Pourquoi les systèmes SAP ont besoin de toute urgence d'une cybersécurité accrue

Les incidents de ransomware à eux seuls ont été multipliés par cinq depuis 2021, et l'augmentation des discussions sur le dark web concernant les vulnérabilités SAP est tout aussi importante. Rien d'étonnant à cela : avec plus de 400 000 clients représentant près de 90 % du volume du commerce mondial, les paysages SAP sont une cible rentable pour les exploits à motivation financière. C'est là que sont gérés les "joyaux de la couronne" des données de l'entreprise, entre autres les plans de construction et les recettes, les résultats financiers confidentiels et les stratégies de prix, les données de cartes de crédit et les données RH personnelles. SAP sait tout, et sans SAP, rien ne va généralement. Peu importe que les attaquants cherchent à voler du savoir-faire, à manipuler les finances, à négocier des données volées ou à obtenir une rançon : Les fuites de sécurité dans les systèmes SAP peuvent toucher les entreprises au cœur. 

Pourtant, dans de nombreuses entreprises, le système SAP reste un point aveugle sur la carte de la sécurité informatique. Pourquoi les risques liés à la sécurité des ERP sont-ils si massivement sous-estimés ?

Les cyberattaques ne touchent que les grands acteurs. Non ! selon l'"étude Protection économique 2023" de l'association numérique Bitkom, près des trois quarts des entreprises allemandes ont été victimes de la cybercriminalité l'année dernière. Les agresseurs s'organisent en alliances, déploient leurs "services" plus largement et ciblent systématiquement les petites et moyennes entreprises - avec une grande spécialisation et des méthodes affinées. Les tactiques criminelles se professionnalisent de plus en plus, de sorte qu'il faut en moyenne environ six mois pour qu'un incident soit découvert et nettoyé - un temps très long pour les attaquants pour voler des données, manipuler des systèmes et effacer les traces.

Les attestations et les audits suffisent : Non ! Ni les tests des auditeurs ni les audits de sécurité ne peuvent identifier toutes les vulnérabilités et anticiper les futures failles de sécurité. Les nouvelles réglementations légales, comme la mise en œuvre de la directive NIS2 prévue pour fin 2024, contribuent certes de manière importante à harmoniser le niveau de sécurité à un niveau élevé dans toute l'UE. Mais même le respect de toutes les obligations légales ne doit pas donner aux entreprises une sécurité illusoire. Les systèmes ERP sont complexes et difficiles à protéger en raison de leur intégration dans un environnement informatique en réseau - chaque interface augmente le nombre de portes d'entrée potentielles. Le transfert des charges de travail ERP vers le cloud redéfinit également les normes de sécurité. Le fait est qu'il est impossible d'éviter totalement les cyberattaques. Il convient de garder un œil sur les tendances de la cybercriminalité, de traduire les menaces en concepts de sécurité individuels et de garantir une grande rapidité de réaction en cas d'urgence. 

Les attaquants viennent de l'extérieur : oui ! Selon le Data Breach Investigations Report, les initiés sont responsables d'environ un cinquième de tous les incidents de sécurité - pas toujours avec des intentions criminelles, mais souvent en raison de la négligence et du manque de conscience des risques. Avec la démocratisation de l'IA, ce flanc deviendra encore plus vulnérable dans les années à venir. Aujourd'hui déjà, les outils de traduction de l'IA permettent de localiser en quelques secondes les e-mails de phishing au niveau de la langue maternelle, et les générateurs de voix basés sur l'IA produisent des deepfakes trompeurs à partir de bribes de voix pour les appels frauduleux des CEO. 

Selon une enquête menée au sein de la communauté SAP, 45 % des entreprises allemandes estiment que leurs systèmes SAP ne sont pas suffisamment protégés et seules 10 % se sentent très bien préparées pour pouvoir rester opérationnelles en cas d'attaque. Environ un quart d'entre elles n'ont pas encore mis la sécurité informatique à l'ordre du jour. Pourtant, une protection de base solide nécessite avant tout l'utilisation conséquente des ressources technologiques disponibles depuis longtemps.

Correctifs et mises à jour en temps voulu : une gestion contraignante des mises à jour est indispensable pour combler rapidement les failles de sécurité des systèmes sur site. SAP a investi dans la convivialité de l'architecture du système, de sorte que les patchs de sécurité de SAP S/4 Hana peuvent être déployés beaucoup plus facilement.

Cliquez ici pour accéder à l'entrée partenaire :