Alex Horan (Onapsis) : « Les cyberattaques contre la plate-forme SAP vont augmenter au cours des 24 prochains mois »

Le risque de sabotage industriel est important. Pouvez-vous nous donner des exemples concrets et spécifiques ?
La production est, elle aussi, planifiée et contrôlée par les systèmes ER [Enterprise Resource Planing ; en français : Progiciels de gestion intégrés, NDLR]. Elle ne se limite pas uniquement au contrôle d’une ligne d’assemblage. Chaque processus de fabrication repose sur des processus métier gérés par des personnes habilitées. Les données de production sont de plus en plus souvent collectées auprès de différents systèmes de contrôle et sont transmises aux ERP, notamment aux solution de l’allemand SAP qui en est le leader mondial.
Dans l’idéal, un tableau de bord en temps réel avec toutes les données de protection fournit aux décideurs les informations permettant de contrôler les processus métier comme l’approvisionnement en matières premières et la planification de la production, quel que soit le site concerné. Si la configuration des systèmes SAP n’est pas entièrement sécurisée, n’importe qui peut leur adresser des données provenant soi-disant d’un système de contrôle et manipuler les informations des tableaux de bord de façon à influencer ou tromper les décideurs. Ainsi la logistique de production (qui régit l’achat des matières premières, l’externalisation de la production et la facturation) est assurée dans SAP et peut être manipulée de l’extérieur.
Le contrôle qualité fait aussi partie intégrante du processus de fabrication piloté par SAP. La production pétrolière et gazière est également un bon exemple. Dans ce domaine, un grand nombre de processus reposent sur des modules SAP comme les ordres d’exploration, de construction, de forage et de production, l’échantillonnage et les tests en laboratoire, la maintenance ou le suivi des équipements.
On dit qu’en fracturant une caméra de vidéosurveillance, il est très facile de s’introduire dans le réseau informatique de l’entreprise et de le pirater. Qu’en pensez-vous ?
Cet exemple peut paraître étonnant et pourtant tout ce qui est connecté au réseau d’une entreprise est un point d’attaque potentiel pour quiconque cherche à s’y introduire. Les caméras de vidéosurveillance sont donc déjà des cibles et le seront encore plus avec le développement de l’Internet des objets. À partir du moment où elles ont une adresse IP [Internet Protocol, NDLR], elles peuvent faire partie d’un botnet ou être visées par une attaque sophistiquée. Les pirates savent également que, souvent, les entreprises n’ont pas mis en place de politique de mise à niveau ou de sécurité pour les micrologiciels de leurs équipements périphériques. S’ils sont intégrés à un module SAP, ils peuvent alors être un point d’entrée pour accéder aux systèmes SAP. Même si, pour l’instant, il n’y a pas de cas avéré d’intrusion. Mais, avec l’Internet des objets, les possibilités d’attaque sont beaucoup plus larges. D’autant que l’éditeur allemand a lancé la technologie Hana qui vise à intégrer les objets intelligents à SAP.
Quels sont les principaux scénarios de sabotage ?
L’utilisation d’une instance SAP comme point d’entrée pour prendre le contrôle de la production au niveau de la ligne d’assemblage. Néanmoins, comme pour les attaques SCADA, nous pensons que ce serait le fait de pirates extrêmement performants qui disposeraient de moyens très puissants. Autrement dit, on serait alors dans un scénario de type Stuxnet [attaques des États-Unis et d’Israël sur les centrifugeuses de la centrale iranienne de Natanz qui servent à l’enrichissement de l’uranium, NDLR].
Quelle est l’étendue de ce phénomène ? Est-ce qu’il va progresser au même rythme et dans les mêmes proportions que le piratage et l’ingénierie sociale ?
Cela dépend de l’attaque. Bien entendu la capacité d’attaquer directement des systèmes SAP via une faille de configuration dépend de l’intégration de l’ERP aux équipements de production ou d’une faille des appareils mobiles (smartphones, tablettes, PC portables et autres) qui accèdent aux différents modules de gestion.
On constate que, pour un grand nombre, les configurations de la couche transaction ne sont pas sécurisées car les environnements SAP sont tous très complexes. La probabilité d’erreur ou de défaut de sécurisation lors de la configuration est donc très élevée. Et ce, malgré l’aide importante apportée fréquemment par SAP.
À notre avis, ce risque ne fait que s’accentuer, comme le montre une récente étude Ponemon. En effet 54 % des personnes interrogées estiment que la fréquence, la furtivité et la sophistication des cyberattaques contre la plate-forme SAP vont augmenter, voire augmenter de façon significative, au cours des 24 prochains mois.
Ces attaques peuvent-elles contaminer d’autres systèmes que ceux de la gestion industrielle ?
Bien entendu. Plus les systèmes d’information sont interconnectés les uns aux autres, plus le risque d’attaque augmente. En outre, comme les autres angles d’attaque se sont refermés ou que leur coût a grimpé, les pirates vont rechercher des voies plus faciles pour accéder aux systèmes, en particulier aux processus et aux données qui les intéressent. On n’a pas beaucoup entendu parler de SAP en matière de cybersécurité, ce qui signifie qu’il n’y avait pas urgence pour les entreprises à s’assurer de la résistance de leurs ERP aux attaques des pirates informatiques. Dans ce contexte et vu les interventions de plus en plus nombreuses de SAP lors des conférences sur la cybersécurité, les progiciels du leader mondial des ERP vont devenir une cible de choix pour les pirates.
Certes, comme ces systèmes sont difficiles à mettre en œuvre, les pirates avaient jusqu’ici du mal à en avoir un pour se familiariser avec son fonctionnement. Mais aujourd’hui, des systèmes SAP préinstallés et configurés peuvent être loués en ligne auprès de différents fournisseurs de cloud. Ce qui facilite la tâche des chercheurs spécialisés dans la sécurité informatique et celle des cybercriminels qui veulent s’en prendre aux systèmes SAP.
Côté réseaux industriels, les bus de terrain sont progressivement remplacés par des solutions plus standardisées de type Ethernet. Cette évolution facilite-t-elle les attaques ?
Ce n’est pas une question de protocole mais plutôt de connexion à Internet. Avec Ethernet, il y a de plus en plus de systèmes connectés directement à Internet et bon nombre d’attaques ciblant la couche transaction peuvent passer par le Web. La surface d’attaque est donc plus large, ce qui facilite la tâche des pirates.
N’est-ce pas s’exposer que de faire passer en même temps par le même réseau le bureau, le design, la production et la vidéo ?
Permettez-moi de répondre à cette question de manière plus générale du point de vue des systèmes SAP. Plus il y a de systèmes qui interagissent, plus le risque et les possibilités d’attaque sont grands. La situation devient plus complexe et propice aux erreurs de configuration. En effet, la surface d’attaque s’élargit considérablement dès lors qu’on connecte plus de systèmes différents. Et nul ne peut dire que les systèmes SAP sont à l’abri car ils sont bel et bien connectés. Plus il y a de connexions, plus il faut protéger les systèmes.
Quelles sont les principales parades pour se protéger des risques de sabotage ?

La première chose à faire est de créer une topologie de tous les systèmes et applications de l’entreprise et de la façon dont ils interagissent. Cela permet d’y voir plus clair et de mesurer la profondeur de connexion et d’interaction entre les systèmes SAP et les systèmes de production. Il faut ensuite mettre en place des solutions d’évaluation, de détection et de riposte et s’assurer que la protection des systèmes est intégrée au processus global de sécurisation. Ces mesures vont prendre de plus en plus d’importance alors que se poursuit l’intégration des systèmes de production à SAP.
Propos recueillis par Erick Haehnsen

En réaction à cet entretien, la société SAP a tenu à manifester son désaccord. Voici sa réaction officielle :
« SAP propose des solutions logicielles sécurisées et fiables avec une gamme étendue d’outils et de services en matière de sécurité. SAP travaille très étroitement avec des laboratoires de recherche tel Onapsis, afin de veiller à une divulgation responsable des vulnérabilités. L’expertise des administrateurs de sécurité sur SAP est valorisée afin d’approfondir la connaissance de l’entreprise et notamment sur les aspects qui touchent à l’intégration optimale de SAP HANA dans l’infrastructure de sécurité et la mise à jour des systèmes. De plus amples informations sur les actions menées par SAP sont disponibles en cliquant sur les liens ci-dessous :
https://support.sap.com/home.html
https://support.sap.com/support-programs-services/services/security-optimization-services.html
https://scn.sap.com/docs/DOC-65837
https://hana.sap.com/capabilities/security.html »