Académique Documents
Professionnel Documents
Culture Documents
La sécurité SAP est un moyen de protéger les données et les systèmes de l’entreprise en
surveillant et en contrôlant les accès à la fois en interne et en externe. Les systèmes SAP sont
des logiciels ERP largement utilisés par toutes sortes d’entreprises et dans divers secteurs.
La sécurité SAP comporte divers aspects, tels que la sécurité de l’infrastructure, du réseau, du
système d’exploitation et de la base de données. Le niveau suivant est le code sécurisé, qui
concerne le maintien du code SAP et de la sécurité par le biais d’un code personnalisé.
Une configuration sécurisée des serveurs SAP est essentielle pour protéger les données
privées de l’entreprise et les maintenir hors de portée des cybercriminels. Elle concerne la
configuration sécurisée d’un serveur, l’activation de la journalisation de la sécurité, la sécurité
en termes de communication système ainsi que la sécurité des données. Les utilisateurs et les
autorisations sont également surveillés et suivis de manière critique.
Lorsque ces éléments sont correctement déployés, il est facile de maintenir la conformité du
système à l’aide d’une surveillance continue, d’audits et de la mise en place de stratégies
d’urgence.
3. Comment fonctionne la sécurité SAP ?
Etant donné que les systèmes SAP connectent différents départements et programmes pour
gérer l’entreprise de manière fluide, ils sont incroyablement compliqués. Ainsi, comme ils
sont complexes et uniques par nature, il est donc plus difficile de développer des mesures de
cybersécurité appropriées.
Au sein de la sécurité SAP, plusieurs mesures peuvent être prise pour empêcher les attaques :
Ces contrôles utilisent un catalogue de tests. Créer ce dernier de zéro demande beaucoup
d’efforts et est utile non seulement pour les autorisations au niveau de SAP Basis, mais
également pour les processus métier. Par exemple, si le principe des 4-6 yeux est entravé par
l’attribution des autorisations et des combinaisons d’autorisations nécessaires, alors dans ce
cas précis, il existe un réel risque d’exploitation ou de fraude.
Les contrôles SOD sont idéalement effectués non seulement en fonction des rôles SAP, mais
également en fonction des utilisateurs qui pourraient violer un soi-disant conflit SOD en
attribuant plusieurs rôles. En plus de l’évaluation des utilisateurs, il est essentiel de savoir au
final quels sont les rôles à l’origine de ce conflit de combinaisons. La transaction SAP SUIM
et son API permettent de contrôler des combinaisons d’autorisations critiques.
3.2. Gestion des correctifs
SAP est de plus en plus concerné par des failles de sécurité. Les menaces qui sont
actuellement traitées au niveau de la cybersécurité traditionnelle existent également au niveau
des systèmes SAP. Des publications régulières sont faites sous le nom de SAP Security Notes,
cependant, le défi pour les entreprises est de maintenir les systèmes SAP à jour et d’installer
les correctifs de manière systématique.
Par conséquent, de nombreux systèmes SAP peuvent ne pas être corrigés pendant une période
assez longue et présentent donc de graves failles de sécurité. Pour aggraver la situation, avec
la sortie des nouveaux correctifs, des informations sont publiées sur la localisation des
vulnérabilités et la manière avec laquelle elles peuvent être exploitées. Ainsi, non seulement
les correctifs sont essentiels, mais la détection des vulnérabilités exploitées, aussi appelées
exploits zero-day, l’est également.
SAP propose un grand nombre de transactions critiques et de modules fonctionnels qui sont
même disponibles à distance. Il est possible de créer des comptes via l’API du système SAP,
de les doter d’autorisations, puis de les utiliser à distance. D’autres blocs de construction et
modules fonctionnels peuvent ensuite charger ou modifier des données à partir du système
SAP.
Là encore, l’attribution des autorisations joue un rôle, car elle restreint l’utilisation des
transactions. Il est également crucial de surveiller en continu, et quasiment en temps réel,
l’exécution des transactions, les modules RFC ou les rapports SAP. L’accès aux systèmes
SAP depuis l’extérieur, via les interfaces d’un système SAP, par exemple via l’interface RFC,
doit également être surveillé.
La sécurité du code est également un élément essentiel de la sécurité SAP. Dans les systèmes
SAP, il revient souvent aux développeurs d’assurer la sécurité du code ABAP. Le codage est
assemblé dans les transports et est transféré depuis les systèmes de développement vers ceux
de production, souvent sans un examen suffisant du codage.
De plus, SAP offre aux attaquants des options intéressantes pour l’injection de code, car le
codage peut même être généré et exécuté au moment de l’exécution (runtime). La
manipulation de transports importants et urgents n’est qu’un moyen d’acheminer dans un
système SAP des programmes malveillants non détectés au préalable. SAP fournit un
inspecteur de code, avec des modules tels que le Code Vulnerability Analyzer (l’analyseur de
vulnérabilité de code), pour vérifier ce dernier.
La sécurité SAP couvre également un ensemble de logs de sécurité. Ces derniers doivent être
activés et contrôlés en parallèle.
Les logs les plus critiques sont les logs d’audit de la sécurité SAP (SAP Security Audit Log –
SM20), qui contiennent un ensemble d’événements pertinents pour la sécurité et l’audit. Les
logs de modification (Change Logs – SCU3) des tables de base de données sont disponibles,
ainsi que les documents dits de modification (Change Documents) des utilisateurs et des
objets métier (SCDO). Le log de la passerelle SAP RFC SMGW transporte les logs de la
passerelle RFC, ceux de SAP Internet Communication Manager ainsi que le répartiteur Web.
Le log d’accès en lecture SAP (SAP Read Access Log) stocke l’accès en lecture et en écriture
à des champs de transactions spécifiques, à des rapports ou programmes. Cette option permet
de fournir un élément essentiel pour répondre aux exigences du règlement de l’UE sur la
protection des données (RGPD ou DS-GVO), à savoir la journalisation de l’accès aux
données personnelles
Le log d’accès en lecture SAP (SAP Read Access Log) stocke l’accès en lecture et en écriture
à des champs de transactions spécifiques, à des rapports ou programmes. Cette option permet
de fournir un élément essentiel pour répondre aux exigences du règlement de l’UE sur la
protection des données (RGPD ou DS-GVO), à savoir la journalisation de l’accès aux
données personnelles
Avec tant de risques et tant d’éléments à organiser, il peut être difficile de mettre en œuvre un
plan. Voici donc une checklist rapide et simple pour vous aider à vous lancer si vous cherchez
à améliorer votre sécurité SAP.
Pour assurer la sécurité de vos données, vous devez effectuer un certain nombre d’évaluations
différentes :
Après avoir effectué ces évaluations, vous devrez encore franchir d’autres étapes. Avec un
plan en place, vous serez sans aucun doute en avance sur la plupart des entreprises et des
cybercriminels. Voici un processus simple en 4 étapes pour vous aider à démarrer et à
surveiller votre sécurité SAP :
1. Ayez des paramètres cohérents : assurez-vous que vos paramètres soient tous
configurés pour être en phase avec votre structure organisationnelle. Vous devez
également former vos équipes et vérifier que toutes les mesures de sécurité en place
soient respectées.
2. Créez des procédures d’urgence : En cas d’urgence, vous devez avoir un plan en
place pour y faire face rapidement et efficacement. Vous devez notamment être sûr
que vos administrateurs réseau puissent facilement révoquer l’accès et les privilèges
selon les besoins.
3. Nettoyez et vérifiez : Ensuite, vous devez toujours surveiller vos systèmes SAP.
Assurez-vous également que la liste des autorisations soit mise à jour régulièrement,
en particulier lorsque vous avez de nouvelles recrues ou que des employés changent de
rôle.
4. Utilisez des outils de sécurité : Enfin, il est crucial d’avoir les bons outils de sécurité
en place pour pouvoir observer ce qui se passe et détecter toute activité suspecte. De
cette façon, vous pourrez plus facilement empêcher qu’une cyberattaque ou qu’une
violation de données n’ait lieu.
ABAP est un langage de programmation qui s'exécute dans l'environnement d'exécution SAP
ABAP, créé et utilisé par SAP pour le développement de programmes d'application,
notamment :
Rapports
Programmation de pool de modules
Interfaces
Formulaires
Conversions de données
Exits utilisateur
Toutes les applications de R/3 et même certaines parties de son système de base ont été
développées en ABAP.
ABAP est un langage de programmation piloté par les événements. Les actions de l'utilisateur
et les événements du système contrôlent l'exécution d'une application.
ABAP est également appelé ABAP/4. Le "4" dans ABAP/4 signifie "langage de quatrième
génération" ou 4G.
2. ABAP Workbench
L'ABAP Workbench est utilisé par SAP pour le développement de logiciels d'application
standard et personnalisés. L'ABAP Workbench est également utilisé pour créer des objets de
dictionnaire. Il se compose des éléments suivants :
Les programmes de rapports produisent des listes et peuvent être divisés en rapports
classiques et rapports interactifs.
Le code de transaction utilisé pour accéder aux requêtes ad hoc est le suivant :
La base de données SAP doit être remplie avant que les utilisateurs finaux puissent
commencer à travailler sur le processus de gestion à des fins d'analyse et de reporting.
Différentes méthodes sont utilisées pour transférer les données dans le système à différentes
étapes, en fonction de la complexité et du volume de données à transférer.
Les données peuvent être transférées de SAP à SAP ou de SAP à des systèmes non-SAP
(système hérité). Les données peuvent également être transférées par le biais de saisies
manuelles. Les outils utilisés pour le transfert de données sont les suivants :
SAP génère une grande variété de documents tels que des commandes d'achat, des
commandes de vente, des factures, des bulletins de paie, etc. Vous pouvez imprimer ces
documents à tout moment. L'illustration suivante montre comment le processus d'impression
fonctionne dans un système SAP.
L'impression locale
L'impression à distance (réseau)
Impression frontale (SAP GUI pour Windows)
Impression frontale (SAP GUI pour HTML)
Un
e
fois que l'utilisateur a déclenché le processus d'impression, les demandes d'impression sont
envoyées au serveur spool, qui contient les processus de dialogue et de travail spool
nécessaires au traitement.
6. Programmation générale
Les programmes peuvent être écrits de manière interactive en utilisant les capacités du
système R/3. Les programmes peuvent être exécutés à la fois en ligne et en arrière-plan. Les
travaux en arrière-plan peuvent également être planifiés pour être exécutés à des intervalles
spécifiques.
Module pool programming (ou programmation en ligne) implique la création d'un
pool de modules (une collection de modules ABAP) et d'un ou plusieurs écrans. Les
modules sont appelés par le processeur d'écran pendant l'exécution du programme.
Le traitement par lot est utilisé pour assurer le transfert sécurisé des données dans le
système SAP. Ce processus est un transfert de données automatique et protégé vers le
système SAP qui utilise les transactions SAP pour valider les données à mesure
qu'elles alimentent la base de données SAP.
ABAP contient des instructions conformes aux normes CPI-C (Common Program
Interface - Communications). Elles sont utilisées pour la programmation de
programmes de communication.
ABAP peut lire et écrire des ensembles de données séquentielles.