Systèmes SAP : comment gérer ses vulnérabilités ?

Pour toute entreprise intégrant des environnements critiques comme SAP, la sécurité constitue une préoccupation majeure. Pour répondre efficacement à cet enjeu, oXya et son partenaire Cyberwatch ont codéveloppé une solution permettant d’assurer en continu la sécurité de vos systèmes SAP. Le point sur la gestion des vulnérabilités avec Matthieu Petitprez, Chief Technology Officer chez oXya, et Maxime Alay-Eddine, Directeur Général de Cyberwatch.

Vulnérabilités des systèmes SAP : quels sont les enjeux ?

Les systèmes informatiques sont tous concernés par des vulnérabilités. Ces faiblesses sont susceptibles d’être exploitées par un attaquant dans le but de porter atteinte au fonctionnement de vos systèmes et de nuire à l’intégrité de leurs données. Lorsqu’il s’agit des systèmes critiques comme SAP, ces vulnérabilités font porter un risque considérable aux organisations : en cas de cyberattaque réussie, les conséquences sont dévastatrices.

Une mauvaise gestion des failles de votre système SAP entraîne ainsi un risque accru d’accès et de piratage de vos données SAP, qui peuvent être lues par des tiers à votre insu, mais aussi modifiées, voire supprimées. Les cyberattaques ne visent pas toujours directement vos données SAP, les hackers pouvant préférer cibler l’accès à votre système d’exploitation par le biais du user SAP SIDadm, dans l’objectif d’exécuter des codes malveillants ou de supprimer des données. Pour Matthieu Petitprez, CTO d’oXya, « il faut toujours garder en mémoire le fait qu’au fil des vulnérabilités exploitées, les hackers s’arrogent des droits de plus en plus élevés sur votre système pour venir amplifier l’effet de l’attaque le jour J ». Une raison qui impose de posséder en continu une vue globale des failles de votre système SAP, afin de pouvoir les gérer de manière efficace et pertinente.

Gestion des vulnérabilités SAP : comment s’y prendre ?

« Sécuriser votre système SAP revient à prendre en compte les risques liés à l’environnement composite de l’ERP, composé des différentes couches : infrastructure, système d’exploitation, bases de données, kernel et packages. Ces différentes strates, qui contiennent chacune leur part de logiciel et de code, sont potentiellement sujettes à des failles », avertit Matthieu Petitprez. Afin de sécuriser l’intégralité de votre système SAP, il vous faudra alors vous informer auprès de chaque éditeur de solution embarquée sur chacune de ces différentes strates pour connaître ses vulnérabilités et pouvoir vous en prémunir.

« Une fois ces multiples informations obtenues, il faut encore les contextualiser et les prioriser, ce qui constitue un travail extrêmement chronophage pour les équipes IT », explique Maxime Alay-Eddine, Directeur Général de Cyberwatch. Après avoir été détectées, identifiées et priorisées, ces failles exigent d’être corrigées.

Comment s’informer et quelles actions mener ?

SAP publie en temps réel des notes de sécurité concernant les vulnérabilités critiques. Ces publications ne concernent que les vulnérabilités SAP, et non les failles éventuelles d’autres fournisseurs de l’écosystème. Un récapitulatif incluant à la fois les failles critiques et moins critiques, le SAP Patch Day Blog, est mis à disposition par l’éditeur chaque second mardi du mois. « Attention, en l’absence de normes de description des vulnérabilités, chaque fournisseur de solution est libre de présenter ces informations comme il le souhaite, ce qui complexifie encore davantage le travail des équipes IT en la matière. Les notes de sécurité SAP, par exemple, sont particulièrement détaillées et renvoient à de nombreuses autres notes », relève Matthieu Petitprez.

Une fois ce relevé des CVE (Common Vulnerabilities and Exposures) réalisé, vous devrez procéder à une analyse d’applicabilité et à une analyse d’impact pour, in fine, appliquer la note de sécurité. Attention, les environnements de test, même s’ils ne comportent aucune donnée, peuvent également présenter des failles et donc permettre l’accès à votre OS : à ce titre, vous devez veiller à leur sécurisation !

Un suivi des vulnérabilités SAP complexe

Le suivi des vulnérabilités par le biais du SAP Patch Day Blog, de votre portail me.sap.com ou de Solution Manager peut s’avérer délicat. En effet, ces solutions ne vous offrent pas toujours un filtrage optimal quant aux besoins et à la configuration de votre système, ce qui rend votre suivi d’autant plus complexe.

Une gestion des vulnérabilités simplifiée avec les solutions oXya

La gestion des failles SAP peut être automatisée pour obtenir une sécurisation continue des systèmes en attribuant aux vulnérabilités des scores de gravité (CVSS) et d’exploitabilité, ainsi qu’en vérifiant leur présence dans les catalogues réglementaires.

Une solution intégrée aux services oXya

Grâce à un module SAP codéveloppé avec Cyberwatch, oXya réalise une veille continue sur les nouvelles alertes SAP et automatise le traitement des vulnérabilités en prenant en compte l’environnement particulier de votre entreprise. Cela signifie que le module relève toutes les heures les bulletins publiés par SAP sur me.sap.com et les clarifie en extrayant les informations importantes (CVE concernée, composant impacté, SP de correction).

Dans un deuxième temps, la solution oXya/Cyberwatch fait le lien entre ces informations et vos configurations pour vérifier si les vulnérabilités publiées ont, ou non, un impact sur votre organisation. Après la prise en compte du contexte technique avec notamment le score d’exploitabilité, oXya est également à même, dans le cadre de ses services managés, de prioriser la gestion des vulnérabilités en fonction de votre contexte métier. L’objectif ? Émettre des recommandations adaptées à vos besoins, les correctifs étant déployés par vos soins ou par oXya. Lors de ce processus automatisé mis à disposition de l’ensemble des clients d’oXya, la confidentialité demeure assurée, Cyberwatch n’ayant pas accès à vos données.

Une application créée pour tous les clients SAP

Si votre organisation ne fait pas partie des clients d’oXya, vous pouvez utiliser la solution de gestion des vulnérabilités cocréée par Cyberwatch et oXya dans sa version « application ». « Par l’intermédiaire du SAP store, vous avez accès à l’application « Vulnerability Management by oXya », une solution simple à mettre en œuvre qui vous offre une vue centralisée de vos instances SAP et de leurs vulnérabilités, avec des données mises à jour en continu, ainsi qu’un accès direct aux notes SAP », détaille Matthieu Petitprez. À noter que pour pouvoir utiliser cette application déployée sur BTP, il suffit que votre entreprise soit équipée d’un Cloud Connector.

Au sein de cette application, vos équipes peuvent vérifier à tout moment la couverture des vulnérabilités de votre système à travers plusieurs tableaux de bord montrant le détail des vulnérabilités et des technologies déployées ainsi que leur version (SP) par instance, le détail du patching à mettre en place, et les notes de sécurité à appliquer. Cela vous permet d’avoir accès à l’ensemble des informations de pilotage de votre paysage SAP sur une plateforme unique, faisant enfin de la gestion de vos vulnérabilités SAP, un processus simple, efficace et rapide.

Chez oXya, la sécurité constitue un pilier stratégique de nos activités. Garantir au quotidien la sécurité de nos services et la protection de vos systèmes est au cœur de notre mission. Certifiée ISO 27001, oXya s’engage à assurer l’intégrité, la confidentialité et la disponibilité de vos données en 24/7, tout en garantissant une totale traçabilité de nos opérations sur vos systèmes.

Pour en savoir plus sur la sécurité chez oXya, cliquez ici : Sécurité – oXya