À la fin juillet, l’équipe de préparation aux urgences informatiques (US CERT) du département de la Sécurité intérieure des États-Unis a émis une alerte consultative visant les systèmes ERP (planification des ressources d’entreprise). L’alerte de l’USCERT a été déclenchée par « ERP Applications Under Fire », un rapport conjoint publié par Digital Shadows et Onapsis, Inc.
Même avant l’alerte CERT américaine, la cybersécurité était une préoccupation majeure de chaque cadre informatique aujourd’hui, et il suffit de parcourir les gros titres pour comprendre pourquoi. Mais, comme le détaille « Les applications ERP sous pression », les cyberattaques contre les applications ERP augmentent considérablement. Le rapport a documenté certaines tendances préoccupantes, notamment :
- Les cyberattaques ciblant les applications ERP ont augmenté de 100% au cours des trois dernières années.
- L’intérêt des cybercriminels pour les vulnérabilités ERP, mesuré par des indicateurs tirés de l’Internet conventionnel et du Dark Web, a augmenté de 160% entre 2016 et 2017.
Digital Shadows et Onapsis documentent plusieurs vulnérabilités et expositions courantes (CVE) liées à cette augmentation des cyberattaques contre les applications ERP.
Syntax Je souhaite prendre le temps de mettre en lumière ce que ces vulnérabilités signifient pour les utilisateurs d’Oracle JD Edwards et de la suite E-Business et de fournir des conseils pour se protéger contre ces menaces.
Échec à maintenir les correctifs ERP à jour
Un correctif insuffisant est l’une des principales causes de vulnérabilités exploitées par les cybercriminels ciblant les ERP.
Les systèmes ERP font naturellement partie d’une architecture complexe, reposant sur des fonctionnalités personnalisées, et sont déployés avec un contrôle d’accès détaillé et complet. Les entreprises desservies par ces systèmes ont une tolérance zéro pour les temps d’arrêt, ce qui complique souvent et/ou retarde l’application des correctifs critiques.
- Le rapport affirme que le personnel informatique soutenant de nombreux systèmes ERP manque de connaissances et de processus adéquats pour assurer une sécurité ERP solide.
Citer la complexité des correctifs et le manque de connaissances internes en TI comme une vulnérabilité clé de l’ERP ressemble beaucoup au jargon des fournisseurs de logiciels de sécurité. Cependant, Digital Shadows et Onapsis partagent une étude médico-légale d’une cyberattaque majeure subie par un déploiement SAP de 30 000 employés. Dans ce cas, l’attaquant a exploité une vulnérabilité critique d’Invoker Servlet , malgré le fait que SAP Corporation avait publié un correctif pour corriger cette vulnérabilité 5 ans avant l’attaque.
La morale de l’histoire pour JD Edwards et les utilisateurs de la suite E-Business est de garder vos systèmes et applications à jour.
Syntax nous assurons que les correctifs sont à jour pour tous nos clients JD Edwards et Oracle E-Business Suite, et nous priorisons les correctifs de sécurité. C’est vrai pour les clients que nous soutenons à distance, ainsi que pour ceux qui hébergent leurs applications ERP Oracle dans le Syntax Nuage d’entreprise.™
Exposition des applications ERP à Internet
Comme le souligne le rapport, « Mettre en œuvre des applications ERP orientées vers Internet n’est pas un risque, en soi, mais pour éviter que cela ne devienne une situation potentiellement à haut risque, il est impératif que les organisations mettent en place les bonnes mesures de sécurité. » Comme le documente le rapport, il a été possible de documenter plus de 100 composants SAP ITS et des vulnérabilités similaires de l’Oracle ERP en utilisant uniquement de simples recherches Google.
L’exposition des applications ERP à Internet est un enjeu que les utilisateurs de JD Edwards et Oracle E-Business Suite devront gérer continuellement, à mesure que les empreintes deviennent plus complexes et interdépendantes. Et il n’existe pas d’approche universelle pour garder ces applications sécurisées.
En général, les niveaux de développement ERP, de tests et de middleware ne seront pas orientés vers Internet. Si c’est le cas, alors garder ces niveaux, ainsi que votre niveau Cloud correctement corrigé, est la meilleure stratégie pour atténuer les menaces à la sécurité liées à l’exposition à Internet.
- Dans d’autres cas, des mesures de sécurité supplémentaires sont nécessaires.
Par exemple, un déploiement Oracle E-Business Suite composé de modules « I » comme iSupplier ou iRecruitment devrait probablement s’assurer que ses applications ERP sont protégées par des mesures de sécurité qui vont au-delà d’un pare-feu traditionnel. De même, un client JD Edwards qui utilise les modules Fournisseur en libre-service ou Libre-service client devra aussi s’assurer que ses environnements de production et non production soient protégés par une sécurité dépassant un pare-feu traditionnel.
Dans le contexte de ces menaces, Syntax possède l’expérience et l’expertise nécessaires pour personnaliser les bons contrôles de sécurité, y compris le déploiement de pare-feux au niveau applicatif sur le Syntax Le cloud™ d’entreprise, qui correspond le mieux à vos besoins d’affaires.
Fuite involontaire des identifiants de connexion ERP et d’autres informations sensibles
Une autre vulnérabilité courante citée par le rapport concerne la fuite involontaire d’informations techniques cruciales. Cela peut survenir lorsque des éléments comme des entrepreneurs partagent des identifiants sur des forums publics et/ou des outils de gestion de projets infonuagiques, ou lorsque l’information est partagée via le protocole de transfert de fichiers (FTP) ou des services Web.
Comme se conclut le rapport, les organisations disposant d’applications ERP en ligne qui exposent ce type d’information jouent directement en faveur des cybercriminels.
En conséquence, les utilisateurs d’ERP qui doivent dépendre du FTP ou des services Web pour partager des informations sensibles doivent s’assurer que ces services ne sont pas directement accessibles au public.
La deuxième étape que les utilisateurs d’Oracle JD Edward et Oracle E-Business Suite peuvent prendre pour se protéger contre cette vulnérabilité est d’adopter des pratiques de sécurité solides. Les identifiants de connexion des employés et des contractuels devraient être invalidés lorsqu’ils ne sont plus nécessaires. Les organisations doivent adopter des politiques solides d’hygiène des mots de passe , telles que l’exigence de mots de passe forts, l’application de contrôles d’accès bien planifiés, comme l’exigence de changements fréquents de mots de passe, l’interdiction du recyclage des mots de passe et l’utilisation de l’authentification multifacteur autant que possible.
Bien que des mesures comme celles ci-dessus offrent une première ligne solide de défense contre les cyberattaques contre les applications ERP, la plupart des utilisateurs de JD Edwards et Oracle EBS devront en faire plus.
Pour aider à se protéger contre cette menace, pour les utilisateurs de JD Edwards et Oracle E-Business Suite Syntax prend des précautions supplémentaires en offrant la sécurité des charges utiles et en limitant la portée des services Web disponibles.
JD Edwards et Oracle E-Business Suite Sécurité adaptée à vos besoins
La principale leçon de « Applications ERP Under Fire » est que les plateformes ERP sont maintenant sur le radar des cybercriminels et deviennent de plus en plus agressives.
Syntax déploie et soutient des solutions ERP depuis plus de 40 ans, ce qui nous donne l’expertise nécessaire pour adapter les solutions de sécurité ERP aux besoins uniques de chaque client et, de plus, nous pouvons le faire de manière non intrusive.
Cliquez ici pour en savoir plus sur Syntaxsolutions ERP Cloud Security de .