Onapsis lance une solution de patching virtuel pour SAP

Onapsis vient d’annoncer le lancement, en phase expérimentale privée, d’une fonctionnalité de patching virtuel pour SAP. Dans un entretien avec la rédaction, Alex Horan, chef de produit chez l’éditeur, explique qu’Onapsis entend ainsi répondre aux contraintes des entreprises : les progiciels de gestion servent souvent de support à des processus critiques ; les mises à niveau ou les applications de correctifs ne surviennent que de manière extrêmement planifiée, souvent à des intervalles trop espacés pour garantir une remédiation rapide d’éventuelles vulnérabilités identifiées à l’occasion d’analyses effectuées grâce à la plateforme dédiée d’Onapsis. Sans compter des efforts plus concentrés sur la disponibilité que sur la sécurité.

Et il y a de quoi être préoccupé. Juan Pablo Perez Etchegoyen, directeur technique de l’éditeur, indiquait, lors d’un entretien récent, que « chez chacun de nos nouveaux clients, nous découvrons des systèmes SAP qui ne sont pas correctement administrés et tendent à être exposés, du fait de vulnérabilités non corrigées, ou encore de défauts de configuration ».

La fonctionnalité de patching virtuel de la plateforme d’Onapsis se nourrit des alertes et des correctifs de sécurité de SAP. Elle assure la création de règles de contrôle ad hoc pour les pare-feu et autres équipements réseau de sécurité chargés de la protection de l’infrastructure. Onapsis indique collaborer pour cela avec les principaux équipementiers du marché.

Alex Horan souligne en outre la capacité de l’éditeur à tenir compte des spécificités de configuration et de personnaliser des systèmes SAP ajuster au plus près leur protection, le tout de manière sélection, en ciblant uniquement les connexions provenant depuis des réseaux considérés comme non fiables.

Pour l’heure, la fonction de patching virtuel n’est expérimentée qu’auprès de certains clients d’Onapsis. L’éditeur ne précise pas de calendrier quant à la généralisation de sa disponibilité.