mardi 7 avril 2020    || Inscription
BanniereNews
 
 
Une étude menée par le partenaire SAP Onapsis indique que la quasi-totalité des systèmes SAP sont vulnérables à des attaques. En cause, le nombre de rustines proposées par l’éditeur et les réticences des responsables sécurité à « patcher » un système si sensible pour la marche de l’entreprise.

Mariano Nunez, patron d’Onapsis, indiquait récemment à nos confrères de SC Magazine que la plupart des failles découvertes par son entreprise remontent à plusieurs années. Ceci s’explique pour deux raisons. En premier lieu, c’est le nombre de correctifs publiés par l’éditeur allemand. Pour la seule année 2014, ce ne sont pas moins de 391 correctifs de sécurité qui ont été mis à disposition par l’éditeur, soit plus d’un par jour, et 50% d’entre eux étaient considérés comme étant de « priorité élevée ».

Des responsables sécurité rétifs

La seconde raison est la nature des systèmes SAP qui effectuent en tâche de fond des actions indispensables à la marche de l’entreprise. Dans ces conditions, les responsables sécurité sont souvent rétifs à mettre en place le correctif sachant qu’ils risquent de mettre l’application hors service, ce qui – de leur point de vue – présente plus de risques que de laisser la faille en l’état. Jusqu’à aujourd’hui, les faits leur ont donné raison puisqu’on ne déplore – à notre connaissance – pas de grosses attaques sur ces systèmes. Toutefois, la situation devrait rapidement changer maintenant que les hackers ont été mis au courant de la situation.

Les vecteurs les plus courants tels qu’identifiés par Onapsis sont des attaques vers les portails clients et fournisseurs, des attaques directes au travers des protocoles propriétaires SAP ainsi que des informations clients ou des failles sur les systèmes de cartes de crédit hébergés. On le voit : compte tenu de la nature extrêmement sensible des informations contenues dans ces logiciels, les risques sont très importants. Mario Nunez suggère de changer cette politique qui consiste à ne corriger les failles qu’épisodiquement et intégrer les applications SAP de manière systématique dans les politiques de gestion des vulnérabilités et de gestion des risques.




Autres News Gouvernance

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI