L'incident concernant CVE-2025-31324 dans SAP NetWeaver Visual Composer au printemps de cette ann\u00e9e a commenc\u00e9 comme de nombreux messages de s\u00e9curit\u00e9 : comme une remarque technique qui ne semblait concerner que les sp\u00e9cialistes. Quelques jours plus tard, il s'est av\u00e9r\u00e9 que la faille avait \u00e9t\u00e9 exploit\u00e9e \u00e0 grande \u00e9chelle. Le score CVSS de 10 signalait qu'il s'agissait d'une des vuln\u00e9rabilit\u00e9s les plus dangereuses connues dans les syst\u00e8mes ERP ces derni\u00e8res ann\u00e9es.<\/p>\n\n\n\n
Les pirates ont exploit\u00e9 cette faille de mani\u00e8re cibl\u00e9e pour introduire des codes malveillants par le biais de requ\u00eates HTTP pr\u00e9par\u00e9es, pour installer des Webshells et \u00e9tablir ainsi un acc\u00e8s \u00e0 distance \u00e0 long terme - entre autres pour pouvoir acc\u00e9der \u00e0 des donn\u00e9es sensibles. Les syst\u00e8mes concern\u00e9s n'\u00e9taient pas seulement des syst\u00e8mes de production, mais aussi des syst\u00e8mes de test et de d\u00e9veloppement accessibles via Internet. C'est particuli\u00e8rement d\u00e9licat : M\u00eame dans des sc\u00e9narios de cloud, comme dans les environnements Rise, o\u00f9 Visual Composer n'\u00e9tait officiellement pas utilis\u00e9, le composant \u00e9tait install\u00e9 - et le syst\u00e8me \u00e9tait donc th\u00e9oriquement vuln\u00e9rable. Cela montre que les pirates ne se contentent plus depuis longtemps d'attaquer de mani\u00e8re cibl\u00e9e les modules centraux productifs, mais qu'ils utilisent \u00e9galement les composants p\u00e9riph\u00e9riques comme porte d'entr\u00e9e au c\u0153ur de l'environnement ERP.<\/p>\n\n\n\n
Une attaque r\u00e9ussie contre un syst\u00e8me ERP se limite rarement \u00e0 un seul domaine. Dans l'exemple d'une entreprise de production, les lignes de production peuvent \u00eatre arr\u00eat\u00e9es, les livraisons retard\u00e9es, les stocks mal affich\u00e9s ou les commandes mal ex\u00e9cut\u00e9es. Dans le pire des cas, l'incident se propage le long de la cha\u00eene d'approvisionnement - et touche \u00e9galement les partenaires et les clients.<\/p>\n\n\n\n
Dans un monde interconnect\u00e9, la d\u00e9faillance d'un syst\u00e8me ERP peut nuire durablement \u00e0 la r\u00e9putation d'une entreprise. Les entreprises cot\u00e9es en bourse risquent en outre de perdre du terrain si les attaques sont rendues publiques. Les obligations de conformit\u00e9, telles que les d\u00e9lais de notification aux autorit\u00e9s de surveillance, accentuent encore la pression. La s\u00e9curit\u00e9 strat\u00e9gique est donc essentielle.<\/p>\n\n\n\n
Pour de nombreuses entreprises, Rise with SAP est consid\u00e9r\u00e9 comme la cl\u00e9 de la modernisation de l'environnement ERP. L'infrastructure, les correctifs du syst\u00e8me d'exploitation et de la base de donn\u00e9es sont pris en charge par le fournisseur, ce qui lib\u00e8re des ressources. Mais c'est justement l\u00e0 que le b\u00e2t blesse : la responsabilit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 ne s'arr\u00eate pas au bord de la pile du fournisseur.<\/p>\n\n\n\n
Tout ce qui d\u00e9passe l'infrastructure de base, comme les extensions sp\u00e9cifiques aux clients, les r\u00f4les et les autorisations, les interfaces avec les partenaires et les applications externes, est de la responsabilit\u00e9 de l'entreprise.<\/p>\n\n\n\n
Le cas du jour z\u00e9ro illustre le fait que des failles peuvent appara\u00eetre partout et menacer l'ensemble de l'entreprise - m\u00eame dans des domaines qui ne sont pas activement utilis\u00e9s. Si tous les syst\u00e8mes et interfaces ne sont pas r\u00e9guli\u00e8rement contr\u00f4l\u00e9s et corrig\u00e9s, une surface d'attaque inaper\u00e7ue se cr\u00e9e et s'\u00e9tend.<\/p>\n\n\n\n
Dans la pratique, les entreprises misent donc de plus en plus sur des scans de vuln\u00e9rabilit\u00e9 automatis\u00e9s et des solutions de surveillance continue, comme celles propos\u00e9es entre autres par des fournisseurs sp\u00e9cialis\u00e9s comme Onapsis.
De tels outils aident \u00e0 garder un \u0153il sur les environnements de crise, m\u00eame complexes, 24 heures sur 24, tout en soulageant les \u00e9quipes de s\u00e9curit\u00e9 - un facteur important non seulement face \u00e0 des attaques de plus en plus complexes, mais aussi face aux exigences croissantes et \u00e0 la p\u00e9nurie de personnel qualifi\u00e9 dans le domaine de la s\u00e9curit\u00e9 informatique.<\/p>\n\n\n\n
La migration vers Rise with SAP n'est pas seulement un projet techniquement n\u00e9cessaire, c'est aussi l'occasion d'identifier et d'\u00e9liminer les charges h\u00e9rit\u00e9es du pass\u00e9. Cependant, dans la pratique, des syst\u00e8mes complets sont souvent transf\u00e9r\u00e9s \"lift-and-shift\" - y compris des codes personnalis\u00e9s obsol\u00e8tes, des modules inutilis\u00e9s et des interfaces ouvertes.<\/p>\n\n\n\n
Ces sites h\u00e9rit\u00e9s sont une cible attrayante pour les attaquants. Ils contiennent souvent du code connu mais non patch\u00e9, ce qui repr\u00e9sente un risque \u00e9lev\u00e9 pour le syst\u00e8me, leur s\u00e9curisation passe \u00e0 la trappe si l'accent est mis exclusivement sur la nouvelle plate-forme.<\/p>\n\n\n\n
Il est donc essentiel de proc\u00e9der \u00e0 un inventaire approfondi avant que les syst\u00e8mes ne passent au cloud, afin d'obtenir une certaine transparence et d'\u00e9liminer les applications, codes personnalis\u00e9s, interfaces et autres qui ne sont pas (ou plus) utilis\u00e9s. Les outils d'inventaire et d'analyse aident les \u00e9quipes ERP \u00e0 identifier et \u00e0 hi\u00e9rarchiser les risques potentiels avant qu'ils ne deviennent des points faibles.<\/p>\n\n\n\n
Les syst\u00e8mes ERP sont de plus en plus cibl\u00e9s par la cybercriminalit\u00e9 organis\u00e9e. Outre les attaques cibl\u00e9es men\u00e9es par des pirates agissant \u00e0 titre priv\u00e9 ou par des groupes soutenus par l'\u00c9tat, les campagnes de ransomware, qui paralysent de mani\u00e8re cibl\u00e9e les processus commerciaux afin d'\u00e9tayer les demandes de ran\u00e7on, se multiplient.<\/p>\n\n\n\n
Les attaquants misent de plus en plus souvent sur des combinaisons : Ils commencent par exemple par cr\u00e9er un acc\u00e8s initial via une faille non corrig\u00e9e, puis \u00e9tendent les autorisations, siphonnent les donn\u00e9es et - souvent des semaines plus tard - chiffrent les syst\u00e8mes. Cette approche progressive rend la d\u00e9tection plus difficile et augmente les dommages.<\/p>\n\n\n\n
Dans le pire des cas, l'attaque n'est remarqu\u00e9e qu'au moment du cryptage. Ensuite, lorsqu'il est d\u00e9j\u00e0 trop tard et que des informations sensibles ont d\u00e9j\u00e0 circul\u00e9.
Les informations actuelles sur les menaces provenant de laboratoires de recherche sp\u00e9cialis\u00e9s, tels que les Onapsis Research Labs, peuvent aider \u00e0 identifier rapidement les nouveaux mod\u00e8les d'attaque et \u00e0 prendre des contre-mesures avant que des dommages ne soient caus\u00e9s. <\/p>\n\n\n\n
Ils fournissent des informations compl\u00e8tes et en temps r\u00e9el sur leurs observations et proposent des recommandations d'action afin de prot\u00e9ger au mieux les entreprises et leurs syst\u00e8mes ERP.
Les failles de s\u00e9curit\u00e9 telles que la faille zero-day esquiss\u00e9e au d\u00e9but de l'article illustrent l'importance des temps de r\u00e9action rapides. Les attaquants commencent souvent \u00e0 rechercher des syst\u00e8mes vuln\u00e9rables quelques heures seulement apr\u00e8s la publication des d\u00e9tails de l'exploit.<\/p>\n\n\n\n
Les entreprises qui consacrent trop de temps aux tests, aux validations et donc aux correctifs augmentent ainsi consid\u00e9rablement leurs risques. L'automatisation joue ici un r\u00f4le cl\u00e9. Les solutions automatis\u00e9es peuvent prioriser les correctifs et les changements de configuration, analyser les d\u00e9pendances et documenter la mise en \u0153uvre - ce qui non seulement augmente la vitesse, mais soutient \u00e9galement les exigences d'audit. En p\u00e9riode de ressources humaines limit\u00e9es, cet all\u00e8gement est \u00e9galement un avantage d\u00e9cisif.<\/p>\n\n\n\n
Les volumes de donn\u00e9es dans les environnements Rise ou ERP hybrides sont \u00e9normes. Sans analyse intelligente, il est facile de cr\u00e9er un \"bruit\" dans lequel les vraies menaces se perdent. Les processus d'analyse automatis\u00e9s correspondants peuvent identifier des mod\u00e8les qui seraient \u00e0 peine visibles manuellement - par exemple des mod\u00e8les d'acc\u00e8s inhabituels \u00e0 certaines tables ou une accumulation soudaine d'\u00e9checs de connexion provenant de r\u00e9gions g\u00e9ographiquement \u00e9loign\u00e9es. Des fournisseurs comme Onapsis combinent de telles fonctions d'analyse avec des informations sur les menaces provenant de leurs propres laboratoires de recherche. Cela permet d'\u00e9valuer les anomalies d\u00e9tect\u00e9es non seulement sur le plan technique, mais aussi dans le contexte des campagnes d'attaque actuelles. Il est ainsi possible de d\u00e9terminer plus rapidement si un incident est isol\u00e9 ou s'il fait partie d'une vague d'attaques plus importante et coordonn\u00e9e.<\/p>\n\n\n\n
Par exemple, si un groupe chimique mondial constate qu'une interface ERP vers un syst\u00e8me de laboratoire est connect\u00e9e \u00e0 Internet sans protection, cela peut non seulement mettre en danger les processus de production, mais aussi enfreindre les r\u00e9glementations environnementales. Une entreprise commerciale dont l'ERP en nuage est accessible via des points d'acc\u00e8s API non s\u00e9curis\u00e9s risque non seulement de subir des pertes financi\u00e8res, mais aussi d'entacher sa r\u00e9putation \u00e0 long terme. De tels sc\u00e9narios sont r\u00e9alistes - et \u00e9vitables.<\/p>\n\n\n\n
De plus, les exigences r\u00e9glementaires telles que la directive NIS2 de l'Union europ\u00e9enne, les normes de s\u00e9curit\u00e9 sp\u00e9cifiques au secteur et les normes internationales augmentent la pression pour prot\u00e9ger de mani\u00e8re fiable les syst\u00e8mes ERP et les donn\u00e9es sensibles. Agir de mani\u00e8re proactive dans ce domaine permet non seulement de r\u00e9duire le risque d'amendes, mais aussi de cr\u00e9er en m\u00eame temps une architecture de s\u00e9curit\u00e9 r\u00e9sistante.<\/p>\n\n\n\n
Ces cadres de conformit\u00e9 agissent comme un catalyseur : ils obligent les organisations \u00e0 documenter leurs processus de s\u00e9curit\u00e9, \u00e0 d\u00e9finir les responsabilit\u00e9s et \u00e0 proc\u00e9der \u00e0 des contr\u00f4les r\u00e9guliers. Mais cela ne suffit pas \u00e0 prot\u00e9ger. Si les audits ne sont remplis que formellement, alors que des failles de s\u00e9curit\u00e9 r\u00e9elles subsistent, une s\u00e9curit\u00e9 illusoire est cr\u00e9\u00e9e. Il est donc essentiel d'adopter une approche int\u00e9gr\u00e9e qui int\u00e8gre les exigences de conformit\u00e9 et les mesures de protection techniques - soutenues par des contr\u00f4les continus et automatis\u00e9s.<\/p>\n\n\n\n
La s\u00e9curit\u00e9 ERP ne doit pas \u00eatre r\u00e9duite \u00e0 l'application de patchs. Il est n\u00e9cessaire d'\u00e9tablir un processus continu : des inventaires et des \u00e9valuations r\u00e9guliers, des analyses de risques, des formations ainsi qu'une \u00e9troite collaboration entre les services informatiques et les services sp\u00e9cialis\u00e9s. Les mod\u00e8les de cloud computing comme Rise with SAP n'y changent rien. Au contraire : ils exigent que les processus de s\u00e9curit\u00e9 fonctionnent sans faille au-del\u00e0 des fronti\u00e8res de l'entreprise - du fournisseur aux partenaires externes en passant par les \u00e9quipes informatiques internes. Seuls ceux qui abordent leur s\u00e9curit\u00e9 ERP de mani\u00e8re proactive et strat\u00e9gique, avec le soutien d'une automatisation moderne et d'une Threat Intelligence fond\u00e9e, peuvent rester capables d'agir dans une situation de menace telle qu'elle est omnipr\u00e9sente aujourd'hui.<\/p>\n\n\n\n
Une r\u00e9cente faille SAP Zero Day montre \u00e0 quelle vitesse les syst\u00e8mes ERP sont pris pour cible. Les entreprises doivent assurer la s\u00e9curit\u00e9, la conformit\u00e9 et les mod\u00e8les de cloud comme Rise de mani\u00e8re strat\u00e9gique - du patching \u00e0 la surveillance en passant par une r\u00e9partition claire des responsabilit\u00e9s. <\/p>","protected":false},"author":5745,"featured_media":155994,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[44298,44297],"tags":[],"coauthors":[44307],"class_list":["post-155993","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-extra-2510","category-mag-25-10","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"
Eine aktuelle SAP-Zero-Day-Schwachstelle zeigt, wie schnell ERP-Systeme ins Visier geraten. Unternehmen m\u00fcssen Sicherheit, Compliance und Cloud-Modelle wie Rise strategisch absichern \u2013 von Patching \u00fcber Monitoring bis zur klaren Verantwortungsverteilung. <\/p>\n","category_list_v2":"Extra 2510<\/a>, MAG 25-10<\/a>","author_info_v2":{"name":"Volker Eschenbaecher, Onapsis","url":"https:\/\/e3mag.com\/fr\/author\/volker-eschenbaecher\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/155993","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/5745"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=155993"}],"version-history":[{"count":11,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/155993\/revisions"}],"predecessor-version":[{"id":156459,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/155993\/revisions\/156459"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/155994"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=155993"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=155993"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=155993"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=155993"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}