Votre installation SAP est-elle piratable ?

Selon les résultats d’une étude d’Onapsis, 95 % des installations de SAP contiennent des failles permettant le piratage ! Et les systèmes personnalisés seraient les plus vulnérables. Explications.

Pour les chercheurs d’Onapsis, fournisseur d’outils de sécurité, il n’y a aucun doute : les pirates informatiques ciblent les installations SAP. Objectif : infiltrer des systèmes de haute intégrité, exécuter des commandes avec des privilèges d’administrateur, créer des portes dérobées sous J2EE (Java 2 Enterprise Edition). Selon Mariano Nunez, directeur général d’Onapsis, les 250 000 clients de SAP restent en moyenne exposés pendant 18 mois après la découverte d’une vulnérabilité, dont 12 correspondant au temps pris par l’éditeur pour développer un correctif.

« Le plus surprenant est que dans la plupart des entreprises la cybersécurité de SAP souffre de brèches à cause d’une mauvaise répartition des responsabilités entre l’équipe de maintenance et l’équipe chargée de la sécurité. En fait, la plupart des correctifs appliqués ne sont pas liés à la sécurité, arrivent tardivement ou introduisent de nouveaux risques opérationnels. »

Mariano Nunez, directeur général d’Onapsis

La chasse aux « notes de sécurité » est ouverte

391, c’est le nombre de correctifs publiés par SAP l’année dernière, dont la moitié en haute priorité. Selon Mariano Nunez, la solution SAP Hana serait responsable d’une augmentation de 450 % du nombre de correctifs de sécurité. « Non seulement, cette tendance se maintient, mais elle est accentuée par le fait que SAP Hana est au centre de l’écosystème SAP, là où les données stockées doivent désormais être protégées, à la fois dans le Cloud et localement », analyse l’expert.

Les pires vulnérabilités auraient atteint un taux de sévérité de 9,5 sur 10. Alexander Polyakov, fondateur d’ERPScan, prévient : « il ne s’agit pas seulement du nombre de vulnérabilités, qui est très élevé, mais aussi de leur niveau de risque ». Le spécialiste met en avant le fait que le portail de support de SAP, fermé et réservé aux clients, comporte 388 correctifs légers baptisés “notes de sécurité” et publiés l’année dernière. Soit une augmentation de 7 % depuis 2013.

« Ces « notes de sécurité » sont des petits correctifs généralement dédiés à une ou plusieurs faille repérées au sein d’applications SAP par des sociétés tiers ou par l’équipe de sécurité interne de l’éditeur. »

Alexander Polyakov, fondateur d’ERPScan

Vigilance renforcée pour les installations SAP personnalisées

La situation est probablement bien plus grave, si l’on considère la probabilité que des bugs aient été introduits dans des installations SAP personnalisées. « Si, malgré leur expérience, les développeurs de SAP parviennent encore à laisser passer des erreurs dans leur code, imaginez ce qui se passe avec des programmes SAP personnalisés, en particulier, ceux sous-traités à d’autres entreprises ! La concurrence acharnée entre sous-traitants les pousse à minimiser le temps et les ressources affectés au développement, ce qui peut avoir un impact sur la sécurité » estime Alexander Polyakov.

Comment T-Systems peut-il vous accompagner ?

Filiale de Deutsche Telekom, T-Systems s’appuie sur l’expertise de ses 50 000 collaborateurs et sur son infrastructure mondiale de data centers et de réseaux pour soutenir votre transformation IT.

Contactez-nous

Répondre