Alors que les inquiétudes grandissent autour des ransomwares ainsi que des risques liés à la sécurité des applications et de la chaîne d’approvisionnement, les systèmes ERP sont exposés comme jamais auparavant, avec davantage de surfaces d’attaque et de vulnérabilités potentielles.
La plupart de ces problèmes de sécurité ne sont pas nouveaux, mais ils sont devenus à la fois plus répandus et plus complexes. La première étape pour améliorer la sécurité des entreprises consiste à reconnaître les défis actuels.
Voici les problèmes de sécurité ERP les plus courants et comment les résoudre.
1. Vulnérabilités inconnues
De nombreuses organisations n’ont pas pleinement identifié leurs failles de sécurité, et encore moins les ont corrigées. Le problème de sécurité ERP le plus courant est que le personnel informatique et de sécurité ne sait pas ce qu’il ne sait pas.
Les responsables informatiques doivent d’abord acquérir une connaissance approfondie des risques de sécurité ERP de leur entreprise avant de prendre toute autre mesure. Une fois qu’ils ont compris les menaces, les vulnérabilités et les lacunes spécifiques de leur organisation, ils peuvent prendre les mesures appropriées pour minimiser l’exposition et limiter les effets lorsqu’un incident de sécurité se produit.
2. Mises à jour logicielles manquantes
Les postes de travail et les serveurs qui font partie du système ERP manquent souvent des mises à jour logicielles nécessaires. Ces omissions peuvent inclure des logiciels ERP obsolètes ainsi que des systèmes d’exploitation sous-jacents et des applications de support insuffisamment entretenus. Le manque de mises à jour peut entraîner des infections par ransomware, des attaques par déni de service et un accès complet à distance non authentifié.
Trop souvent, les utilisateurs finaux sont censés mettre à jour leurs systèmes, notamment en ce qui concerne les logiciels tiers. Les équipes informatiques doivent régulièrement mettre à jour les logiciels et mettre en œuvre des correctifs de sécurité, y compris un programme de correctifs formel, même si cela peut entraîner des pannes et des temps d’arrêt des systèmes critiques.
3. Faible authentification ERP
Les connexions inadéquates peuvent inclure des mots de passe faibles, des comptes partagés et un manque d’authentification multifacteur. Au minimum, l’authentification ERP doit être aussi forte que les contrôles internes des comptes de domaine. Cette norme n’est généralement pas respectée si le système utilise simplement des informations d’identification uniques.
Même lorsque les contrôles formels incluent l’intégration de domaine et l’authentification unique, les politiques de mots de passe sont souvent faibles, permettant aux utilisateurs de créer des mots de passe faciles à deviner ou à déchiffrer. Des contrôles supplémentaires tels que les CAPTCHA et le verrouillage des intrus après un petit nombre de tentatives infructueuses sont des éléments essentiels pour empêcher une exposition ultérieure.
Les responsables informatiques doivent prendre des mesures pour renforcer les connexions là où cela est nécessaire afin d’éviter les problèmes de sécurité, qui peuvent inclure des accès non autorisés et des temps d’arrêt du système.
4. Vulnérabilités spécifiques aux applications Web
Certaines applications Web permettent l’injection SQL et l’élévation de privilèges, et possèdent des failles de logique métier qui permettent aux utilisateurs de manipuler des parties du système, y compris des aspects appartenant à d’autres parties dans une configuration multi-tenant.
Les responsables informatiques doivent être conscients des applications qui présentent ces problèmes potentiels et inclure tous les composants liés au Web dans les efforts continus de tests de vulnérabilité et d’intrusion.
5. Ouvrez les partages réseau
Certains systèmes ERP – généralement les plus anciens – nécessitent que les utilisateurs du réseau aient accès aux dossiers du système ERP. Cette pratique est extrêmement dangereuse et peut conduire à des ransomwares et à des accès non autorisés pour l’utilisateur occasionnel, ou l’attaquant, qui parcourt le réseau.
Les responsables informatiques devraient envisager de modifier le logiciel si le système ERP actuel de l’entreprise impose ces autorisations. Si une modification logicielle n’est pas possible, ils doivent mettre en œuvre des contrôles compensatoires pour minimiser ce risque.
6. Manque de communication sur les problèmes de sécurité
Les employés doivent informer immédiatement les responsables informatiques ou autres responsables technologiques lorsqu’un problème de sécurité ERP survient. Les employés peuvent supposer que le personnel informatique et de sécurité s’occupe de tous les problèmes, mais il se peut que le personnel informatique et de sécurité n’en soit même pas conscient.
Les responsables informatiques doivent sensibiliser les employés à l’importance d’informer le service informatique de tout problème afin que les bonnes personnes soient informées avant que le problème ne s’aggrave. Lorsque les employés le font, le personnel informatique devrait les récompenser publiquement pour leurs efforts visant à encourager ce comportement à l’avenir.
7. Manque de planification de réponse aux incidents
De nombreuses organisations n’ont pas encore documenté de plan formel de réponse aux incidents pour protéger ou récupérer leur système ERP.
Les responsables informatiques doivent élaborer un plan dès maintenant pour éviter de se précipiter en cas de crise. Le personnel doit pratiquer les procédures de réponse aux incidents au moyen d’exercices sur table et effectuer des mises à jour continues si nécessaire.
8. Manque de tests appropriés
Les responsables informatiques ne peuvent pas résoudre les problèmes de sécurité des ERP s’ils ne les connaissent pas. Ils doivent mettre en œuvre des analyses de vulnérabilité et des tests d’intrusion périodiques et cohérents qui vont au-delà des audits de contrôle informatique.
Ces tests doivent inclure l’examen de l’environnement ERP sous plusieurs angles en utilisant les différents niveaux de rôle et avec et sans authentification des utilisateurs, ainsi que l’examen de ces systèmes avec des contrôles de sécurité activés et désactivés. La réalisation de ces tests permettra d’identifier davantage de vulnérabilités.
9. Attentes peu claires des employés
De nombreuses organisations n’ont pas correctement documenté leurs politiques de sécurité, et de nombreux manuels destinés aux employés mentionnent à peine les attentes des employés en matière d’utilisation de l’ordinateur. La déconnexion qui accompagne le travail à distance peut brouiller encore plus les cartes.
Un comité de sécurité doit travailler aux côtés des conseillers juridiques et des ressources humaines pour garantir que les règles d’utilisation de l’ordinateur par les employés sont claires et que les employés sont bien formés aux questions de sécurité, agissant en tant que membre de l’équipe plutôt que de travailler contre elle.
10. Manque de formation continue pour le personnel technique
Le personnel technique doit rester informé des problèmes de sécurité ERP les plus courants à mesure que ces problèmes augmentent et évoluent et doit comprendre les derniers concepts et pratiques de sécurité.
Des risques inutiles peuvent survenir si le personnel utilise des approches et des contrôles de sécurité obsolètes, ce qui rend la formation continue essentielle.
Kevin Beaver est un consultant indépendant en sécurité de l’information, écrivain et conférencier professionnel chez Principle Logic, LLC, basé à Atlanta. Avec plus de 30 ans d’expérience dans l’industrie, Kevin se spécialise dans la réalisation de tests de vulnérabilité et d’intrusion ainsi que dans le travail de conseil virtuel en matière de RSSI.