fbpx
skip to Main Content

Sécurité SAPSi vous exécutez SAP dans votre entreprise, une attention accrue portée à la sécurité et la conformité SAP vous sera bien utile. L’environnement actuel de la cybermenace l’exige. SAP est le cœur d’une entreprise. Les entreprises les mieux gérées utilisent SAP, ce qui fait du système ERP l’une des cibles les plus intéressantes pour les personnes malveillantes d’aujourd’hui, munies de technologies de pointe.

Quelques risques classiques en lien avec la sécurité SAP

Les mesures de sécurité SAP couvrent l’ensemble des processus opérationnels, des identités d’utilisateur, des rôles et autorisations, des systèmes, des données et de l’infrastructure sous-jacente. Chacun de ces éléments expose SAP à des menaces. Tous ces éléments nécessitent des stratégies d’atténuation des risques et des contre-mesures.

Exposition aux risques des rôles et du contrôle d’accès

Qui peut accéder à SAP ? Parmi ce qui suit, à quelles fonctions chaque utilisateur peut-il accéder ? Il s’agit des questions fondamentales concernant le contrôle d’accès SAP. Il est essentiel d’obtenir des réponses fermes et précises afin de fournir un bon niveau de sécurité SAP. La bonne pratique consiste à consulter régulièrement les accès des utilisateurs. Les réviseurs doivent évaluer les règles d’accès basées sur les rôles ainsi que les transactions (codes T) et les niveaux d’objet d’autorisation.

L’accès des utilisateurs occupe également une place importante dans la séparation des tâches (SoD), un contrôle important requis pour se conformer à la réglementation Sarbanes-Oxley. La séparation des tâches implique la division des privilèges d’accès et des privilèges du système SAP, de telle sorte qu’une même personne ne puisse pas effectuer toutes les étapes d’une transaction financière, par exemple émettre un chèque pour payer une facture. Si ces tâches ne sont pas séparées, un utilisateur SAP peut commettre une fraude. Bien qu’il ne s’agisse pas fondamentalement d’une exigence de cybersécurité, la SoD dépend des contrôles d’accès, qui sont nécessaires à la sécurité.

Les rôles d’utilisateur et les contrôles d’accès affectent les tiers, tels que les fournisseurs, les partenaires commerciaux et les sous-traitants. Permettre à des personnes extérieures d’interagir ou de s’intégrer à votre système SAP est souvent essentiel pour faire des affaires dans le monde numérique et connecté actuel. Cependant, la pratique s’accompagne de sa part de risques pour la sécurité. Par exemple, il peut être impossible de savoir si des utilisateurs tiers ont l’habitude risquée de partager des mots de passe. Aussi, il se peut que vous ne sachiez pas si un employé d’un tiers a quitté son entreprise. Il est souhaitable qu’une telle personne n’ait pas accès à vos données SAP.

L’identifiant utilisateur temporaire FireFighter est une autre surface d’attaque potentielle à protéger grâce à des stratégies de sécurité SAP efficaces. Il s’agit d’une arme puissante pour une personne malveillante, car il confère des privilèges d’accès élevés en cas de problème. Une bonne pratique consiste à limiter le nombre d’utilisateurs pouvant bénéficier de FireFighter. Sinon, une politique prudente en matière de sécurité serait de répartir l’utilisation de FireFighter par zone. Vous pourriez avoir un identifiant FireFighter pour la base de données, un autre pour l’accès aux applications, etc.

Problèmes généralisés en lien avec la sécurité SAP

L’application, les données et l’infrastructure SAP exposent l’entreprise aux risques de sécurité. Par exemple, vous pouvez appliquer une période d’ouverture ou de fermeture à l’enregistrement d’une transaction financière. Mais, même un contrôle aussi simple s’accompagne de risques. En cas de modification des processus opérationnels ou des flux de travail, le contrôle peut interférer avec les opérations ou créer des données de mauvaise qualité, telles qu’une transaction survenant au cours de deux périodes comptables distinctes. Ce n’est pas un problème de sécurité comme la vulnérabilité à une cyberattaque, mais la sécurité consiste également à garantir des données d’intégrité élevée à l’entreprise. Une erreur des contrôles pourrait nuire à ce pilier d’InfoSec.

Les contrôles d’application peuvent également créer des entrées dans l’arrière-plan de SAP, ce qui exposerait le système à des menaces. Les objets personnalisés, comme les formulaires et les interfaces, peuvent créer des portes dérobées imprévues pour les personnes malveillantes. Nous vous conseillons d’examiner soigneusement les personnalisations proposées pour déterminer si elles permettent à des tiers ou à des utilisateurs non autorisés (y compris des machines) d’accéder aux données et d’invoquer des appels de procédure dans l’environnement SAP.

Le matériel et le réseau de base lui-même peuvent affecter la sécurité d’une instance SAP. C’est là que les menaces très avancées et persistantes peuvent avoir un impact considérable sur les entreprises qui exécutent SAP. Les menaces incluent les kits racines, les attaques du système d’exploitation, les attaques basées sur les microprogrammes, les attaques de bases de données, les ransomwares, les logiciels malveillants en réseau, etc. Les connecteurs des différentes parties du système SAP prennent également en compte l’exposition aux risques. S’ils ne sont pas bien protégés, ils peuvent être vulnérables à un accès non autorisé qui met en péril les données du système.

Parfaire la sécurité dans les environnements SAP

Il y a beaucoup à faire lorsque vous êtes confronté à la sécurité SAP dans sa pleine mesure. Pour vous aider à faire face et à obtenir la meilleure sécurité possible, nous avons mis au point une série en trois étapes de bonnes pratiques :

  • Établir les risques de base – Passez en revue vos rôles sensibles, en comprenant que les rôles les plus puissants de votre système sont les plus vulnérables. Passez en revue les transactions personnalisées, comme celles qui commencent par Y ou Z. Exécutez une analyse des risques SoD, en vérifiant si les parties prenantes ne sont pas alignées en ce qui concerne l’accès requis par des employés spécifiques.
  • Définir des contrôles – Créez une liste d’audit qui couvre les droits d’accès des utilisateurs, à savoir le lieu, le moment et la raison de l’accès. Attribuez des contrôles d’atténuation, y compris des dates d’expiration, afin que la SoD n’échoue pas en raison des déplacements de personnes dans l’entreprise. Vérifiez les contrôles, en vous assurant qu’ils sont toujours actifs. Faites-le une ou deux fois par an.
  • Effectuer une évaluation des risques du système – Recherchez des problèmes simples mais graves, tels que les mots de passe faibles. Vérifiez que les paramètres de profil sont cohérents pour les déploiements dans le cloud et sur site, par exemple sur les systèmes de production Lock, afin d’éviter les modifications accidentelles ou non autorisées. Supprimez toutes les clés de développeur et limitez-les au cours de la phase de développement.

Les services de sécurité SAP gérés sont-ils la bonne option ?

Les services de sécurité gérés (MSS) constituent une alternative à la prise en charge de chaque élément de la sécurité SAP par vous-même. Avec les MSS, vous externalisez une partie ou la totalité de vos besoins en matière de sécurité dans une entreprise comme Symmetry. Assurez-vous que le prestataire que vous choisissez vous guide à travers les bonnes pratiques décrites ci-dessus.

Ben Uher, Client Manager of Security & Controls

Ben Uher manages the SAP Security and Controls Practice at Symmetry where he leads a team of permanent Consultants in delivering SAP Security and GRC offerings to global organizations. His deep knowledge in everything SAP Security and GRC related has come from the opportunity to work with over 150 Organizations running SAP throughout various cycles of their implementations. Variation in industry, sector and size has provided a breadth of opportunity and experience in almost every facet of SAP technology spanning HANA, Fiori, ERP, BW/BI, HCM and SCM amongst others. Most importantly, Ben is driven based on results and continually strives to provide exceptional support for the organizations that rely on him and his team as trusted advisers for SAP Security and GRC support.