active et nécessaire

Les entreprises dépensent des millions de dollars en mur pare-feu, en cryptage et en dispositifs d'accès sécurisés : c’est de l’argent gaspillé, car aucune de ces mesures n'aborde le maillon faible de la chaîne de sécurité. [traduit de l’anglais] Kevin Mitnick, Pirate renommé

Source : Economist.com

Le désastre de l’USIS

Les incidents de cybersécurité font régulièrement la une de l’actualité. À cet égard, aucun secteur d’activité ni technologie n’en sont épargnés. En effet, les systèmes SAP, longtemps inviolés, sont désormais également pris pour cibles.

Sécurité SAP

Crédit Photo : Infosecurity magazine

En 2013, l’USIS (« United States Information Service »), un sous-traitant du gouvernement fédéral américain, notamment responsable des contrôles de la sécurité des employés gouvernementaux, se fait pirater. (Info Security Magazine) Des pirates chinois exploitent une vulnérabilité pour accéder à des milliers de fichiers portant sur les employés (Reuters). Il se passera plusieurs mois avant que l’intrusion ne soit détectée (The Hill). Il va sans dire qu’il s’agit d’un énorme scandale qui sera publiquement discuté au Congrès américain. Les conséquences économiques et humaines sont désastreuses pour l’USIS : ses contrats avec le gouvernement fédéral américain sont brutalement rompus, 2 500 employés sont licenciés et l’entreprise mère se déclare en banqueroute. (Bloomberg, The Washington Post , ERP scan)

site Internet URSS

Le site internet de l’USIS, aujourd’hui inexistant

Bien que les détails techniques de la brèche utilisée n’aient jamais été révélés, la leçon à tirer est qu’aucun système n’est à l’abri. Dans le cas de l’USIS, l’infrastructure technique sécuritaire n’a pas prévenu, ni même détecté l’intrusion pendant une période allant jusqu’à six mois.

Les systèmes « internes », « isolés de l’internet » ou encore « sécurisés par les firewalls », souvent évoqués par les administrateurs, ne garantissent pas leur inviolabilité. La cybersécurité est une démarche active ayant au cœur un facteur humain. En effet, l’expert réseau, le développeur, le consultant SAP et l’usager final ont tous leur rôle à jouer. Le plus grand risque est de sous-estimer les risques.

Les applications ERP comme cibles

Le 25 juillet 2018, l’US-CERT (branche du département de Homeland Security, responsable de la cybersécurité) (Wikipedia) émet une alerte avisant la présence de vulnérabilités connues dans les applications ERP, entre autres, SAP et Oracle. Ces dernières étaient devenues des cibles privilégiées pour des pirates. (US-CERT)

Sécurité ERP

Crédit Photo: Official Website of the Department of Homeland Security

Le rapport de l’US-CERT a soulevé une augmentation draconienne des activités liées à l’exploitation des vulnérabilités des applications ERP, soit une hausse de 160 % de 2016 à 2017. Par ailleurs, ce dernier souligne que dans la majorité des cas, les vulnérabilités exploitées ne sont pas nouvelles ; il s’agit plutôt d’anciennes vulnérabilités pour lesquelles des correctifs n’ayant jamais été appliqués existent. (Infosecurity-magazine)

Hélas! C'est un problème qui dépasse la frontière des ERP. La cybersécurité va bien au-delà de la gestion des rôles et des profils usagers. Par exemple, de nombreux serveurs web SAP (ABAP et J2EE) sont rarement mis à jour par les administrateurs, ce qui en fait une cible de choix pour les acteurs malfaisants (PCWorld)

Les solutions existent; reste à les appliquer

Devant les incidents et alertes de sécurité répétés, rien n’est « fatal ». Depuis plusieurs années, SAP a amélioré de manière considérable la sécurité de ses produits :

  • SAP Security Patch Day : le deuxième mardi de chaque mois, SAP publie une liste de notes SAP des nouvelles vulnérabilités découvertes, classées par criticité. Il est même possible via la configuration de Solution Manager, d’automatiquement filtrer les notes SAP pertinentes pour chaque client en fonction des produits déployés.
    Recommandations sécurité SAP
  • Régulièrement mettre à jour les systèmes SAP (au moins une fois par an). Les écosystèmes SAP sont souvent complexes et nécessitent une très haute disponibilité. Toutefois, lorsque soigneusement planifiée, une campagne de SAP Support Packages a une incidence limitée sur l’activité des usagers.
  • Configuration du Single-Sign-On (SSO) : L’un des axes d’attaques fréquemment utilisés : les mots de passe SAP, sont supprimés. En interne, cela se fera via la solution SAP SSO 3.0. Pour les connexions externes, c’est SAML 2.0 qu’il faudra déployer.
    Système SAP ABAP Sécurité
    Configuration du SAML2 sur un système SAP S/4HANA
  • Crypter les communications entre le serveur SAP et les clients (SAP GUI ou Fiori Launchpad) via SNC (Secure Network Communication : SAP note 2440692)
  • Activation des listes de contrôles d’accès (ACL) : il s’agit ici d’établir des listes exhaustives des systèmes/Adresses IP autorisées à communiquer avec les serveurs SAP (SAP notes 1408081 , 1421005 )
  • Sécuriser les destinations RFC (Remote Function Call). Les Liens RFC sont souvent considérés comme le cheval de Troie des infrastructures SAP. D’ailleurs, dans le cas de l’USIS, évoqué précédemment, les soupçons se portent fortement vers une destination RFC non sécurisée (ERPscan, Onapsis), ainsi que vers l’utilisation usagers techniques SAP par défaut qu’il conviendra de désactiver
  • Sécuriser les accès à la base de données. Les paramètres de sécurité sont spécifiques à chaque base de données. Dans le cas de HANA, a sécurité a été au cœur de sa conception : SAP note 2159014 .Les fonctionnalités sont nombreuses. On compte entre autres des antivirus : 1730930, des scripts de contrôles de sécurité 1969700, le cryptage des sauvegardes 2444090, le cryptage des données 2127458 et le cryptage des connexions a la base de données 1761693.
  • Sécurisation des paramètres SSL et de la suite cryptographique supportée : Les algorithmes de cryptages constamment sous assauts, sont régulièrement améliorés : SAP notes 510007, 2570499. Il faut donc régulièrement vérifier la suite cryptographique utilisée, et au besoin, la réajuster.
    SAP SSL Scan
    Contrôle SSL d’un site SAP S/4HANA conforme aux exigences PCI (Payment Card Industry)

Les options sont nombreuses. Ceci n’est pas une liste exhaustive des possibilités pour sécuriser et fortifier une infrastructure SAP. Createch se tient à votre disposition pour évaluer la sécurité de vos systèmes SAP, proposer et implémenter des axes d’amélioration.

Sources

0 https://www.economist.com/special-report/2002/10/24/the-weakest-link 
1 https://www.infosecurity-magazine.com/news/report-chinese-breach-of-usis/ 
2 https://www.bloomberg.com/news/articles/2015-02-09/altegrity-files-for-bankruptcy-after-losing-vetting-contracts 
3 https://www.washingtonpost.com/news/federal-eye/wp/2015/06/23/usis-cyberattack-may-have-been-more-widespread-than-previously-known/?noredirect=on&utm_term=.d68593a203d9 
4 https://www.reuters.com/article/us-usa-security-contractor-cyberattack/u-s-undercover-investigators-among-those-exposed-in-data-breach-idUSKBN0GM1TZ20140822 
5 https://www.pcworld.com/article/2042433/many-companies-are-negligent-about-sap-security-researchers-say.html 
6 http://thehill.com/policy/cybersecurity/222677-report-chinese-hacked-security-contractor 
7 https://en.wikipedia.org/wiki/United_States_Computer_Emergency_Readiness_Team 
8 https://www.us-cert.gov/ncas/current-activity/2018/07/25/Malicious-Cyber-Activity-Targeting-ERP-Applications 
9 https://www.infosecurity-magazine.com/news/erp-apps-under-attack-warns-uscert/ 
10 https://erpscan.io/wp-content/uploads/publications/Chinese-attack-on-USIS-using-SAP-vulnerability-Detailed-review-and-comments.pdf 
11 https://www.onapsis.com/blog/chinese-most-likely-using-one-top-three-most-common-sap-exploits-identified-onapsis-compromise 
12 https://www.cso.com.au/article/602221/top-5-sap-cybersecurity-incidents/ 

Ces articles pourraient aussi vous intéresser
Author slug - mathias-boret
Author slug - alexandra-guillaux
Author slug - cédric-sauzereau