Information et éducation par et pour la communauté SAP
MAG 15-06, Scène

Des failles de sécurité dans 95% des systèmes SAP

Une étude a identifié les méthodes d'attaque les plus utilisées contre les systèmes SAP. Une grande partie des systèmes SAP analysés présentent des failles qui permettent aux pirates d'accéder à des informations sensibles et d'interrompre des processus d'entreprise importants pour l'entreprise.
Magazine E-3
22 juin 2015
Contenu :
2015
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Onapsis, spécialiste de la sécurité SAP, a identifié les trois modes opératoires les plus courants dans les cyberattaques visant les applications SAP. Ces vecteurs d'attaque exposent à un risque élevé la propriété intellectuelle, les données financières, de cartes de crédit, de clients et de fournisseurs, ainsi que les informations stockées dans les bases de données des plus grandes entreprises mondiales.

Pour leur étude, les Onapsis Research Labs ont examiné des centaines d'installations SAP. 95 % de ces systèmes SAP présentaient des vulnérabilités permettant aux pirates d'obtenir un accès complet aux données et processus commerciaux des entreprises concernées.

18 mois jusqu'à ce qu'un patch soit implémenté

En outre, les chercheurs ont constaté que, pour la plupart des entreprises, il faut 18 mois ou plus pour mettre en œuvre des correctifs pour les vulnérabilités découvertes.

Rien qu'en 2014, SAP a publié 391 correctifs de sécurité, soit plus de 30 par mois en moyenne ! Près de 50 % de ces correctifs ont été classés par SAP comme hautement prioritaires.

Qui est responsable ?

"La cybersécurité SAP n'est pas un sujet suffisamment pris au sérieux par de nombreuses entreprises, car il n'est pas précisé qui en est responsable : l'équipe d'exploitation SAP ou l'équipe de sécurité informatique. Cela nous a vraiment surpris".

déclare Mariano Nunez, PDG et fondateur d'Onapsis.

La plupart des correctifs appliqués ne concernent pas la sécurité, arrivent avec du retard ou ouvrent de nouvelles failles pour le fonctionnement du système SAP. Chaque jour, de nouvelles fuites de données se produisent sans que les Chief Information Security Officers (CISO) en soient informés - parce qu'ils n'ont pas la visibilité de leurs applications SAP.

Les trois attaques SAP les plus fréquentes

  1. Menaces sur les informations relatives aux clients et aux cartes de crédit, qui exploitent les échanges entre les systèmes SAP : Les attaques partent d'un système dont les paramètres de sécurité sont faibles et remontent jusqu'à un système important pour l'entreprise en exécutant des modules fonctionnels contrôlables à distance dans le système cible.
  2. Attaques sur les portails des clients et des fournisseurs : pour ce faire, des utilisateurs de portes dérobées sont créés dans le module de gestion des utilisateurs SAP J2EE. En exploitant une faille, les pirates peuvent accéder aux portails SAP et aux plateformes d'intégration des processus, ainsi qu'aux systèmes internes qui y sont liés.
  3. Attaques sur les bases de données via des protocoles SAP propriétaires : pour cette attaque, des commandes du système d'exploitation sont exécutées avec les droits de certains utilisateurs et des failles dans la passerelle RFC SAP sont exploitées. Le pirate a accès à toute information stockée dans la base de données SAP et peut la modifier.

Conclusion

"La base de données en temps réel Hana aggrave même la situation. Le nombre de nouveaux patchs de sécurité qui concernent spécifiquement cette nouvelle plateforme a augmenté de 450 %.

A cela s'ajoute le fait que Hana, en tant que composant central, est placé au cœur de l'écosystème SAP. Les données stockées dans les plates-formes SAP doivent désormais être protégées à la fois dans le cloud et dans l'entreprise", poursuit Nunez.

 

 

Plan d'action pour les responsables de la sécurité de l'information (CISO)

Les entreprises qui gèrent des processus commerciaux importants via des solutions de la Business Suite doivent absolument suivre les derniers conseils de sécurité SAP. Elles devraient également s'assurer que leurs systèmes sont correctement configurés afin de répondre aux exigences de conformité en vigueur et d'améliorer le niveau de sécurité. Ces activités devraient suivre un plan d'action qui établit la cybersécurité SAP comme partie intégrante de la stratégie et de la feuille de route de l'entreprise :

  • Réaliser la visibilité dans les composants basés sur SAP afin d'identifier les valeurs menacées.
  • Prévenir les problèmes de sécurité et de conformité par une surveillance continue.
  • Identifier les nouvelles menaces, les attaques et les comportements anormaux des utilisateurs en tant qu'indicateurs de risque (Indi- cators of Compromise, IOC) et y répondre par des mesures appropriées.
avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


Tous les articles de l'auteur

Écrire un commentaire

Cybercriminalité, transformation de la main-d'œuvre et IA

10 ans de S/4 : une voiture de course avec le frein à main API serré

L'évolution du directeur financier

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.