Interfaces SAP : utilisation interdite

Je vais prendre le temps de consulter la mise à jour de la note SAP 3255746 – „ Utilisation non autorisée des API de réplication de données ODP “ du 13 avril 2026. 

Note SAP 3255746

Un retour en arrière permet de voir les différentes étapes qui ont conduit à la version actuelle de la note SAP 3255746 : la première version de la note SAP 3255746 a été publiée le 17 octobre 2022. Elle stipulait notamment : „ L'utilisation des modules RFC de l'API de réplication de données ODP dans des applications client ou tierces n'est pas prise en charge par SAP. Ces modules fonctionnels sont exclusivement destinés aux applications internes de SAP. Comme ils ne sont ni validés ni documentés, ils peuvent être modifiés à tout moment par SAP sans préavis. Les applications des clients ou des partenaires qui utilisent ces modules fonctionnels ne respectent pas les recommandations de SAP en matière d’architecture durable et critique pour l’entreprise. Tout problème survenant ou causé par de telles applications relève de la responsabilité du client, et SAP ne fournit aucune assistance pour y remédier. En octobre 2022, SAP a essentiellement renvoyé à l’article d’aide “ Extraction de données basée sur ODP via OData » comme solution.

Le 2 février 2024, SAP a ensuite considérablement modifié le texte. La version 4 de la note, telle qu'elle figurait à l'époque, stipulait alors : L'utilisation de modules RFC de l'API de réplication des données d'Operational Data Provisioning (ODP) par des applications client ou tierces pour accéder à des sources SAP ABAP (sur site ou Cloud Private Edition) n'est pas autorisée par SAP. Ces modules sont exclusivement destinés aux applications internes de SAP et peuvent être modifiés à tout moment par SAP sans préavis. La solution proposée est restée inchangée lors de cette mise à jour. La version V10 a ensuite été publiée le 13 avril 2026, puis légèrement modifiée le 21 avril. À cette occasion, SAP annonce, à l’occasion du Patch Day du 9 juin 2026, son intention de bloquer techniquement l’utilisation non autorisée des interfaces. Ce blocage est justifié par des risques de sécurité considérables. La note propose désormais la solution suivante : les clients peuvent, comme décrit dans la documentation, examiner des alternatives pour le transfert de données vers des applications tierces, parmi lesquelles figurent notamment SAP Business Data Cloud (BDC) ou l’API ODP-OData (extraction de données basée sur ODP via OData). La date limite de rédaction pour la publication de cet article en juillet 2026 étant antérieure au 9 juin 2026, je ne souhaite pas spéculer davantage ici sur l’impact qu’ont pu avoir les correctifs de sécurité annoncés sur les exportations de données des différents clients SAP.

Quelle pertinence pour le niveau de la direction ?

Une chose est sûre cependant : l’utilisation de l’API ODP-RFC par des applications clients et tierces, déclarée „ interdite “ depuis février 2024, s’est considérablement répandue chez les clients SAP à travers le monde. Certains rapports réglementaires dépendent en partie de l’exportation interdite de données SAP via cette interface. Les processus financiers et de gouvernance, ainsi que les rapports de résultats des entreprises cotées en bourse, sont également susceptibles d’être affectés par ce blocage.

Ainsi, l'annonce d'un blocage technique de l'interface pour les applications non autorisées, imposé par un correctif de sécurité, ne constitue pas un problème technique relevant du service informatique. Cela concerne directement les membres du directoire et des organes de surveillance, qui sont responsables de la bonne communication des informations par l'entreprise. Au final, c'est comme pour le béton : tout dépend de ce qu'on en fait.

Les solutions proposées par SAP méritent d'être saluées à leur juste valeur. Mais d’après ce que j’ai pu constater, les solutions SAP ne sont jamais tout noir ou tout blanc, et je ne connais aucun client qui ait par exemple souscrit une licence pour le Business Data Cloud pour l’ensemble de ses données SAP. En revanche, je connais plusieurs clients pour lesquels les débits de données atteignables lors de l’utilisation de l’API ODP-ODATA sont loin d’être suffisants.

Conclusion : tout est dans le mélange

Ma recommandation aux clients SAP est la suivante, et cela s'est encore renforcé depuis les annonces faites lors des conférences Sapphire à Orlando et à Madrid : sans BDC, les clients SAP ne pourront pas aller de l'avant. Mais : les clients SAP ne pourront pas ou ne voudront pas se permettre d’utiliser le BDC pour toutes leurs données SAP. En particulier, il me semble que le BDC, en tant que simple outil d’exportation de données SAP vers d’autres systèmes, constitue un gaspillage de ressources. Pour ceux qui souhaitent désormais exploiter ces données SAP en dehors de l’environnement SAP, pour lesquelles le BDC n’est pas encore utilisé et ne doit pas l’être, il existe une solution fiable et économique qui respecte le principe du « Clean Core ». (Source : Mehr.Sale)