ISICC (IBM SAP International Competence Center) IBM Security AppScan déployé par SAP AG

Transcription

1 ISICC (IBM SAP International Competence Center) IBM Security AppScan déployé par SAP AG SAP AG / Wolfram Scheible

2 «Grâce à IBM Security AppScan nous avons automatisé avec efficacité le processus d analyse des points faibles». Michael Neumaier Senior Quality Specialist SAP AG «IBM Security AppScan nous aide, non seulement à éviter les coûts liés aux intrusions informatiques, mais aussi à réduire la main d œuvre nécessaire pour l analyse et les coûts des tests». Michael Neumaier Senior Quality Specialist SAP AG

3 IBM Security AppScan déployé par SAP AG À propos de cet article Les experts estiment que le préjudice global causé par les cybercriminels pourrait atteindre jusqu à 100 milliards d Euros par an. Dès lors qu une nouvelle application Web est mise en ligne, elle est enregistrée et analysée par des outils de piratage automatiques. Les applications et les données utilisées sont rarement protégées par des technologies telles que les pare-feu, scanners réseau et systèmes de détection d intrusion. Cet article étudie les mesures prises par SAP AG pour protéger ses applications grâce à IBM Security AppScan. Objectifs des clients Protéger les applications en ligne tout en s assurant que les vulnérabilités sont identifiées et supprimées avant le déploiement. Réduire les coûts des mesures correctives par l amélioration de la qualité de la version préliminaire. Augmenter la confiance du client dans la sécurité des applications en ligne. Apprendre à améliorer la conception de l application pour l avenir. Avantages pour les clients IBM Security AppScan répond à l ensemble des exigences en matière de test de sécurité SAP et a largement augmenté ses capacités de test. Le test manuel est maintenant réduit au minimum. Il a été remplacé par un processus régulier de vérification et de contrôle des cas de test. IBM Security AppScan a intégré de façon transparente les procédures d assurance qualité SAP, car il permet d automatiser une partie des workflows existants plutôt que d exiger un changement de processus général. Solution IBM : IBM Security AppScan Standard 8.0 3

4 Contexte, point de départ et objectifs Les développeurs SAP travaillent sur 190 produits, avec plus de 25 solutions intersectorielles dans plus de 30 langues. Environ 500 développeurs travaillent en parallèle sur chaque nouvelle version de la solution. SAP a adopté un processus général de développement et de commercialisation de logiciels, fondé sur quatre principes métier : Modification des conditions de développement des logiciels : Modification de la gamme de produits : les produits uniques sont remplacés par un portefeuille de produits différents. Une entreprise mondiale avec un développement distribué dans plusieurs régions du monde. Une meilleure communication entre les clients, partenaires et SAP : Proposer une approche commune et cohérente pour le rappel des exigences de la clientèle. Refléter l orientation vers un scénario industriel et se concentrer sur les besoins métier du client. Garantir l alignement des priorités de développement entre les parties prenantes internes et externes. Industrialisation du développement et de la réutilisation des logiciels : L architecture orientée service favorise la réutilisation à différents niveaux. Les processus et les organisations alignés doivent tenir compte de cette réutilisation. Amélioration continue de la qualité : Des processus adaptés pour un haut niveau de qualité du logiciel et des coûts totaux d exploitation optimaux, ainsi que des délais de commercialisation en réduction. Élaboration de produits fiables selon les méthodes appropriées, avec une qualité attendue tout au long du cycle de vie du produit. Défis métier et objectifs projet Alors que de plus en plus d applications SAP sont conçues pour une utilisation sur Internet, la société fait face à un besoin urgent d aider à assurer la sécurité des applications Web. Pour l équipe SAP, il était important de traiter le volume croissant de travail de test tout en conservant la très haute qualité des résultats. Grâce aux tests manuels, sans automatisation, il était clair que la charge de travail pouvait facilement devenir ingérable, entraînant une augmentation des coûts et le risque de commercialiser un logiciel mal testé. Si l équipe pouvait automatiser la plupart des procédures de test, cela lui permettrait d accélérer le rythme et d accroître la validité des tests. Ainsi, le personnel informatique pourrait être amené à travailler sur des projets de développement de logiciels plus importants. Alors que l équipe SAP recherchait des outils appropriés pour tester le pré-déploiement de ses applications, elle a identifié une liste d exigences fondamentales. Celles-ci incluent : Des fonctionnalités à jour, notamment la capacité à lutter contre les méthodes d attaque actuelles et les classes de vulnérabilité. La qualité de la technologie d analyse et sa capacité à déceler des problèmes de sécurité. La fiabilité et la précision des résultats générés par le scanner, y compris le traitement des faux-positifs. La convivialité et la maniabilité de la configuration du scanner pour les projets logiciels très importants. La présentation et le filtrage des résultats, ainsi que la capacité à interpréter les résultats facilement. La prise en charge du débogage, de la suppression ou de la résolution de vulnérabilités identifiées. Le signalement exhaustif de différents risques et la diffusion de rapports de conformité. Le positionnement et la force du fournisseur sur le marché. Le niveau d investissement dans la recherche et le développement de futures solutions de sécurité. 4

5 Solution technique La famille de produits IBM Security AppScan, sélectionnée pour SAP, recherche dans les applications Web des vulnérabilités connues pendant la phase de développement et de mise en œuvre de l application. Security AppScan dispose de fonctionnalités de recherche et d analyse hautement automatisées et génère des rapports conformes aux normes nationales et internationales par simple pression d un bouton. Les outils Security AppScan aident aussi à sensibiliser les développeurs et les agents de sécurité. En effet, les composants e-learning intégrés permettent de s assurer que les pratiques de sécurité sont intégrées dans le codage dès le début des programmes de développement de logiciels. L équipe SAP a déployé IBM Security AppScan Standard en Inde sur un serveur Microsoft Windows avec option de connexions multiples via le «Windows Terminal server», et en Allemagne sur un ordinateur de bureau standard fonctionnant sous Windows. Sur les deux systèmes, SAP utilise un calendrier partagé où les salariés peuvent planifier leurs tests et l utilisation de l appareil. Cela permet à de nombreuses personnes d exécuter leurs tests sans conflit. L équipe SAP était très satisfaite du support et de l expertise technique apportés par IBM. Les problèmes ont été traités et résolus rapidement à l aide des solutions recommandées, grâce au niveau élevé de compétence produit d IBM. Security AppScan comprend des représentations graphiques des résultats et de puissantes fonctionnalités de génération de rapports, qui démontrent l exploitation des vulnérabilités dans un navigateur Web. Ces fonctionnalités sont essentielles pour aider les développeurs à comprendre ce que les problèmes représentent dans la pratique. L interface Security AppScan est si puissante que chez SAP, les développeurs sont invités à assister à des téléconférences en ligne de partage d écrans pendant lesquelles ils peuvent voir les résultats du test et les problèmes réels. Sécurité Nationale Espionnage industriel Appât financier Vengeance Les dossiers de sécurité nationale deviennent de plus en plus nombreux dans le contexte de débat sur la cyber sécurité Collaborateurs internes Contenu Dommage/impact sur la vie et la propriété Motivation Crime organisé, concurrents Piratages Cyber-guerriers Menace persistante avancée Outils sophistiqués, expertise et ressources substantielles Prestige et excitation Pirates débutants Intervalle substantiel, outils et ingénierie sociale Curiosité Scripts, outils, guides pratiques en ligne Adversaire Figure 1 : L information importante et les services accessibles via une application Web ont attiré un nouvel adversaire beaucoup plus sophistiqué. Les mobiles de ces attaques commencent à évoluer et passent de la simple curiosité à l espionnage en passant par l appât financier. Les pirates utilisent aussi des techniques de plus en plus avancées, qui les rendent plus difficile à repérer et dont on se protège difficilement. La flèche représente une augmentation rapide des dommages et impacts potentiels des attaques sur toutes les applications. Source : IBM Software, Rational, Technical White Paper: Designing a strategy for comprehensive Web protection, common/ssi/ecm/en/raw14246usen/raw14246usen.pdf 5

6 À propos de IBM Security AppScan Le portefeuille de produits IBM Security AppScan propose des solutions pour automatiser et industrialiser la protection des applications en réseau et sur le Web qui collectent et échangent des données sensibles. Notamment, le logiciel IBM Security AppScan étend l analyse de sécurité dans la procédure de sécurité de l application et utilise une multitude de tests techniques qui aboutissent à une qualité supérieure et des applications plus sécurisées. De nombreux cas documentés d entreprises qui ont dépensé des millions de dollars pour se remettre de piratages informatiques qu elles auraient probablement pu éviter. Les vulnérabilités dans un environnement de production peuvent coûter cher en réparations. De son côté, IBM Security AppScan aide à découvrir et à corriger les erreurs au cours de la procédure de développement, réduisant ainsi les coûts et les risques. IBM Security AppScan propose des tests de sécurité à la fois statiques et dynamiques à tous les niveaux de développement de l application. SAP utilise IBM Security AppScan Standard Edition et la gamme complète couvre une large variété de besoins métier : Il existe des fonctionnalités supplémentaires telles que JavaScript Analyzer, une extension de AppScan Standard développée en collaboration avec le service IBM Research. Cette fonctionnalité propose une analyse statique de JavaScript, qui détecte divers problèmes de sécurité chez les clients, tels que l injection de code indirecte (XSS) basée sur DOM (Disk-On-Module) où un code JavaScript malveillant est exécuté sur le navigateur de l utilisateur sans analyse sécuritaire préalable qui pourrait éviter l attaque. Le rôle de JavaScript dans les applications Web modernes devient plus important que les technologies telles que AJAX, HTML5 et Dojo toolkit qui deviennent plus communes. Grâce à JavaScript Analyzer, AppScan constitue l un des premiers outils capable de détecter toute une série de problèmes de sécurité chez les clients. Jusqu à présent, ces problèmes étaient considérés comme très courants, mais en l absence d outil capables de les détecter, il n existait pas de preuve, ni de moyen de s en protéger. AppScan est également capable d effectuer simultanément des tests «boîte noire» et «boîte blanche» au cours d une même analyse. AppScan Build Edition intègre une fonctionnalité de test de la sécurité des applications Web dans le workflow de gestion de version. AppScan Enterprise Edition est une solution de test de vulnérabilité des applications Web et de génération de rapports qui est utilisée pour tester la sécurité. AppScan Express Edition est une solution peu onéreuse qui assure la sécurité des applications Web des plus petites entreprises. AppScan On Demand identifie et classe par ordre de priorité les vulnérabilités sécuritaires de l application Web qui peuvent être apparentées au modèle SaaS. AppScan On Demand Production Site Monitoring permet d assurer la surveillance cohérente et continue de la production de contenu Web pour les vulnérabilités via le modèle SaaS. 6

7 Preuve de validité Pour tester la validité des arguments sur IBM Security AppScan, SAP a pratiqué un audit externe et un test de pénétration sur le logiciel Duet. L équipe a ensuite comparé les résultats du test manuel aux conclusions automatisées produites par Security AppScan. La comparaison devait déceler et reproduire les vulnérabilités découvertes par le test manuel, et pour mettre en évidence les zones appropriées du code source. En quelques heures, Security AppScan a réussi à localiser toutes les vulnérabilités découvertes manuellement, à identifier les doutes supplémentaires, et à détecter le code source responsable. Les résultats d AppScan sont très précis, contiennent très peu de faux-positifs et permettent donc de gagner du temps durant l évaluation d une application. Les fonctionnalités de génération de rapport d audit et de transmission de la traçabilité complète des erreurs apparaît dans les fonctionnalités les plus intéressantes en matière de temps et d argent. Durant le développement du logiciel, les développeurs eux-mêmes sont responsables du test. L équipe d informatique SAP fournit aux développeurs les services de test de Security AppScan, qui peuvent être réservés en interne. Lorsque les développeurs choisissent d effectuer un test durant le développement, les résultats sont utilisés lors de la procédure de validation du logiciel. Si le noyau de l équipe est associé au test, la validation du logiciel peut être réalisée plus rapidement, réduisant le temps de commercialisation de nouvelles solutions par SAP. Si Security AppScan ne fait pas partie de la procédure de développement du logiciel, les développeurs doivent effectuer leurs propres tests manuels et fournir une documentation expliquant la validité de leurs résultats de tests. Sur la base de ces documents, l équipe de test planifie son plan de validation du logiciel, une procédure généralement plus longue que celle dans laquelle les produits ont bénéficié de Security AppScan de manière anticipée. AppScan Standard a été intégré dans le processus de développement de produits SAP, et la puissante fonctionnalité de génération de rapports est utilisée pour analyser les résultats et proposer des recommandations aux développeurs. Par exemple, suite à une analyse d application par Security AppScan, l équipe planifie un atelier avec l équipe de développement. Security AppScan fournit un profil de l application en tenant comptedes problèmes spécifiques à SAP et ciblé sur les exigences standard SAP. En raison de la réduction du temps de test et de l effort fournit pour l utilisation de Security AppScan, SAP est capable de développer plus d applications Web et également de les commercialiser plus rapidement. Grâce à ces avantages, SAP a acheté des licences Security AppScan supplémentaires, élargissant son utilisation à huit utilisateurs au total, en Inde, Israël et Allemagne. 7

8 Les atouts commerciaux Pour le futur, l association des analyses dynamiques et statiques présente de nouvelles possibilités pour SAP. Cette analyse hybride est réalisée à l aide de JavaScript Analyzer. Au cours d un test, les tests de boîte noire (tests HTTP normaux fournis par AppScan Standard Edition) et de boîte blanche (via l analyse statique du code JavaScript par le composant JSA) sont exécutés. Les résultats des tests de boîte noire et blanche sont corrélés via la Console Reporting. La corrélation met en évidence les points faibles spécifiques, identifiés par les deux analyses. De telles faiblesses constatées deux fois peuvent être considérées comme des risques authentiques, à résoudre aussi rapidement que possible. Dans les précédentes procédures de test manuel, l équipe de SAP savait qu environ 60 des descriptions de cas testés ne répondaient pas à toutes les exigences. Le test manuel est en cours d abandon, et une procédure habituelle de vérification et de révision des cas de test a été mise en place. Avec IBM Security AppScan, l équipe SAP présente maintenant un niveau nettement plus élevé de couverture de test. La complexité du produit affecte les procédures de test, qui peuvent durer une fraction de seconde ou quelques minutes pour chaque URL. Security AppScan peut aussi effectuer un test en commençant par une première URL et ensuite tester toutes les pages atteignables, à la façon d un moteur de recherche qui parcourt les pages du Web associées. Les outils comprennent la possibilité d exclure ou d inclure certaines pages, annuaires ou zones d un site Web, et des pages spécifiques peuvent bénéficier d un test. Pour accélérer le test, l équipe d IBM a adopté une approche adaptive : si les échecs de test sont supérieurs aux limites prédéfinis, la séquence de test est interrompue. Cette méthode réduit le temps de test, en accélérant le débit total et en augmentant son efficacité. IBM Security AppScan a été intégré de manière transparente aux procédures SAP. Il automatise un composant des workflows existants au lieu de demander une modification. Dès les débuts, l utilisation a explosé car les avantages étaient devenus clairs, tout particulièrement depuis que le nombre d applications Web a continué à progresser. 8

9 «IBM Security AppScan a un très grand impact positif sur la formation de nos développeurs car il leur évite d intégrer des vulnérabilités dans les applications Web» Michael Neumaier Senior Quality Specialist SAP AG

10 10

11 SAP, Duet et tous les logos SAP sont des marques déposées ou enregistrées de SAP AG en Allemagne et dans plusieurs autres pays. Tous les noms des autres produits et services sont desmarques déposées de leurs sociétés respectives. Déclaration prévisionnelle SAP Toutes les déclarations contenues dans cet article qui ne sont pas des faits historiques sont des déclarations prévisionnelles selon la définition en vigueur aux États-Unis dans le Private Securities Litigation Reform Act de Les mots tels que «anticiper», «croire», «estimer», «espérer», «prévoir», «viser», «pouvoir», «planifier», «projeter», «prédire», «devoir» et l utilisation du futur ainsi que les expressions similaires utilisées en lien avec SAP permettent de repérer de telles déclarations prévisionnelles. SAP ne s engage aucunement à publiquement mettre à jour ou revoir ces déclarations prévisionnelles. Toutes les déclarations prévisionnelles dépendent de divers risques et incertitudes qui pourraient modifier les résultats obtenus par rapport aux attentes. Les éléments qui pourraient affecter les futurs résultats financiers sont ouvertement présentés dans les archives SAP de la Securities and Exchange Commission (SEC), notamment dans le dernier rapport annuel SAP (Form 20-F) de la SEC. Nous demandons aux lecteurs de ne pas considérer ces déclarations prévisionnelles comme des vérités. Elles ne sont que le reflet de la situation à la date de leur rédaction. 11

12 Pour en savoir plus : Pour en savoir plus sur les solutions IBM et SAP, consultez : ibm-sap.com Pour plus d informations sur les produits et services SAP, contactez un représentant SAP ou consultez : sap.com Pour plus d informations sur les produits et services IBM, contactez un représentant IBM ou consultez : ibm.com Contacts : IBM Stephan Rosche (stephan. rosche@de. ibm.com) En cas de questions, veuillez contacter le SAP International Competency Center via isicc@de.ibm.com Copyright IBM Corp Tous droits réservés. IBM Deutschland GmbH D Stuttgart ibm.com Produit en Allemagne Décembre 2011 IBM, le logo IBM, ibm.com, i5/os, DB2, Domino, FlashCopy, Lotus, Notes, POWER, POWER4, POWER5, POWER6, System i, System x et Tivoli sont des marques déposées d International Business Machines Corporation aux États- Unis, et/ou dans d autres pays. Si ces marques et d autres marques déposées d IBM sont repérées à leur première occurrence dans cet article par le symbole ( ou TM ), ces derniers indiquent qu elles sont enregistrées aux États-Unis par IBM à la date de la publication de ce document. Ces marques peuvent également exister et éventuellement avoir été enregistrées dans d autres pays. Vous trouverez une liste actualisée des autres marques IBM sur le site : shtml UNIX est une marque enregistrée de The Open Group aux États-Unis et dans d autres pays. Linux est une marque de Linus Torvalds aux États- Unis, et/ou dans d autres pays. Microsoft, Windows, Windows NT et le logo Windows sont des marques de Microsoft Corporation aux États-Unis et/ou dans certains autres pays. Les autres noms de société, de produit ou services peuvent être des marques déposées, ou des marques de services appartenant à un tiers. Cette brochure montre comment les clients d IBM peuvent utiliser IBM et/ou les services/technologies IBM Business Partner. Plusieurs facteurs ont contribué aux résultats et avantages décrits. IBM ne garantie pas des résultats comparables. Toute information contenue dans ce document a été fourni par le(les) client(s) présenté(s) et/ou par les IBM Business Partners. IBM n atteste pas de leur exactitude. Tousles exemples de clients mentionnés représentent la manière dont certains clients ont utilisé les produits d IBM et les résultats qu ils peuvent avoir obtenu. Les coûts environnementaux réels et les caractéristiques de performance varient selon l installation des clients individuels. Cette publication est fournie à titre de conseil uniquement. Les illustrations peuvent représenter des modèles de conception. SPC03379-DEEN-01