Quelle sécurité pour les environnements SAP ?

“D’après IDC, 64% des déploiements ERP ont fait l’objet d’une attaque au cours des 24 derniers mois.”

On compte aujourd’hui des centaines de milliers de mises en œuvre d’ERP à travers le monde, qui prennent en charge les processus métiers les plus critiques des plus grandes organisations. Sans lui, elles ne pourraient ni produire, ni expédier, ni facturer. En cas de corruption ou d’arrêt inopiné, c’est toute l’activité métier qui est paralysée. De part la quantité et la sensibilité des données hébergées au sein de l’ERP, ce système doit être considéré comme faisant partie des plus critiques de l’entreprise.  Or, on constate une hausse constante des attaques sur les ERP. En 2020, IDC estimait déjà que 64% des déploiements ERP avaient fait l’objet d’une attaque au cours des deux dernières années et que, sur la même période, deux entreprises sur trois avaient été touchées. Les évolutions de ces derniers mois nous confirment que la menace est bien réelle, y compris sur les progiciels jugés robustes.

Les trois principales menaces inhérentes aux environnements SAP sont similaires à celles que l’on traite sur les environnements IT . En premier lieu, il y a les vulnérabilités applicatives, c’est-à-dire les failles occasionnées par des défauts de conception, de configuration ou d’intégration avec des outils tiers, une gestion inappropriée des droits des utilisateurs, ou encore un déploiement incomplet des patchs de sécurité. On trouve ensuite les vulnérabilités provenant du code lui-même, en particulier via les développements spécifiques, les transports de données SAP et la gestion des changements. Enfin, la troisième menace est de nature réglementaire car tout événement ou changement de nature à perturber ou modifier le fonctionnement de l’application peut avoir un impact sur le niveau de conformité attendu.

À ces trois enjeux de sécurité propres à l’ERP, il faut bien sûr ajouter les préoccupations usuelles concernant la maîtrise des accès et des droits, la protection des données, la sécurisation de l’environnement d’hébergement (sur site ou dans le cloud), ainsi que la supervision et la détection des incidents. Pour les organisations qui exécutent des applications ERP dans des environnements cloud (IaaS), il est important de rappeler que la protection de la couche d’application ERP relève de l’entière responsabilité de l’entreprise.

Une sécurité qui passe souvent au second plan

Sécuriser les environnements SAP nécessite donc de pouvoir appréhender à la fois les risques qui leur sont spécifiques et ceux qui relèvent du champ usuel de la cybersécurité, tout en prenant en compte les enjeux métiers et le niveau de disponibilité toujours plus élevé. Les ERP sont par nature bien souvent administrés par des équipes dédiées, à dominante métier, qui n’ont pas toujours la culture, les compétences ou les bonnes pratiques liées à  la cybersécurité. Dans le système d’information, SAP donne parfois l’impression d’être un monde à part, avec ses propres règles, ses propres équipes et sa propre organisation, où les enjeux de fonctionnalités, de stabilité et de disponibilité priment sur la sécurité. Le résultat est que 45 % des entreprises n’ont pas de programme de gestion des vulnérabilités de leur implémentation de SAP et 75 % n’ont pas de visibilités sur les incidents de sécurité la concernant. Les enjeux sont donc forts pour faire évoluer le niveau de maturité cybersécurité autour des ERP de façon générale.

Bâtir une politique de sécurité globale

Pour bâtir une politique de sécurité globale, il est indispensable de commencer par un état des lieux. On va examiner la politique et les procédures de sécurité existantes, identifier les vulnérabilités applicatives et de code existantes, recenser les patchs de sécurité manquants, passer en revue la gestion des accès… Cette photographie va notamment permettre d’identifier les risques les plus importants auxquels est exposée l’entreprise afin de déterminer les plans de remédiation associés. L’enjeu est de pouvoir définir les impacts de chacun de ces risques afin d’établir des plans d’actions réalistes et exécutables à court terme.

Mettre en place une gestion des vulnérabilités

Sur la base de ce constat, on pourra, dans un second temps, définir et mettre en place une gestion globale des vulnérabilités de l’environnement SAP permettant d’en garantir la sécurité dans la durée. Cette gestion des vulnérabilités doit s’intégrer dans les activités de cybersécurité existantes afin d’apporter aux équipes une vision d’ensemble. Grâce à une surveillance en continu de l’application, on pourra détecter et analyser ses vulnérabilités potentielles, identifier les risques encourus et prioriser les actions de remédiation. Le déploiement des patchs de sécurité de l’éditeur doit également être intégré dans la démarche globale de patching afin d’assurer un déploiement adapté au niveau d’exposition.

En parallèle, la politique de gestion des accès sera revue de manière à n’accorder à chaque utilisateur que les droits qui lui sont strictement nécessaires, sur la base du principe de moindre privilège. Enfin, les développements spécifiques feront eux aussi l’objet d’un contrôle sécurité accru en intégrant la dimension sécurité nativement dans le cycle de développement ainsi que des scans de code réguliers.

Un outillage spécialisé en complément des mesures existantes

La mise en œuvre d’outils spécifiques doit permettre de compléter les pratiques et programmes de cybersécurité existant dans l’entreprise. SAP propose lui-même un certain nombre d’outils et fonctionnalités (comme SolMan/Focused Run ou SAP Enterprise Threat Detection), tandis qu’un certain nombre d’éditeurs, comme Onapsis, Protect4S ou Security Bridge, développent des solutions spécialisées et certifiées par SAP pour augmenter le niveau de protection. De tels outillage sont indispensables car ils permettre de savoir, par exemple, si l’on est concerné par le contenu d’un bulletin de sécurité émis par SAP et si l’on est en mesure d’appliquer les actions recommandées ou bien encore d’exécuter de l’analyse de vulnérabilité du code ABAP.

Une nécessaire implication des métiers

Au-delà de la mise en place d’un outil, prendre davantage en compte la sécurité constitue un changement important pour tous les acteurs de l’environnement SAP d’un point de vue organisationnel, mais aussi culturel. C’est pourquoi il est important d’associer dès le départ les métiers à cette démarche dont ils doivent devenir partie prenante. Chacun doit prendre conscience qu’aucun logiciel n’est invulnérable, et qu’il faut appliquer les mêmes pratiques et la même hygiène de cybersécurité quelle que soit l’application, sa réputation ou son environnement… et à plus forte raison quand elle est aussi critique que SAP.

A retenir :

• Pour bâtir une politique de sécurité globale de son ERP, il est indispensable de commencer par établir un état des lieux et d’identifier les risques les plus importants auxquels est exposée l’entreprise, ainsi que les actions de remédiation prioritaires.
• Dans un second temps on pourra définir et mettre en place une gestion globale des vulnérabilités de l’environnement SAP et un contrôle accru des développements spécifiques, permettant d’en garantir la sécurité dans la durée.
• Un outillage spécialisé est indispensable, de même que l’implication des métiers qui doivent être partie prenante de la démarche de sécurité dans l’entreprise.