{"id":36124,"date":"2024-10-29T22:43:36","date_gmt":"2024-10-29T17:13:36","guid":{"rendered":"https:\/\/www.tjc-group.com\/?post_type=blog&p=36124"},"modified":"2024-11-23T06:18:03","modified_gmt":"2024-11-23T00:48:03","slug":"faut-il-appliquer-la-derogation-nis2-aux-systemes-legacy-sap","status":"publish","type":"blog","link":"https:\/\/www.tjc-group.com\/fr\/blogs\/faut-il-appliquer-la-derogation-nis2-aux-systemes-legacy-sap\/","title":{"rendered":"Faut-il appliquer la d\u00e9rogation NIS2 aux syst\u00e8mes legacy SAP ?"},"content":{"rendered":"\n

Auteur : Thierry Julien, PDG et fondateur, TJC Group<\/em><\/a><\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

Le 17 octobre, la Commission europ\u00e9enne a d\u00e9voil\u00e9 une section suppl\u00e9mentaire, connue sous le nom d'”annexe”, \u00e0 son r\u00e8glement d’ex\u00e9cution r\u00e9gissant la mise en \u0153uvre de la directive (UE) 2022\/2555<\/a>.La directive NIS2 est une loi de l’Union europ\u00e9enne (UE) qui vise \u00e0 am\u00e9liorer la cybers\u00e9curit\u00e9 dans la r\u00e9gion. En termes simples, les entreprises telles que les fournisseurs de services de cloud computing doivent se conformer aux exigences mises \u00e0 jour dans le cadre de la directive NIS2 r\u00e9vis\u00e9e<\/a>.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Le NIS2 s’applique aux entit\u00e9s des secteurs public et priv\u00e9 qui fournissent certains services ou infrastructures critiques, qui sont des entreprises de taille moyenne ou grande et qui fournissent leurs services ou exercent leurs activit\u00e9s dans l’UE.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Le paragraphe 6.6 de l’annexe susmentionn\u00e9e traite de la gestion des correctifs de s\u00e9curit\u00e9. Il n’est pas surprenant que le paragraphe 6.6.1 mentionne que ces correctifs doivent, lorsqu’ils sont disponibles, \u00eatre appliqu\u00e9s assez rapidement, \u00e0 partir de sources fiables et apr\u00e8s avoir \u00e9t\u00e9 test\u00e9s au pr\u00e9alable. S’ils ne sont pas disponibles, des solutions de contournement doivent \u00eatre appliqu\u00e9es. Ce qui est int\u00e9ressant, c’est le deuxi\u00e8me paragraphe (6.6.2), que je cite textuellement :<\/p>\n\n\n\n

“<\/em>Par d\u00e9rogation au point 6.6.1. a), les entit\u00e9s concern\u00e9es peuvent choisir de ne pas <\/em> <\/p>\n\n\n\n

appliquer des correctifs de s\u00e9curit\u00e9 lorsque les inconv\u00e9nients de l’application des correctifs de s\u00e9curit\u00e9<\/em> <\/p>\n\n\n\n

l’emportent sur les avantages en mati\u00e8re de cybers\u00e9curit\u00e9. Les entit\u00e9s concern\u00e9es doivent d\u00fbment documenter et <\/em> <\/p>\n\n\n\n

justifier les raisons d’une telle d\u00e9cision<\/em>.”<\/em> <\/p>\n\n\n\n

Quand cette d\u00e9rogation peut-elle s’appliquer ? <\/h3>\n\n\n\n

Certains soutiennent que la continuit\u00e9 du service peut \u00eatre un argument dans le contexte de la gestion du risque NIS2. Cependant, le paragraphe 6.6.1 ne demande pas un correctif imm\u00e9diat, mais une approche raisonnablement rapide et test\u00e9e. Par cons\u00e9quent, la continuit\u00e9 du service ne devrait pas n\u00e9cessiter de d\u00e9rogation.<\/p>\n\n\n\n

<\/p>\n\n\n\n

D’autres supposeront des d\u00e9pendances de syst\u00e8mes critiques, o\u00f9 un correctif dans un syst\u00e8me peut avoir des cons\u00e9quences plus importantes (pensez aux industries de l’\u00e9nergie, des soins de sant\u00e9 et des transports). Un bon exemple pourrait \u00eatre la vuln\u00e9rabilit\u00e9 Meltdown en 2018 (CVE-2017-5754) affectant les processeurs. La raison pour laquelle le correctif n’a pas \u00e9t\u00e9 appliqu\u00e9 \u00e9tait une baisse significative des performances (5 \u00e0 30 %) dans certaines applications (comme dans la recherche ou la finance). Nous pourrions \u00e9galement penser \u00e0 la mise \u00e0 jour de Windows 10 (KB4524244) en 2020.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Un autre exemple dont la plupart d’entre nous ont entendu parler est l’incapacit\u00e9 de Windows XP \u00e0 corriger d’innombrables dispositifs m\u00e9dicaux. Alors que Microsoft a officiellement mis fin au support de Windows XP en 2014, nombre de ces appareils sont rest\u00e9s op\u00e9rationnels en raison de leur co\u00fbt \u00e9lev\u00e9 et de la longueur des cycles de remplacement. Non seulement l’application de correctifs sur ces syst\u00e8mes pourrait les rendre hors d’usage (avec un risque potentiel pour la vie des patients), mais ces correctifs pourraient \u00e9galement invalider les certifications r\u00e9glementaires.<\/p>\n\n\n\n

S’agit-il d’un bar ouvert aux vuln\u00e9rabilit\u00e9s ? <\/h3>\n\n\n\n

Il est assez facile de dresser une liste des violations de donn\u00e9es dues, ou partiellement dues, \u00e0 un manque de correctifs. Un cas c\u00e9l\u00e8bre est la violation de donn\u00e9es \u00e0 Equifax<\/a> qui a commenc\u00e9 le 12 mai 2017, quand Equifax n’avait pas encore mis \u00e0 jour son site web de contestation de cr\u00e9dit avec la nouvelle version de struts. <\/p>\n\n\n\n

<\/p>\n\n\n\n

La possibilit\u00e9 de d\u00e9rogation ne donne pas un laissez-passer, mais plut\u00f4t une approche structur\u00e9e dans laquelle les entit\u00e9s doivent \u00e9valuer, documenter et justifier les d\u00e9cisions de ne pas appliquer des correctifs sp\u00e9cifiques.<\/p>\n\n\n\n

<\/p>\n\n\n\n

En outre, NIS2 n’est pas la seule r\u00e9glementation \u00e0 prendre en compte. Prenons un seul exemple. Le RGPD, par exemple : bien qu’il n’oblige pas les organisations \u00e0 appliquer tous les correctifs, il impose une norme \u00e9lev\u00e9e en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel. Sous RGPD, si le fait de ne pas appliquer un correctif entra\u00eene une violation des donn\u00e9es, l’organisation peut \u00eatre confront\u00e9e \u00e0 des cons\u00e9quences juridiques. Les r\u00e9gulateurs peuvent interpr\u00e9ter le fait de ne pas appliquer de correctifs sur des vuln\u00e9rabilit\u00e9s critiques – en particulier si elles \u00e9taient connues et n’ont pas \u00e9t\u00e9 corrig\u00e9es – comme un manquement \u00e0 l’obligation de prot\u00e9ger les donn\u00e9es \u00e0 caract\u00e8re personnel (article 32 – S\u00e9curit\u00e9 du traitement).<\/p>\n\n\n\n

Cela s’applique-t-il aux syst\u00e8mes legacy de SAP ? <\/h3>\n\n\n\n

Oui, c’est peut-\u00eatre une question \u00e9trange \u00e0 poser, car les syst\u00e8mes ERP SAP \u00e9taient, et sont toujours, au c\u0153ur des syst\u00e8mes informatiques int\u00e9gr\u00e9s de la plupart des grandes entreprises dans le monde.<\/p>\n\n\n\n

Tout d’abord, les syst\u00e8mes legacy SAP doivent \u00eatre conserv\u00e9s pour des raisons de contr\u00f4le fiscal, m\u00eame en cas de transition vers S\/4HANA par le biais d’une migration “lift and shift” (brownfield). En outre, la conservation de donn\u00e9es commerciales historiques d\u00e9taill\u00e9es peut s’av\u00e9rer pr\u00e9cieuse, car elle fournit des \u00e9l\u00e9ments essentiels pour les mod\u00e8les d’intelligence artificielle. Pourtant, de nombreux syst\u00e8mes SAP sont des syst\u00e8mes legacy non corrig\u00e9s. Pourquoi ? J’ai entendu toutes sortes de justifications, telles que…<\/p>\n\n\n\n