{"id":162339,"date":"2026-04-21T15:00:00","date_gmt":"2026-04-21T13:00:00","guid":{"rendered":"https:\/\/e3mag.com\/?p=162339"},"modified":"2026-03-30T16:16:46","modified_gmt":"2026-03-30T14:16:46","slug":"sap-penetration-tests-taches-aveugles-au-coeur-de-linformatique","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/sap-penetration-tests-taches-aveugles-au-coeur-de-linformatique\/","title":{"rendered":"Tests d'intrusion SAP : des points aveugles au c\u0153ur de l'informatique"},"content":{"rendered":"

Le paysage actuel des menaces ne laisse aucun doute : les cyber-attaques sont un danger omnipr\u00e9sent pour les entreprises de toutes tailles. Selon le rapport de situation du BSI sur la s\u00e9curit\u00e9 informatique en Allemagne en 2025, la situation est tendue et -offre aux pirates la possibilit\u00e9 de s'attaquer surtout aux petites et moyennes entreprises en raison de surfaces d'attaque encore trop mal prot\u00e9g\u00e9es. Cette tendance se refl\u00e8te \u00e9galement dans l'environnement SAP : une analyse des avis de s\u00e9curit\u00e9 publi\u00e9s chaque mois montre en 2025 une nette augmentation des vuln\u00e9rabilit\u00e9s, ce qui souligne la surface d'attaque croissante des applications SAP. En r\u00e9ponse \u00e0 cette situation cybern\u00e9tique tendue, la plupart des organisations ont renforc\u00e9 leurs mesures de d\u00e9fense : l'authentification \u00e0 facteurs multiples, les syst\u00e8mes de d\u00e9tection des points finaux et la gestion de la s\u00e9curit\u00e9 de l'information comme exemples de mesures de s\u00e9curit\u00e9 modernes sont connus et font d\u00e9sormais partie du r\u00e9pertoire standard. Mais au milieu de ces efforts, il existe un dangereux point aveugle : l'environnement syst\u00e8me SAP. Alors que le r\u00e9seau et l'infrastructure informatique classique sont m\u00e9ticuleusement contr\u00f4l\u00e9s, le syst\u00e8me qui g\u00e8re les donn\u00e9es financi\u00e8res et personnelles, les plans de production et les informations sur les clients reste souvent une bo\u00eete noire. <\/p>\n\n\n\n

N\u00e9gligence de la s\u00e9curit\u00e9 SAP<\/h2>\n\n\n\n

Les raisons sont g\u00e9n\u00e9ralement d'ordre organisationnel. La s\u00e9curit\u00e9 SAP tombe souvent dans une faille de comp\u00e9tence : L'\u00e9quipe de s\u00e9curit\u00e9 informatique manque de connaissances sp\u00e9cialis\u00e9es sur l'architecture propri\u00e9taire, tandis que l'\u00e9quipe SAP se concentre sur la stabilit\u00e9 plut\u00f4t que sur les simulations d'attaques. A cela s'ajoute un sentiment de s\u00e9curit\u00e9 trompeur qui consid\u00e8re les syst\u00e8mes SAP comme des monolithes internes et cloisonn\u00e9s. Cette hypoth\u00e8se ignore la -r\u00e9alit\u00e9 des paysages modernes interconnect\u00e9s via des services web et des connexions au cloud. Un pentest r\u00e9seau classique ne suffit pas : Les scanners standard ne v\u00e9rifient que la machine h\u00f4te, mais ne comprennent pas la couche d'application SAP complexe avec ses protocoles propri\u00e9taires comme Remote Function Call (RFC) ou Dynamic Information and Action Gateway (DIAG). Si, en outre, les syst\u00e8mes de d\u00e9veloppement, de test ou techniques connect\u00e9s tels que Solution Manager, Focused Run, Governance, Risk and Compliance, etc. sont exclus de la port\u00e9e des tests, un vecteur d'attaque d\u00e9cisif n'est pas pris en compte.<\/p>\n\n\n\n

Vecteurs d'attaque typiques<\/h2>\n\n\n\n

Les types d'attaques contre les syst\u00e8mes SAP peuvent \u00eatre class\u00e9s d'une part dans le cryptage des serveurs dans le but d'extorquer une ran\u00e7on, et d'autre part dans les attaques d'initi\u00e9s. Ces deux modes op\u00e9ratoires sont surtout dangereux en raison de leur rapidit\u00e9 : un rapport d'Onapsis et de SAP montre que les attaques contre les applications SAP critiques sont en augmentation et surviennent souvent dans les 72 heures suivant la publication d'un correctif de s\u00e9curit\u00e9. Les attaquants utilisent toujours des points faibles typiques. Les syst\u00e8mes SAP non patch\u00e9s constituent un vecteur d'attaque particuli\u00e8rement fr\u00e9quent. Bien que SAP publie chaque deuxi\u00e8me mardi du mois des avis de s\u00e9curit\u00e9 dans le cadre du Patch Day, les mises \u00e0 jour ne sont pas appliqu\u00e9es rapidement dans de nombreuses entreprises. Les syst\u00e8mes restent ainsi ouverts aux exploits connus pendant des semaines, voire des mois. Les interfaces RFC insuffisamment s\u00e9curis\u00e9es sont \u00e9galement critiques. Si un syst\u00e8me de d\u00e9veloppement ou de test moins prot\u00e9g\u00e9 est d'abord compromis, les attaquants peuvent acc\u00e9der lat\u00e9ralement aux syst\u00e8mes de production via ces connexions et y ex\u00e9cuter des fonctions. <\/p>\n\n\n\n

\u00c0 cela s'ajoutent des concepts d'autorisation d\u00e9ficients : Il existe encore des utilisateurs standard comme SAP* ou DDIC avec des mots de passe faibles ou inchang\u00e9s, ainsi que des utilisateurs de dialogue ou de syst\u00e8me surprivil\u00e9gi\u00e9s. De tels comptes sont utilis\u00e9s de mani\u00e8re cibl\u00e9e pour \u00e9tendre progressivement les droits jusqu'au contr\u00f4le complet du syst\u00e8me. Le code personnalis\u00e9 non s\u00e9curis\u00e9 constitue \u00e9galement une porte d'entr\u00e9e, par exemple en raison de l'absence de contr\u00f4les d'autorisation ou de la vuln\u00e9rabilit\u00e9 aux injections de code. Les mots de passe restent \u00e9galement un probl\u00e8me permanent, car les longues p\u00e9riodes de validit\u00e9, les proc\u00e9dures de hachage faibles et les r\u00e9utilisations facilitent la prise de contr\u00f4le des comptes d'utilisateurs.<\/p>\n\n\n\n

Pour aborder les risques de mani\u00e8re proactive, un test d'intrusion traditionnel ne suffit pas. La SAP Secure Operations Map offre un mod\u00e8le clair pour comprendre les diff\u00e9rents niveaux de s\u00e9curit\u00e9. <\/p>\n\n\n\n

\"\"
Les vuln\u00e9rabilit\u00e9s sp\u00e9cifiques \u00e0 SAP ont d\u00e9pass\u00e9 pour la premi\u00e8re fois la barre des 200 en 2025.<\/figcaption><\/figure>\n\n\n\n

Tests d'intrusion SAP<\/h2>\n\n\n\n

Les pentests classiques ne couvrent en g\u00e9n\u00e9ral que le niveau le plus bas de l'infrastructure informatique. Or, les points faibles et les points d'attaque d\u00e9cisifs se situent g\u00e9n\u00e9ralement dans les niveaux sup\u00e9rieurs, sp\u00e9cifiques aux syst\u00e8mes et aux applications, qui constituent souvent une bo\u00eete noire pour les personnes ext\u00e9rieures. Un test d'intrusion SAP commence donc de mani\u00e8re cibl\u00e9e l\u00e0 o\u00f9 les contr\u00f4les classiques s'arr\u00eatent et analyse les services et protocoles sp\u00e9cifiques \u00e0 SAP tels que la passerelle, le serveur de messages ou l'Internet Communication Framework, ainsi que la s\u00e9curit\u00e9 de la communication DIAG et RFC. En outre, la s\u00e9curit\u00e9 des applications est test\u00e9e en examinant les transactions standard, les applications Fiori et les services web pour d\u00e9tecter les possibilit\u00e9s de manipulation et les acc\u00e8s non autoris\u00e9s. L'accent est \u00e9galement mis sur le concept d'autorisation, qui est syst\u00e9matiquement analys\u00e9 pour d\u00e9terminer les autorisations critiques et les chemins potentiels d'extension des droits. Le code Abap personnalis\u00e9 est \u00e9galement examin\u00e9, tant manuellement qu'\u00e0 l'aide d'outils sp\u00e9cialis\u00e9s, afin de d\u00e9tecter les points faibles tels que l'injection de code ou l'absence de contr\u00f4le d'autorit\u00e9. En compl\u00e9ment, la configuration du syst\u00e8me, en particulier les param\u00e8tres de profil importants pour la s\u00e9curit\u00e9, est v\u00e9rifi\u00e9e quant \u00e0 sa conformit\u00e9 avec les meilleures pratiques de SAP et les recommandations de DSAG. Un autre avantage r\u00e9side dans la profonde compr\u00e9hension du monde SAP par les testeurs. Ils savent o\u00f9 se trouvent les configurations cach\u00e9es, comment les processus commerciaux peuvent \u00eatre manipul\u00e9s et quels param\u00e8tres par d\u00e9faut repr\u00e9sentent un risque. Cette focalisation sur le m\u00e9tier permet de d\u00e9couvrir des points faibles qui restent invisibles pour les scanners et les experts en s\u00e9curit\u00e9 g\u00e9n\u00e9raux. Les directives r\u00e9glementaires telles que Nis2 ou Kritis exigent une approche globale et d\u00e9montrable de la s\u00e9curit\u00e9, ce que le test d'intrusion isol\u00e9 ne peut pas faire seul.<\/p>\n\n\n\n

\"\"
Les syst\u00e8mes SAP sont entour\u00e9s de murs de s\u00e9curit\u00e9 technique et de directives europ\u00e9ennes sur la s\u00e9curit\u00e9 informatique et la protection des informations - mais r\u00e9sistent-ils aux attaques des initi\u00e9s ?\u00a0<\/figcaption><\/figure>\n\n\n\n

Une strat\u00e9gie de s\u00e9curit\u00e9 SAP globale va plus loin et comprend un d\u00e9veloppement logiciel s\u00e9curis\u00e9 dans le cadre d'un cycle de vie de d\u00e9veloppement logiciel s\u00e9curis\u00e9. La s\u00e9curisation de la cha\u00eene d'approvisionnement gagne \u00e9galement en importance, en particulier dans les secteurs critiques o\u00f9 la d\u00e9pendance vis-\u00e0-vis de partenaires externes comporte des risques consid\u00e9rables. Cette approche est compl\u00e9t\u00e9e par une surveillance continue qui, \u00e0 l'aide d'un syst\u00e8me SIEM central, enregistre et \u00e9value les \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 dans l'ensemble du syst\u00e8me. Enfin, l'utilisation croissante de solutions en nuage n\u00e9cessite un examen particulier, car leurs exigences de s\u00e9curit\u00e9 et leurs sc\u00e9narios de menaces diff\u00e8rent en de nombreux points des syst\u00e8mes classiques sur site.<\/p>\n\n\n\n

\n

Un syst\u00e8me SAP s\u00e9curis\u00e9 en quatre \u00e9tapes
<\/h2>\n\n\n\n

<\/p>\n\n\n\n

Une approche strat\u00e9gique en quatre \u00e9tapes claires permet de se lancer dans la s\u00e9curisation proactive de l'environnement SAP.<\/p>\n\n\n\n

D\u00e9finir la port\u00e9e :<\/strong> Identification des syst\u00e8mes les plus critiques, g\u00e9n\u00e9ralement les syst\u00e8mes ERP ou S\/4-Hana en production, ainsi que des acteurs techniques tels qu'un Solution Manager en production.<\/p>\n\n\n\n

Choisir le bon partenaire<\/strong>Les pentests SAP n\u00e9cessitent des connaissances sp\u00e9cialis\u00e9es. Il est donc n\u00e9cessaire de disposer d'un savoir-faire SAP qui va au-del\u00e0 du pentesting r\u00e9seau g\u00e9n\u00e9ral. <\/p>\n\n\n\n

\u00c9valuation des r\u00e9sultats bas\u00e9e sur les risques :<\/strong> Un rapport pertinent doit pr\u00e9senter les r\u00e9sultats techniques de mani\u00e8re d\u00e9taill\u00e9e et les classer par ordre de priorit\u00e9. Il est ainsi possible de se concentrer sur les points faibles qui repr\u00e9sentent le plus grand danger pour l'exploitation op\u00e9rationnelle. <\/p>\n\n\n\n

Mettre en \u0153uvre des mesures de mani\u00e8re durable :<\/strong> Un pentest est un instantan\u00e9 qui permet d'am\u00e9liorer rapidement la s\u00e9curit\u00e9 \u00e0 moindre co\u00fbt. Toutefois, la s\u00e9curit\u00e9 durable n'est assur\u00e9e que par l'int\u00e9gration des r\u00e9sultats dans les processus informatiques r\u00e9guliers tels que la gestion des correctifs et les directives de d\u00e9veloppement.<\/p>\n<\/div>\n\n\n\n

<\/p>\n\n\n\n

Continuer vers l'inscription du partenaire :<\/p>\n\n\n\n

\"Abat\"<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

Les entreprises investissent massivement dans la cybers\u00e9curit\u00e9, mais leurs donn\u00e9es les plus pr\u00e9cieuses restent souvent sans protection. Les syst\u00e8mes SAP, qui sont au c\u0153ur des processus commerciaux critiques, sont souvent n\u00e9glig\u00e9s lors des tests d'intrusion - une omission fatale qui ouvre la porte aux attaquants.<\/p>","protected":false},"author":5817,"featured_media":162340,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,44396],"tags":[73,44414,236,1516],"coauthors":[44413],"class_list":["post-162339","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-26-04","tag-erp","tag-penetrationstests","tag-sap","tag-security","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungesch\u00fctzt. SAP-Systeme, das Herzst\u00fcck kritischer Gesch\u00e4ftsprozesse, werden bei Penetrationstests h\u00e4ufig \u00fcbersehen \u2013 ein fatales Vers\u00e4umnis, das Angreifern T\u00fcr und Tor \u00f6ffnet.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 26-04<\/a>","author_info_v2":{"name":"Tobias Stage, Abat","url":"https:\/\/e3mag.com\/fr\/author\/tobias-stage\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/162339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/5817"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=162339"}],"version-history":[{"count":3,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/162339\/revisions"}],"predecessor-version":[{"id":162354,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/162339\/revisions\/162354"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/162340"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=162339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=162339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=162339"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=162339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}