Information et éducation par et pour la communauté SAP
Extra 2510, MAG 25-10

Les systèmes ERP dans la ligne de mire

Une récente faille SAP Zero Day montre à quelle vitesse les systèmes ERP sont pris pour cible. Les entreprises doivent assurer la sécurité, la conformité et les modèles de cloud comme Rise de manière stratégique - du patching à la surveillance en passant par une répartition claire des responsabilités.
Volker Eschenbaecher, Onapsis
16 octobre 2025
Contenu :
avatar
Ce texte a été automatiquement traduit en français de l'allemand

L'incident concernant CVE-2025-31324 dans SAP NetWeaver Visual Composer au printemps de cette année a commencé comme de nombreux messages de sécurité : comme une remarque technique qui ne semblait concerner que les spécialistes. Quelques jours plus tard, il s'est avéré que la faille avait été exploitée à grande échelle. Le score CVSS de 10 signalait qu'il s'agissait d'une des vulnérabilités les plus dangereuses connues dans les systèmes ERP ces dernières années.

Requêtes HTTP préparées

Les pirates ont exploité cette faille de manière ciblée pour introduire des codes malveillants par le biais de requêtes HTTP préparées, pour installer des Webshells et établir ainsi un accès à distance à long terme - entre autres pour pouvoir accéder à des données sensibles. Les systèmes concernés n'étaient pas seulement des systèmes de production, mais aussi des systèmes de test et de développement accessibles via Internet. C'est particulièrement délicat : Même dans des scénarios de cloud, comme dans les environnements Rise, où Visual Composer n'était officiellement pas utilisé, le composant était installé - et le système était donc théoriquement vulnérable. Cela montre que les pirates ne se contentent plus depuis longtemps d'attaquer de manière ciblée les modules centraux productifs, mais qu'ils utilisent également les composants périphériques comme porte d'entrée au cœur de l'environnement ERP.

Une attaque réussie contre un système ERP se limite rarement à un seul domaine. Dans l'exemple d'une entreprise de production, les lignes de production peuvent être arrêtées, les livraisons retardées, les stocks mal affichés ou les commandes mal exécutées. Dans le pire des cas, l'incident se propage le long de la chaîne d'approvisionnement - et touche également les partenaires et les clients.

Dans un monde interconnecté, la défaillance d'un système ERP peut nuire durablement à la réputation d'une entreprise. Les entreprises cotées en bourse risquent en outre de perdre du terrain si les attaques sont rendues publiques. Les obligations de conformité, telles que les délais de notification aux autorités de surveillance, accentuent encore la pression. La sécurité stratégique est donc essentielle.

Les limites de la confiance dans le cloud

Pour de nombreuses entreprises, Rise with SAP est considéré comme la clé de la modernisation de l'environnement ERP. L'infrastructure, les correctifs du système d'exploitation et de la base de données sont pris en charge par le fournisseur, ce qui libère des ressources. Mais c'est justement là que le bât blesse : la responsabilité en matière de sécurité ne s'arrête pas au bord de la pile du fournisseur.

Tout ce qui dépasse l'infrastructure de base, comme les extensions spécifiques aux clients, les rôles et les autorisations, les interfaces avec les partenaires et les applications externes, est de la responsabilité de l'entreprise.

Cas zéro jour

Le cas du jour zéro illustre le fait que des failles peuvent apparaître partout et menacer l'ensemble de l'entreprise - même dans des domaines qui ne sont pas activement utilisés. Si tous les systèmes et interfaces ne sont pas régulièrement contrôlés et corrigés, une surface d'attaque inaperçue se crée et s'étend.

Dans la pratique, les entreprises misent donc de plus en plus sur des scans de vulnérabilité automatisés et des solutions de surveillance continue, comme celles proposées entre autres par des fournisseurs spécialisés comme Onapsis.
De tels outils aident à garder un œil sur les environnements de crise, même complexes, 24 heures sur 24, tout en soulageant les équipes de sécurité - un facteur important non seulement face à des attaques de plus en plus complexes, mais aussi face aux exigences croissantes et à la pénurie de personnel qualifié dans le domaine de la sécurité informatique.

La migration vers Rise with SAP n'est pas seulement un projet techniquement nécessaire, c'est aussi l'occasion d'identifier et d'éliminer les charges héritées du passé. Cependant, dans la pratique, des systèmes complets sont souvent transférés "lift-and-shift" - y compris des codes personnalisés obsolètes, des modules inutilisés et des interfaces ouvertes.

Les sites contaminés en ligne de mire

Ces sites hérités sont une cible attrayante pour les attaquants. Ils contiennent souvent du code connu mais non patché, ce qui représente un risque élevé pour le système, leur sécurisation passe à la trappe si l'accent est mis exclusivement sur la nouvelle plate-forme.

Il est donc essentiel de procéder à un inventaire approfondi avant que les systèmes ne passent au cloud, afin d'obtenir une certaine transparence et d'éliminer les applications, codes personnalisés, interfaces et autres qui ne sont pas (ou plus) utilisés. Les outils d'inventaire et d'analyse aident les équipes ERP à identifier et à hiérarchiser les risques potentiels avant qu'ils ne deviennent des points faibles.

Environnement à haut risque ERP

Les systèmes ERP sont de plus en plus ciblés par la cybercriminalité organisée. Outre les attaques ciblées menées par des pirates agissant à titre privé ou par des groupes soutenus par l'État, les campagnes de ransomware, qui paralysent de manière ciblée les processus commerciaux afin d'étayer les demandes de rançon, se multiplient.

Les attaquants misent de plus en plus souvent sur des combinaisons : Ils commencent par exemple par créer un accès initial via une faille non corrigée, puis étendent les autorisations, siphonnent les données et - souvent des semaines plus tard - chiffrent les systèmes. Cette approche progressive rend la détection plus difficile et augmente les dommages.

Dans le pire des cas, l'attaque n'est remarquée qu'au moment du cryptage. Ensuite, lorsqu'il est déjà trop tard et que des informations sensibles ont déjà circulé.
Les informations actuelles sur les menaces provenant de laboratoires de recherche spécialisés, tels que les Onapsis Research Labs, peuvent aider à identifier rapidement les nouveaux modèles d'attaque et à prendre des contre-mesures avant que des dommages ne soient causés.

Ils fournissent des informations complètes et en temps réel sur leurs observations et proposent des recommandations d'action afin de protéger au mieux les entreprises et leurs systèmes ERP.
Les failles de sécurité telles que la faille zero-day esquissée au début de l'article illustrent l'importance des temps de réaction rapides. Les attaquants commencent souvent à rechercher des systèmes vulnérables quelques heures seulement après la publication des détails de l'exploit.

Les entreprises qui consacrent trop de temps aux tests, aux validations et donc aux correctifs augmentent ainsi considérablement leurs risques. L'automatisation joue ici un rôle clé. Les solutions automatisées peuvent prioriser les correctifs et les changements de configuration, analyser les dépendances et documenter la mise en œuvre - ce qui non seulement augmente la vitesse, mais soutient également les exigences d'audit. En période de ressources humaines limitées, cet allègement est également un avantage décisif.

Suivi et analyse

Les volumes de données dans les environnements Rise ou ERP hybrides sont énormes. Sans analyse intelligente, il est facile de créer un "bruit" dans lequel les vraies menaces se perdent. Les processus d'analyse automatisés correspondants peuvent identifier des modèles qui seraient à peine visibles manuellement - par exemple des modèles d'accès inhabituels à certaines tables ou une accumulation soudaine d'échecs de connexion provenant de régions géographiquement éloignées. Des fournisseurs comme Onapsis combinent de telles fonctions d'analyse avec des informations sur les menaces provenant de leurs propres laboratoires de recherche. Cela permet d'évaluer les anomalies détectées non seulement sur le plan technique, mais aussi dans le contexte des campagnes d'attaque actuelles. Il est ainsi possible de déterminer plus rapidement si un incident est isolé ou s'il fait partie d'une vague d'attaques plus importante et coordonnée.

La conformité comme moteur

Par exemple, si un groupe chimique mondial constate qu'une interface ERP vers un système de laboratoire est connectée à Internet sans protection, cela peut non seulement mettre en danger les processus de production, mais aussi enfreindre les réglementations environnementales. Une entreprise commerciale dont l'ERP en nuage est accessible via des points d'accès API non sécurisés risque non seulement de subir des pertes financières, mais aussi d'entacher sa réputation à long terme. De tels scénarios sont réalistes - et évitables.

De plus, les exigences réglementaires telles que la directive NIS2 de l'Union européenne, les normes de sécurité spécifiques au secteur et les normes internationales augmentent la pression pour protéger de manière fiable les systèmes ERP et les données sensibles. Agir de manière proactive dans ce domaine permet non seulement de réduire le risque d'amendes, mais aussi de créer en même temps une architecture de sécurité résistante.

Ces cadres de conformité agissent comme un catalyseur : ils obligent les organisations à documenter leurs processus de sécurité, à définir les responsabilités et à procéder à des contrôles réguliers. Mais cela ne suffit pas à protéger. Si les audits ne sont remplis que formellement, alors que des failles de sécurité réelles subsistent, une sécurité illusoire est créée. Il est donc essentiel d'adopter une approche intégrée qui intègre les exigences de conformité et les mesures de protection techniques - soutenues par des contrôles continus et automatisés.

Conclusion : la proactivité comme principe directeur

La sécurité ERP ne doit pas être réduite à l'application de patchs. Il est nécessaire d'établir un processus continu : des inventaires et des évaluations réguliers, des analyses de risques, des formations ainsi qu'une étroite collaboration entre les services informatiques et les services spécialisés. Les modèles de cloud computing comme Rise with SAP n'y changent rien. Au contraire : ils exigent que les processus de sécurité fonctionnent sans faille au-delà des frontières de l'entreprise - du fournisseur aux partenaires externes en passant par les équipes informatiques internes. Seuls ceux qui abordent leur sécurité ERP de manière proactive et stratégique, avec le soutien d'une automatisation moderne et d'une Threat Intelligence fondée, peuvent rester capables d'agir dans une situation de menace telle qu'elle est omniprésente aujourd'hui.

avatar
Volker Eschenbaecher, Onapsis


Tous les articles de l'auteur

Écrire un commentaire

Le choix stratégique du partenaire est décisif

Innovations au salon SAP Connect de Las Vegas

Focus sur SAP EWM sur S/4 Hana

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

Abonnés au magazine E3 Ticket

à prix réduit avec le Promocode STAbo26

Étudiants*

à prix réduit avec le Promocode CCStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
EUR 390 hors TVA
disponible jusqu'au 30 novembre 2025
EUR 590 hors TVA
EUR 390 hors TVA
EUR 290 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet d'entrée anticipé
Billet régulier
EUR 390 hors TVA
disponible jusqu'au 30.11.2025
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.