Les systèmes SAP constituent l'épine dorsale de nombreuses organisations, y compris dans le secteur public. Ils gèrent les flux financiers, contrôlent les processus d'approvisionnement et garantissent le bon déroulement des opérations. Pourtant, des études révèlent qu'environ 4 % des employés pourraient agir contre les intérêts de leur propre organisation, ce qui fait des systèmes SAP non seulement une cible pour les attaques externes, mais aussi une cible vulnérable aux menaces internes. Cela souligne la nécessité de surveiller à la fois les accès externes non autorisés et les activités internes suspectes.
Le défi à relever : de nombreuses entreprises et agences gouvernementales ont déjà mis en place des solutions de sécurité étendues, mais SAP reste souvent un point aveugle. C'est là qu'intervient notre travail. L'objectif était de fournir à nos clients une visibilité totale sur la sécurité de leurs systèmes SAP. Nous y sommes parvenus grâce à notre solution complète SAP Security Monitoring & Threat Detection - non pas en tant que concept théorique, mais en tant que solution pratique et réalisable grâce à notre expertise et à l'utilisation de SAP Addon certifié et de Microsoft Sentinel en tant que SIEM.
Pourquoi la surveillance de la sécurité SAP est plus importante que jamais
Nous observons que de nombreux clients SAP ont déjà mis en place diverses solutions de sécurité, mais qu'il subsiste une lacune importante en ce qui concerne SAP. Très peu d'organisations surveillent la couche d'application SAP pour détecter les événements critiques, même si presque tout le monde s'accorde à dire que SAP est une application critique pour l'entreprise.
Pourquoi ? Pendant longtemps, l'intégration de SAP dans un SIEM était techniquement complexe. La maturité des solutions était insuffisante, il n'y avait pas de pression réglementaire et les RSSI hésitaient à imposer des exigences de sécurité aux équipes SAP. Cependant, nous constatons aujourd'hui une nette évolution : de plus en plus d'organisations se demandent comment intégrer SAP dans leur SIEM, en apportant de la visibilité là où il y avait auparavant de l'obscurité et en s'assurant que SAP n'est plus un point aveugle dans leur centre d'opérations de sécurité (SOC).
La voie vers une surveillance sécurisée de SAP
L'Administration Fédérale Suisse exploite un paysage SAP complexe, essentiel pour de nombreux processus critiques. Le programme SUPERB, basé sur SAP S/4HANA, joue un rôle central dans la normalisation et l'optimisation des processus administratifs au sein du gouvernement Suisse. Ces systèmes gèrent la comptabilité financière, les ressources humaines et les processus d'approvisionnement - toute défaillance ou compromission aurait de graves conséquences.
Du concept à la réalité
Notre première étape a consisté à intégrer les journaux SAP dans Microsoft Sentinel. Il ne s'agissait pas seulement de collecter des données, mais aussi de les interpréter correctement.
Quels types d'événements indiquent des menaces potentielles ?
- S'agit-il d'une escalade des privilèges, lorsqu'un utilisateur obtient soudainement un accès étendu ?
- Des systèmes mal configurés qui ouvrent des vecteurs d'attaque ?
- Ou un nouveau comportement inhabituel de l'utilisateur qui suggère une compromission potentielle.
En collaboration avec les experts en sécurité informatique de l'administration fédérale, nous avons mis en place un ensemble de règles pour identifier les activités suspectes. En utilisant Kusto Query Language (KQL), nous avons pu rechercher spécifiquement des modèles indiquant un accès non autorisé ou des activités suspectes.
Nous avons réalisé cette mission en utilisant notre connecteur SAP-to-Sentinel, certifié par SAP. Afin d'assurer une intégration fluide des journaux SAP dans Microsoft Sentinel, nous avons adopté une approche structurée. Plutôt qu'un déploiement abrupt, nous avons orchestré la connexion en cinq vagues, chacune composée de cinq sprints, garantissant ainsi une transition progressive et sans heurts. Chaque sprint a introduit environ 20 nouvelles règles de détection, ce qui nous a permis de surveiller systématiquement les menaces potentielles telles que les escalades de privilèges, les systèmes mal configurés et les comportements inhabituels des utilisateurs qui pourraient indiquer une compromission de la sécurité. En collaboration avec les experts en sécurité informatique de l'administration fédérale, nous avons mis en place un ensemble de règles pour identifier les activités suspectes. En utilisant Kusto Query Language (KQL), nous avons pu rechercher spécifiquement des modèles indiquant un accès non autorisé ou des activités suspectes.
Une fois l'intégration des données réussie, l'étape cruciale suivante était l'automatisation. Grâce à Microsoft Sentinel, nous avons été en mesure de créer des playbooks qui ont automatiquement déclenché des alertes et même initié les premières mesures de réponse lorsque des anomalies ont été détectées. Une connexion inattendue de l'administrateur au milieu de la nuit ? Un ticket est automatiquement envoyé à l'équipe de réponse aux incidents. Plusieurs tentatives de connexion échouées à partir d'une adresse IP inconnue ? Le compte concerné est immédiatement verrouillé.
Nous avons également mis l'accent sur la surveillance non seulement du serveur d'application SAP S/4HANA, mais aussi de la base de données HANA. Cela a permis de garantir la protection à la fois de la couche applicative et du stockage de données sous-jacent - un avantage crucial par rapport aux solutions traditionnelles.
La surveillance de la sécurité SAP à la pointe de la technologie
Les résultats parlent d'eux-mêmes : les systèmes SAP sont désormais surveillés comme toutes les autres applications critiques de l'entreprise. Ce qui a longtemps été considéré comme un angle mort dans le centre d'opérations de sécurité (SOC) est désormais totalement intégré. En se connectant à Microsoft Sentinel, la sécurité de SAP peut enfin être contrôlée avec les mêmes outils et méthodes modernes que ceux déjà utilisés dans d'autres domaines.
Un facteur déterminant de ce succès a été l'utilisation de nos règles de détection spécifiques à SAP pour Sentinel. Ces règles, fruit de plusieurs décennies d'expérience cumulée de notre équipe en sécurité SAP, sont constamment optimisées et enrichies pour garantir leur efficacité maximale. Comme elles sont identiques pour tous les systèmes SAP, l'administration fédérale a pu bénéficier d'une solution robuste déjà établie au lieu de réinventer la roue. Ces règles permettent d'identifier, avec précision, les événements critiques pour la sécurité et de réduire considérablement les fausses alertes. Tout au long du projet, il est devenu évident qu'une collaboration étroite entre les équipes SAP et les équipes de sécurité est essentielle. C'est la seule façon de s'assurer que les bonnes données sont capturées, traitées et utilisées efficacement. En fin de compte, cette mission était plus qu'une simple mise en œuvre technique - elle représentait un changement dans la façon dont la sécurité SAP devrait être gérée.
L'intégration de SAP dans Microsoft Sentinel a démontré que l'analyse en temps réel n'est plus une option, mais une nécessité. Les cyberattaques étant de plus en plus sophistiquées, les organisations ne peuvent plus se permettre d'attendre que les menaces se concrétisent pour réagir. Celles qui souhaitent véritablement protéger leurs systèmes critiques doivent agir dès maintenant en établissant une surveillance centralisée. L'Administration Fédérale Suisse a déjà franchi ce cap, bénéficiant ainsi d'une transparence et d'une réactivité considérablement renforcées.
