Une étude menée par le partenaire SAP Onapsis indique que la quasi-totalité des systèmes SAP sont vulnérables à des attaques. En cause, le nombre de rustines proposées par l’éditeur et les réticences des responsables sécurité à « patcher » un système si sensible pour la marche de l’entreprise.

Mariano Nunez, patron d’Onapsis, indiquait récemment à nos confrères de SC Magazine que la plupart des failles découvertes par son entreprise remontent à plusieurs années. Ceci s’explique pour deux raisons. En premier lieu, c’est le nombre de correctifs publiés par l’éditeur allemand. Pour la seule année 2014, ce ne sont pas moins de 391 correctifs de sécurité qui ont été mis à disposition par l’éditeur, soit plus d’un par jour, et 50% d’entre eux étaient considérés comme étant de « priorité élevée ».

Des responsables sécurité rétifs

La seconde raison est la nature des systèmes SAP qui effectuent en tâche de fond des actions indispensables à la marche de l’entreprise. Dans ces conditions, les responsables sécurité sont souvent rétifs à mettre en place le correctif sachant qu’ils risquent de mettre l’application hors service, ce qui – de leur point de vue – présente plus de risques que de laisser la faille en l’état. Jusqu’à aujourd’hui, les faits leur ont donné raison puisqu’on ne déplore – à notre connaissance – pas de grosses attaques sur ces systèmes. Toutefois, la situation devrait rapidement changer maintenant que les hackers ont été mis au courant de la situation.

Les vecteurs les plus courants tels qu’identifiés par Onapsis sont des attaques vers les portails clients et fournisseurs, des attaques directes au travers des protocoles propriétaires SAP ainsi que des informations clients ou des failles sur les systèmes de cartes de crédit hébergés. On le voit : compte tenu de la nature extrêmement sensible des informations contenues dans ces logiciels, les risques sont très importants. Mario Nunez suggère de changer cette politique qui consiste à ne corriger les failles qu’épisodiquement et intégrer les applications SAP de manière systématique dans les politiques de gestion des vulnérabilités et de gestion des risques.




Autres News Gouvernance

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143688
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI