Un peu comme les systèmes industriels pilotés par une informatique mal maîtrisée, le cas des applications d'importance comme le sont les ERP semble plus complexe. Deux problèmes apparaissent : d'une part, il semble que la communauté sécurité n'en fasse pas forcément un sujet prioritaire et d'autre part, le côté "boite noire" est sans doute rebutant.
De plus, considérant les consommations considérables de "consultants" que réclament la mise en place d'un ERP de type SAP par exemple, l'aspect sécurité semble parfois être écarté au profit de l'intégration dans les processus de l'entreprise et son lot de difficultés inhérentes.
Ainsi, ayant eu à affronter quelques formations sur SAP lors de mes études et alors que j'évoquais l'aspect Sécurité, le présentateur parut un peu surpris par ma question et évoqua une architecture de comptes et de protections des comptes, notamment par la gestion des droits.
Associé à cela, la tendance des entreprises a été pendant longtemps de se reposer sur une protection qualifiée de périmétrique autour des pare-feux. La croyance en leur capacité à bloquer efficacement tout type de trafic, en particulier malveillant a encore la vie dure et la présence d'un tel outil semble parfois suffire à tempérer les ardeurs de la sécurité.
Les ERP sont des systèmes complexes multipliant l'usage de composants externes et bénéficiant une inter-opérabilité forte afin de constituer une forme de "couche" informatique sous-jacente obligatoire à tous les niveaux de l'entreprise. En termes de sécurité, cela implique également une surface d'attaque agrandie contre un système alors devenu critique.
Or, comme nous l'évoquions, la maturité en matière de sécurité n'est pas toujours au rendez-vous (et c'est un constat qui va au-delà des ERP bien évidemment). C'est ainsi que la Black Hat cru 2012 a été l'occasion d'une démonstration d'attaque sur de tels systèmes mettant en exergue les risques existants.
Quelques détails techniques sont disponibles dans le lien ci-dessous. On retiendra notamment que :
- la vulnérabilité utilisée est relative à un standard connu (xml)
- la méthodologie utilisée profite d'un canal d'attaque matérialisé par un service de test activé et accessible sur Internet et donnant des droits de type administrateur.
Ite missa est ! Il devient donc primordiale d'accorder un regard plus attentif en matière de sécurité à ces systèmes dont la complexité et la criticité sont élevés.
A voir également concernant le "cru" 2012 de la Black Hat : les backdoors basée sur l'usage du BIOS : http://www.silicon.fr/rakshasa-backdoors-bios-76979.html
Source :