Si votre organisation utilise SAP, une attention toute particulière devrait être portée à la sécurité des systèmes pour être en conformité avec les exigences de contrôle interne.

Le paysage actuel de la cybermenace l’exige.

SAP est au cœur de l’entreprise et les entreprises les mieux gérées utilisent SAP, ce qui fait de cet ERP l’une des cibles les plus intéressantes pour des organisations malveillantes, munies de technologies avancées.

Quelques risques opérationnels dans SAP

Les mesures de sécurité SAP couvrent l’ensemble des processus opérationnels, des utilisateurs, des rôles, des autorisations, des systèmes, des données et de l’infrastructure sous-jacente. Chacun de ces éléments est une vulnérabilité potentielle, qui, une fois exploité, expose SAP à des risques opérationnels liés à la fraude, aux actes malveillants, mais également aux erreurs humaines.

Tous ces éléments nécessitent donc des stratégies de prévention et de réduction des risques.

Exposition aux risques opérationnels

Qui peut accéder à SAP ? A quelles fonctions chaque utilisateur peut-il accéder ? Il s’agit de questions fondamentales concernant le contrôle des accès dans SAP. Il est essentiel d’obtenir des réponses précises afin de fournir un bon niveau de sécurité dans SAP. La bonne pratique consiste à certifier régulièrement les accès des utilisateurs. Le contrôle interne doit évaluer les règles d’accès basées sur les rôles, sur les transactions et sur les autorisations.

L’accès des utilisateurs est fondamental dans la séparation des tâches (SoD), un contrôle important pour élever son niveau de contrôle interne et se conformer aux récentes réglementations et lois (SAPIN 2, etc.). La séparation des tâches implique la division des accès à privilèges dans SAP, de sorte qu’une même personne ne puisse pas effectuer toutes les étapes d’un schéma de fraude, comme par exemple émettre un chèque pour payer une facture. Si ces tâches ne sont pas séparées, un utilisateur SAP peut commettre une fraude.

Les rôles et les contrôles d’accès affectent les tiers, tels que les fournisseurs, les partenaires commerciaux et les sous-traitants. Permettre à des personnes extérieures à l’entreprise d’utiliser votre système SAP est souvent essentiel pour faire des affaires dans le monde numérique et connecté actuel. Cependant, la pratique s’accompagne des risques de sécurité. Par exemple, il peut être impossible de savoir si des utilisateurs tiers ont l’habitude de partager leurs mots de passe. Il se peut que vous ne sachiez pas si un employé d’un tiers a quitté son entreprise. Il est souhaitable qu’une telle personne n’ait donc pas accès à vos données SAP.

L’identifiant utilisateur temporaire Firefighter est une autre vulnérabilité potentielle à protéger grâce à des stratégies de sécurité SAP efficaces. Il s’agit d’une arme puissante pour une personne malveillante, car elle confère des privilèges d’accès élevés en cas de problème. Une bonne pratique consiste à limiter le nombre d’utilisateurs pouvant bénéficier de Firefighter. Une autre bonne pratique consiste à utiliser Firefighter uniquement pour des besoins urgents avec des comptes Firefighter séparés par métier, voire par processus métier (Comptabilité fournisseurs, données de base fournisseurs, gestion de la relation client, etc.)

Problèmes de sécurité dans SAP

L’application, les données et l’infrastructure SAP exposent l’entreprise aux risques de sécurité, en particulier en termes de disponibilité, d’intégrité et de confidentialité des données. Par exemple, appliquer une période d’ouverture et de fermeture pour l’enregistrement des transactions financières, n’est pas une fin en soi. En cas de modification des processus opérationnels ou des flux de travail, le contrôle peut interférer avec les opérations ou créer des données de mauvaise qualité, comme une transaction survenant au cours de deux périodes comptables distinctes. Il s’agit ici plus d’un problème d’intégrité des données que d’une vulnérabilité à une cyberattaque.

Les contrôles d’application peuvent également créer des entrées en arrière-plan dans SAP, ce qui exposerait le système à des menaces. Les objets personnalisés, comme les formulaires et les interfaces, peuvent créer des portes dérobées pour les personnes malveillantes. Nous vous conseillons d’examiner soigneusement le paramétrage des formulaires et des interfaces pour vérifier si elles permettent à des tiers ou à des utilisateurs non autorisés (y compris des machines) d’accéder aux données et d’invoquer des appels de procédure dans l’environnement SAP.

Le matériel et le réseau de base peuvent aussi affecter la sécurité d’une instance SAP. Ces menaces très avancées et persistantes peuvent avoir un impact considérable sur les entreprises qui utilisent SAP. Les menaces incluent les kits racines, les attaques du système d’exploitation, les attaques basées sur les microprogrammes, les attaques de bases de données, les ransomwares, les logiciels malveillants en réseau, etc. Les connecteurs des différentes parties du système SAP prennent en compte l’exposition aux risques. S’ils ne sont pas bien protégés, ils peuvent être vulnérables à un accès non autorisé qui met en péril les données du système.

Améliorer la sécurité sur les environnements SAP

Affronter les risques de sécurité SAP nécessite un large éventail de mesures. Pour vous aider à faire face et à obtenir la meilleure sécurité possible, nous proposons mis au point trois bonnes pratiques :

  • Identifier les risques de base – Passez en revue vos rôles SAP sensibles et identifiez les rôles les plus vulnérables de votre système. Passez aussi en revue les transactions spécifiques, comme celles qui commencent par Y ou Z. Exécutez également une analyse des risques SoD et vérifier s’il existe des risques critiques non couverts par des contrôles compensatoires.
  • Définir des contrôles – Créez une piste d’audit qui liste toutes les demandes de droits d’accès des utilisateurs, de manière circonstanciée (qui a fait la demande ?, comment ?, à quel moment ?, etc.). Attribuez des contrôles compensatoires validés par le contrôle interne , avec des dates d’expiration, afin que la SoD n’échoue pas en raison des déplacements de personnes dans l’entreprise. Enfin, vérifiez les contrôles, en vous assurant qu’ils sont toujours actifs. Faites-le une ou deux fois par an.
  • Effectuer une évaluation globale des risques IS dans SAP – Recherchez des problèmes simples mais graves, tels que les mots de passe faibles ou les utilisateurs fantômes. Vérifiez que les contrôles IT (paramètres d’instance, propriétés du mandant, …) sont cohérents avec les types de déploiements (cloud ou on-premise) et la nature du système SAP. Par exemple, vérifier que le mandant de production est bien bloqué contre toute modification de paramétrage, afin d’éviter les modifications accidentelles ou non autorisées. Supprimez toutes les clés de développeur sur vos systèmes de production et limitez leur utilisation aux systèmes de développement.

L’externalisation de la gestion de la sécurité, peut-elle être une bonne solution ?

L’externalisation peut constituer une alternative économique à la charge de travail que représente la gestion de la sécurité de chaque composant SAP par vos équipes. Vous pouvez externaliser une partie ou la totalité de vos tâches de gestion et de suivi de la sécurité SAP auprès d’une entreprise comme Harmonie Technologie. Assurez-vous que le prestataire que vous choisissez vous guide à travers les bonnes pratiques décrites ci-dessus.

SÉCURISEZ

VOTRE ENVIRONNEMENT SAP

Participez à notre webinaire gratuit