Les problèmes de sécurité SAP ne sont pas uniquement liés à l’absence de systèmes de protection, qui peuvent d’ailleurs être installés rapidement. Dans les échanges avec nos clients, nous constatons régulièrement que les principales causes des problèmes de sécurité rencontrés par un grand nombre d’infrastructures SAP sont un manque de transparence et de communication ainsi qu’une mauvaise définition des processus et des responsabilités.

D’après le sondage réalisé en février 2016 dans plusieurs pays par l’Institut Ponemon auprès d’employés de grandes entreprises dans différents secteurs d’activité, 21 % seulement des 607 personnes interrogées estiment que les dirigeants de leur entreprise sont conscients des risques informatiques auxquels sont exposées leurs applications SAP. 25 % indiquent qu’en cas de suspicion de problème, personne n’est responsable de la sécurité des systèmes SAP. Un quart des personnes interrogées font confiance à leur entreprise pour détecter immédiatement les attaques et seulement la moitié (53 %) la juge capable de les détecter en moins d’un an.

Garantir la sécurité des systèmes SAP nécessite une transparence totale quant aux failles de sécurité, une bonne communication et la mise en place d’une politique de sécurité globale. C’est pourquoi les processus de sécurité SAP doivent faire partie intégrante de la politique de sécurité générale de l’entreprise. Les dix questions suivantes peuvent servir de liste de contrôle aux gestionnaires d’infrastructure pour vérifier comment est organisée la sécurité des systèmes SAP :

  1. Les responsables disposent-ils d’une vue d’ensemble des applications critiques pour l’entreprise, de l’infrastructure SAP ainsi que de l’importance respective de chaque application pour l’entreprise (sont-ils par exemple au courant des données sensibles qui y sont stockées, des processus clés en cours et du nombre d’utilisateurs des services) ?
  2. L’entreprise utilise-t-elle des applications SAP critiques accessibles via Internet ou ouvertes à ses partenaires commerciaux ou à ses sous-traitants à l’étranger ?
  3. À quelle fréquence sont organisées des réunions avec l’équipe de sécurité de l’ERP et à qui cette équipe rend-elle des comptes ?
  4. L’équipe de sécurité de l’ERP a-t-elle connaissance des failles de sécurité, des malwares et des techniques de piratage actuelles utilisés spécifiquement contre les systèmes SAP ? Comment les documente-t-elle ? Quelle est la procédure suivie lorsqu’un hacker réussit à utiliser un exploit connu publiquement depuis plusieurs années ?
  5. Au sein de l’entreprise, qui est responsable en cas de cyberattaque visant la plate-forme ERP ?
  6. L’entreprise a-t-elle mis en place un audit sécurité et conformité et un programme d’évaluation de ses applications SAP ? Quels techniques ou services utilise-t-elle pour cet audit et cette évaluation ?
  7. Dans quels délais sont appliqués les patches de sécurité SAP ? Qui détermine les patches qui doivent être installés et utilisés en premier ? Les processus d’application des patches sont-ils documentés ?
  8. Les responsables savent-ils si leurs systèmes SAP ont été attaqués par le passé ? Si oui, quelles données de journalisation et quelles technologies utilisent-ils pour détecter les activités malveillantes ?
  9. Les systèmes SAP font-ils actuellement l’objet d’une surveillance axée sur les attaques ciblant les applications ou sur les comportements suspects des utilisateurs ? Comment se fait cette surveillance ?
  10. L’entreprise dispose-t-elle d’un plan détaillé pour gérer le risque accru d’une attaque contre les applications stratégiques ?

Bien entendu ces questions peuvent aussi aider les gestionnaires d’ERP autres que SAP. D’après notre expérience, quasiment aucune des installations SAP de nos clients n’est sécurisée. L’augmentation du nombre de failles de sécurité concerne aussi les systèmes Oracle. Les entreprises doivent d’ailleurs penser à définir les responsabilités et à documenter le déroulement des processus de sécurité avec leur fournisseur de services cloud. Ces questions reflètent les défaillances que nous rencontrons souvent chez nos clients, qui ont pourtant toutes les compétences techniques requises pour garantir la sécurité de leur installation SAP. L’infrastructure complexe des ERP et le manque de moyens et de technologies peuvent poser de sérieux problèmes aux dirigeants, aux directeurs de la sécurité IT, aux DSI et aux autres départements de l’entreprise.

____________
Mariano Nunez est cofondateur et CEO d’Onapsis