Avant Propos

Lors des cyberattaques, les acteurs malveillants contournent plusieurs dispositifs de sécurité informatique pour atteindre leur objectif final : la couche applicative.. Ainsi, les données critiques pour les activités quotidiennes des entreprises sont souvent atteintes par le biais d’applications et de logiciels professionnels comme les ERP

Les technologies variées utilisées dans les environnements ERP génèrent une complexité croissante quant à la gestion des correctifs et des vulnérabilités, ce qui rend la protection des données de plus en plus laborieuse. Cette situation a pour conséquence de dégrader le ratio coûts/bénéfices. En effet, les entreprises doivent couvrir une grande surface d’attaque (car beaucoup de technologies différentes sont mises en œuvre dans leur ERP) afin de contrer un attaquant qui peut se concentrer sur un seul vecteur précis pour pénétrer leurs systèmes.

Pour minimiser cette surface d’attaque, la sécurité des paysages systèmes & applicatifs doit respecter des bonnes pratiques essentielles :

  • Avoir une approche stratégique concernant les déploiements des correctifs et des mises à jour.

  • Centraliser le traitement des données d’identité provenant de plusieurs sources.

  • Protéger et sécuriser l’accès aux données et la communication entre les différentes applications du SI.

  • Mettre en place un système centralisé de supervision et de journalisation des données télémétriques.

« By 2020, 100% of large enterprises will be asked to report to their board of directors on cybersecurity and technology risk at least annually, up from 40% today »

Gartner 2018

Fort d’une bonne connaissance des systèmes SAP, ArtimIS peut vous accompagner sur la gestion de ces sujets, notamment par l’application de bonnes pratiques adaptées à votre contexte. Notre offre liée à la cybersécurité SAP traite donc de ces quatre sujets majeurs.

Patch Management

Au sein de l’environnement informatique d’une entreprise, aucune application n’est à l’abri des risques posés par une mauvaise gestion des correctifs logiciels. Les éditeurs (Microsoft, SAP…) fournissent des mises à jour de sécurité car de nouvelles vulnérabilités sont régulièrement découvertes. Une fois les correctifs publiés par les éditeurs, ces failles deviennent publiques et leur utilisation par des acteurs malintentionnés est possible sur les systèmes non corrigés.

Plusieurs études menées ces trois derrières années ont révélé qu’il y a une forte tendance à l’utilisation malintentionnée de vulnérabilités publiques concernant les applications ERP (entre autre sur SAP). Ce sujet sensible est structurant pour la cybersécurité de l’entreprise car il touche directement les données sensibles et que les activités opérationnelles peuvent être fortement impactées.

«  Eighty-nine percent of IT security professionals expect the number of cyberattacks against ERP systems to increase – 30% of them expect a significant increase»

Cybersecurity Trends 2017 Spotlight Report, Crowd Research Partners

La complexité croissante des applications et l’évolution constante des ERP, génèrent plusieurs problématiques auxquelles les entreprises doivent répondre :

  • La variété des technologies utilisées dans les ERP rend la gestion des mises à jour complexe.

  • Le volume des correctifs à déployer est conséquent et les activités de déploiements et de tests chronophages.

  • Les problèmes potentiels de performances et les risques d’indisponibilité liés à un mauvais déploiement rendent leur gestion délicate.

Face aux problématiques évoquées ci-dessus, beaucoup d’entreprises ignorent les correctifs dans l’objectif de maintenir une haute disponibilité opérationnelle : ce choix peut avoir avoir de lourdes conséquences comme plusieurs cas récents ont pu le démontrer.

Pour atténuer les risques de cyberattaques, chaque organisation a besoin d’un processus de gestion des correctifs complet, fiable et rentable pour garantir la stabilité et la sécurité de l’environnement ERP. SAP ou d’autres éditeurs proposent des solutions logicielles pour simplifier cette gestion. Fort d’une bonne connaissance des systèmes SAP, ArtimIS peut vous accompagner sur la gestion des patchs, notamment par l’application d’une stratégie de gestion de correctifs intégrant les étapes suivantes :

  • Planifier le temps de déroulement pour le processus

  • Dresser un inventaire à jour de tous les systèmes de production

  • Normaliser les systèmes pour accélérer les process de remédiation

  • Lister et étudier les contrôles de sécurité présents au sein de l’environnement

  • Scanner les vulnérabilités et classifier les risques avec des outils de gestion de vulnérabilité

  • Tester & Déployer

Fédération des Identités

L’évolution de l’entreprise et de son paysage applicatif génère une multiplication des comptes utilisateurs. Ces données sont par conséquent traitées, stockées et maintenues dans différentes solutions, ce qui a pour conséquence de multiplier les points d’entrée pour un même individu. Afin de sécuriser l’accès à ces différents éléments il est important de fédérer ce système d’identités.

Une telle multiplication des comptes engendre des risques tels que :

  • Des mises à jour de données utilisateurs incomplètes et incohérentes, ce qui complexifie les workflows et augmente les erreurs

  • La multiplication des droits et des identifiants à gérer, ce qui se traduit par des accès non-autorisés à des applications

  • Des traitements à mener manuellement, ce qui augmente les risques d’erreurs et rend les taches chronophage

  • Des pistes d’audit incomplètes, ce qui rend la gestion de la conformité plus difficile

Il est essentiel de suivre le cycle de vie d’un utilisateur de manière centralisée, de son provisionnement jusqu’à son désengagement. Cela étant, il pourra accéder à plusieurs applications avec une authentification unique (appelée Single Sign-On) tout en assurant son identité et sa légitimité. Les solutions techniques de fédération des identités fournissent des rapports centralisés uniformes sur l’ensemble des comptes utilisateurs.

ArtimIS vous propose son accompagnement dans la fédération de vos identités et dans les différentes étapes de leur cycle de vie en implémentant les solutions adéquates. Les bénéfices de cette démarche sont les suivants :

  • Synchroniser les annuaires des différentes applications

  • Configurer le provisioning automatique

  • Implémenter une solution d’authentification unique

  • Lien vers SAP IdM

Une bonne fédération des identités est nécessaire pour la gestion des accès en termes de GRC.
N’hésitez pas à allez voir notre offre sur ce sujet.

Protéger les accès aux données

Aujourd’hui, la sécurité dans les environnements SAP n’est plus cantonnée uniquement à la notion de SoD et à la gouvernance des accès. L’accès aux données est un sujet majeur de la sécurité des systèmes d’information. Des règles indispensables à leur protection doivent être respectées :

  • Les données SAP sont souvent manipulées par le biais d’applications tierces, qui y accèdent via divers protocoles de communications (Secure Network Communication, Access Control List…). Une bonne gestion de ces connexions est nécessaire.

  • De la même manière, les solutions techniques utilisées pour faire dialoguer des plateformes SAP entre elles (notamment les WebApp ou les connexions Remote Function Call…) peuvent être exploitées à des fins malintentionnées pour accéder aux données stockées par SAP.

  • Par ailleurs, SAP S/4HANA apportent d’excellents gains de performances, mais la gestion des accès aux bases de données a été complètement refondue. Il est fondamental de ne pas limiter la gestion des autorisations aux accès métiers gérés via les objets d’autorisations du code ABAP, mais d’intégrer à cette problématique les accès à la base de données HANA.

  • Enfin, la confidentialité des données sensibles peut aussi être améliorée par des solutions SAP dédiées, telles que UI Masking & UI Logging, qui masquent les valeurs sensibles à l’ensemble des utilisateurs. Avec différentes méthodes d’implémentation possibles, ces solutions peuvent être intégrées au système de supervision et monitoring SAP ETD.

ArtmIS propose ses services d’accompagnement et d’implémentation de ces mécanismes de sécurité pour garantir une meilleure protection de vos données.

Supervision & Monitoring

Une étude menée par IBM en 2019 révèle qu’un hacker qui réussi à pénétrer le SI d’une entreprise peut y rester en moyenne 206 jours sans se faire détecter. L’attaquant aura ainsi le temps d’atteindre n’importe quel objectif souhaité, que ce soit voler, modifier les données ou encore les rendre inaccessibles ou inutilisables.

La détection des intrusions est complexe, particulièrement dans les environnements ERP comme SAP pour les raisons suivantes :

  • Les nombreuses applications utilisées dans les ERP font qu’une grande variété de technologies est utilisée, étendant ainsi la surface d’attaque.

  • Chaque type d’application génère un type de log différent qui sera enregistré dans une base de données dédiée.

  • Les sources des menace sont diverses, il est difficile de savoir si une transaction doit être classée comme suspecte ; de savoir quel événement doit générer une alerte de sécurité et de savoir si la transaction a été faite par un utilisateur légitime ou non.

  • Les systèmes de monitoring classiques (les SIEMs – Security Information and Event Management) ne sont généralement pas capables d’analyser nativement les logs détaillés générés par les applications ERP.

Les études montrent que plus une entreprise détecte tôt une intrusion dans ses systèmes, moins les pertes financières sont importantes. L’intérêt d’une détection d’intrusion rapide dans un ERP est donc indéniable.

ArtimIS peut vous accompagner dans l’implémentation de la solution SAP Enterprise Threat Detection, afin de protéger vos données :

Pourquoi ArtimIS?

Expertise GRC

  • Séniorité des Consultants & Certifications à la clés,
  • 15 ans d’expérience en GRC et sur différents environnements applicatifs : SAP, Oracle & Workday
  • Forte proximité et bonne compréhension des enjeux des différents membres exécutifs (Finance, Audit Interne, Contrôle Interne, Compliance & DSI)

Pragmatisme

  • Approche pragmatique, agile et alignée à la stratégie d’implémentation des référentiels du marché (COSO 2  & ISO 31000/2009 RM)
  • Expérience éprouvée en Gestion des programmes GRC et en conduite du changement (Communication, video, game challenge, training, …),

Complémentarité

  • Proposition d’une équipe complète alliant l’expertise Métier (Contrôle Interne & SOx) et Technique sur les ERPs : SAP (ECC / S/4HANA / Ariba / Fiori) et Oracle (eOBS/Fusion/JDE/NetSuite/PeopleSoft)
  • Proposition d’experts Technique GRC sur SAP GRC (Access Control, Process Control, Risk Management), Oracle RMC  (with Selected Partner for GRC Go To Market strategy), Galvanize (ControlBond, AuditBond, ComplianceBond, RiskBond, …)

Pérennité

  • Coûts de prestations compétitifs par rapport à des grands cabinets d’Audit et de Conseil,
  • Coûts de prestations de mise en œuvre technique d’application GRC et de support fortement avantageux grâce à notre approche de nearshoring/offshoring.
  • 60 % de notre revenue provient de nos clients fidèles et 40 % sur les nouveaux clients qui nous font confiance et que nous fidéliserons.

La séniorité de nos consultants et notre expérience éprouvée sur le marché nous permet de vous apporter pragmatisme et agilité dans vos projets de mise en conformité.

Benoit Pachot, Associé chez ArtimIS