Les clients SAP sont plus attentifs aux menaces internes qu’externes

Les clients SAP sont plus préoccupés par les menaces internes que par les attaques externes, selon un rapport conjoint de Turnkey Consulting et d’Onapsis Research, qui dénoncent cela comme complaisant.

Quelque 40,8 % des plus de 100 clients SAP interrogés récemment, du Royaume-Uni, des États-Unis, d’Europe et d’Asie, pensaient que la fraude interne était la plus grande menace pour leurs domaines d’applications SAP, tandis que seulement 14,3 % pensaient qu’une attaque externe était la plus grande menace.

Turnkey Consulting, spécialisé dans la sécurité et la gouvernance des environnements SAP, et Onapsis, un cabinet de chercheurs en sécurité logicielle d’entreprise qui fournit également une plate-forme et des services de sécurité, ont mené la recherche en mai 2021. Tous les répondants étaient des cadres supérieurs et supérieurs au sein d’une fonction liée à la cybersécurité, avec plus de 15 industries différentes représentées.

Les entreprises Rapport d’enquête de sécurité SAP 2021 a également constaté que 26,5% ont déclaré qu’une perte ou une violation de données était leur plus grande menace, et 12,2% ont opté pour les temps d’arrêt des systèmes.

Tom Venables, directeur de la pratique des applications et de la cybersécurité chez Turnkey Consulting, a déclaré: « Une tendance clé, et un thème continu au fil des ans, est la déconnexion entre les défis largement reconnus de la sécurité SAP et la compréhension et la gestion plus larges des risques informatiques en général, où les outils et les processus ont évolué pour répondre aux menaces croissantes de manière plus complète. Il est essentiel de combler cet écart si les organisations doivent se protéger contre l’exposition croissante aux menaces extérieures.

Le rapport a conclu en déplorant la complaisance qu’il a identifiée parmi les clients SAP. « Des recherches récentes d’Onapsis ont révélé que les acteurs des menaces spécifiques à SAP sont actifs, capables et répandus, et que les vulnérabilités SAP critiques sont militarisées en aussi peu que 72 heures après la publication d’un correctif », a-t-il déclaré. « L’impact de cela s’étend bien au-delà du vol d’informations précieuses ou de la perturbation de l’activité et touche aux implications de conformité telles que le RGPD et le SOX. »

Dans son commentaire à l’intérieur du rapport, Venables a déclaré: « L’attaque externe est une menace importante pour les systèmes SAP – et de plus en plus – mais seul un répondant sur sept estime qu’il s’agit de la plus grande menace pour leurs systèmes. De plus en plus d’acteurs malveillants ont réalisé que SAP contient souvent des données et de la propriété intellectuelle très précieuses – le type d’informations qui, si elles étaient perdues ou inaccessibles, entraîneraient des perturbations commerciales majeures.

La connexion des systèmes SAP à des applications software-as-as-a-service telles que SuccessFactors de SAP et Salesforce est un autre point de vulnérabilité, selon le rapport. Venables a ajouté: « Alors que de plus en plus d’organisations se dirigent vers un avenir axé sur le cloud, il y a eu une forte utilisation de la connectivité entre les systèmes SAP et les applications software-as-a-service. Cependant, il existe des problèmes liés à la responsabilité de la sécurité lorsque cette connexion est établie, de nombreux fournisseurs de cloud affirmant qu’il est de la responsabilité du client de maintenir une posture de sécurité forte lors de l’utilisation de ces applications dans le cloud.

Dans la déclaration accompagnant le rapport, Turnkey et Onapsis ont déclaré que le client SAP moyen aura environ 2 500 vulnérabilités dans son code SAP personnalisé, et pourtant 36.7% des répondants à l’enquête n’ont pas examiné ce code pour les problèmes de sécurité et de qualité.

Près de la moitié des répondants n’appliquent pas les normes de configuration pour la journalisation d’audit et les paramètres de mot de passe, et Venables a fait part de ses préoccupations à ce sujet dans le rapport complet, déclarant: « Comme pour d’autres questions de cette enquête, le temps et les ressources nécessaires pour appliquer ces normes sont considérables: la dérive de configuration doit être vérifiée et des volumes élevés de données de journal doivent être traités. Il s’agit donc d’un domaine où l’automatisation peut aider, ainsi que des outils pour les fonctions d’alerte, de surveillance et de gestion des changements qui peuvent suivre les modifications apportées.

Un nombre similaire de répondants effectuent des examens, mais le font manuellement, une approche lente et sujette aux erreurs, ont déclaré les auteurs du rapport. Quelque 32,7 % n’examinent pas le code élaboré par des tiers avant qu’il ne soit importé dans leur système SAP, tandis que 20,4 % ne sont pas certains de le faire.

Le rapport a également noté que seulement 27% des répondants n’envisageaient pas de passer à S / 4 Hana – le système ERP phare du fournisseur. Cela suggère qu’une grande majorité des répondants à l’enquête démontrent un « manque de prise de conscience inquiétant que les attaques externes sont une source de grave préoccupation », dans le contexte d’un grand changement par rapport à ECC6, ont déclaré les auteurs du rapport.

La recherche a exploré la notion que les systèmes SAP sont protégés parce qu’ils font partie du réseau interne, et comment cette croyance influence les attitudes à l’exteles risques principaux.

Quelque 18,4 % des répondants étaient d’accord avec l’énoncé suivant : « SAP fait partie de notre réseau et est donc sécurisé contre les cybermenaces. »

Venables a ajouté: « La perception souvent erronée selon laquelle SAP est sécurisé contre les cyberattaques parce qu’il se trouve au sein du réseau interne d’une organisation est progressivement brisée. Une légère majorité des répondants n’étaient pas d’accord avec ce point de vue, et moins d’un répondant sur cinq estimait toujours qu’il était entièrement sécurisé en étant à l’intérieur du réseau. Il se peut toutefois que ceux qui estiment qu’il est entièrement sécurisé dans cette situation disposent des bons outils et d’une bonne surveillance pour couvrir SAP, ou que le niveau de leur activité sur Internet soit relativement limité.

Seulement 28,6 % ont confirmé qu’ils avaient mis en place un programme de gestion des vulnérabilités sap. Le même nombre était sûr que leurs centres d’opérations de sécurité (SOC) avaient une visibilité sur les événements de sécurité SAP, mais 36,7% ont admis qu’ils n’étaient pas toujours à jour et mis à jour avec les derniers correctifs.

Les auteurs du rapport ont déclaré que tout cela montre une déconnexion entre la sécurité SAP et les environnements de sécurité informatique plus larges.

André Ros, directeur des alliances et des canaux EMEA chez Onapsis, a ajouté : « Les organisations progressent dans la façon dont elles protègent leurs systèmes SAP, mais comme le montrent les récents événements dans l’actualité, ce n’est toujours pas suffisant. Les stratégies traditionnelles de défense en profondeur ne parviennent souvent pas à protéger la couche applicative SAP critique pour l’entreprise.

« Onapsis Research a démontré que les acteurs de la menace peuvent exploiter des systèmes critiques non protégés et non corrigés en moins de 72 heures après la publication d’une note de sécurité SAP. Une meilleure protection de cette couche applicative SAP contre les vulnérabilités grâce à la bonne technologie, à des informations opportunes sur les menaces, à des services percutants et à des processus internes améliorés s’avérera primordiale pour le succès.