Une nouvelle version disponible pour Sapyto la plateforme d'audit SAP

Par Xavier Poli, secuobs.com
Le 12/12/2008

---

Résumé : La société CYBSEC met à disposition une nouvelle version publique de sa plateforme d'audit Sapyto pour les infrastructures SAP. Parmi les nouveautés, on notera un module de force brute ainsi que la volonté de faciliter la gestion des audits et le développement de nouveaux modules d'audit. - Lire l'article



Sapyto est une plateforme d’audit, développée par la société CYBSEC ( lien ), à destination du progiciel de gestion intégré SAP (Systems, Applications, and Products for data processing). SAP est un système ERP (Enterprise Resource Planing) qui permet de faciliter la planification de la production industrielle d’une entreprise ; un ERP permet plus particulièrement à une entreprise de gérer de façon centralisée l’ensemble de ses processus opérationnels.

Cette gestion est réalisée à travers l’intégration de fonctions spécifiques qui sont liées à différents domaines que l’on peut catégoriser en trois grandes familles à savoir la logistique, la gestion comptable et les ressources humaines. Ces fonctions sont délivrées par des briques modulaires basées sur des applications indépendantes qui vont fonctionner communément à travers un système automatisé de gestion des flux de travail et une base de données unique et centrale.

Regroupant la gestion des processus opérationnels les plus sensibles de l’entreprise, l’infrastructure SAP est une cible de choix pour les attaquants, il est donc nécessaire qu’elle présente un niveau maximal de sécurité car sa compromission pourrait permettre de bloquer l’ensemble de ces processus, entrainant ainsi des pertes financières considérables , c’est à cet égard que l’alliance GSA (SAP Global Security Alliance) a été créée.

CYBSEC, une entreprise qui fournit des services de sécurité pour les infrastructures SAP, est l'un des membres actifs de cette alliance. Forte de son expérience dans ce domaine ( voir ses bulletins de sécurité sur SAP - lien ), cette société a établi un cahier des charges ( lien ) qui repose sur plusieurs points essentiels et se veut comme un modèle d’implémentation ; la plateforme d'audit Sapyto a été développée conformément aux recommandations de celui-ci.

En premier lieu la conception de l'architecture SAP doit se faire dans un environnement présentant le plus haut niveau de sécurité possible (zones démilitarisées, solutions de chiffrement, pare-feu applicatif, sécurité des systèmes d'exploitation et de la base de données). Vient ensuite la sécurité propre à SAP et à son paramétrage avec notamment la segmentation des droits d’accès, les politiques de gestion des comptes utilisateur, la sécurité et la surveillance des transactions ainsi que la gestion de la sécurité des différentes versions de SAP et de ses modules applicatifs.

La sécurité doit s’appliquer à travers l’ensemble de l’infrastructure qui va supporter SAP ; la sécurité globale dépendra de la sécurité de chacun de ses composants (système d'exploitation, base de données, application SAP, interface et l'accès des utilisateurs). La gestion des droits d’accès doit être des plus minutieuses et une grande vigilance doit être apportée à la gestion des correctifs de sécurité et la surveillance des fichiers journaux.

Des audits réguliers doivent ainsi être menés afin d’évaluer et de déterminer périodiquement le niveau réel de la sécurité d’une infrastructure SAP. Une analyse différentielle des résultats de différents audits, menés suivant des normes standards du domaine, pourrait par ailleurs également aider à optimiser cette sécurité globale.

Evoluant avec les tendances, les versions consécutives de SAP comportent maintenant des connecteurs vers les services Web comme les portails des entreprises. Cette connectivité vers l’extérieur représente un facteur de risque additionnel pour la sécurité globale de l’infrastructure SAP, il est donc là aussi nécessaire d’être plus que vigilant et de recourir fréquemment à des audits de sécurité.

Afin de faciliter la réalisation de l’ensemble de ces audits, CYBSEC met gratuitement à disposition une nouvelle version de sa plateforme d'audit Sapyto. Cette version se veut comme un tournant dans la conception de la plateforme et le développement des versions à venir. Cette nouvelle approche se traduit en premier lieu par la classification des modules d’audit selon trois catégories à savoir la découverte, l’audit et l’exploitation ; une interface de programmation intuitive pour les développeurs de modules et une documentation plus fournie sont également disponibles.

Parmi les nouvelles fonctionnalités, on trouve aussi : des options complémentaires de configuration pour la sélection des éléments d’audit, un module pour la configuration des connecteurs de communication entre les composants, la possibilité d’obtenir une invite de commande après exploitation, un module de force brute à destination des comptes utilisateurs ainsi qu'un module de listage de ces comptes et un module d’évaluation SAProuter.

Sapyto est régulièrement mis à jour par les équipes de CYBSEC en fonction des résultats obtenus lors des recherches effectuées sur les différents aspects de la sécurité des infrastructures SAP. A noter que CYBSEC dispense également des sessions de formations ( lien ) sur la sécurité des infrastructures SAP afin de partager son expérience ; deux formules sont disponibles soit l’apprentissage théorique d’une durée de huit heures et la formation pratique d’une durée équivalente à seize heures.

La version 0.98 de Sapyto peut être téléchargée sur le site officiel de CYBSEC à la seule condition de remplir un formulaire ( lien ) prévu à cet effet.

Source : Security Database Tools Watch ( lien ).