Par sécurité, on ne patche pas ! Selon Onapsis, parce que non patchés, la quasi-totalité des systèmes SAP sont vulnérables à des attaques. En cause, les réticences des responsables sécurité à patcher un système si sensible pour la marche de l’entreprise. Dans son investigation, Onapsis a ainsi trouvé que la plupart des failles découvertes remontent à… plusieurs années !
Surprenant ? L’éditeur n’est pas en cause. Rien qu’en 2014, SAP a proposé pas moins de 391 correctifs, soit plus d’un par jour; 50% d’entre eux étaient considérés comme étant de «priorité élevée»… Alors ? L’explication repose sur la criticité des tâches confiées à SAP. La plupart des IT Managers et plus encore les responsables de la sécurité se disent rétifs à mettre en place le correctif sachant qu’ils risquent de mettre l’application hors service, ce qui –de leur point de vue– présente plus de risques que de laisser la faille en l’état.
Difficile, jusqu’ici, de leur donner tort. Les attaques sur ces systèmes sont plutôt rares. Mais ce n’est pas une raison pour se cacher la tête dans le sable ! Les vecteurs les plus courants tels qu’identifiés par Onapsis sont des attaques vers les portails clients et fournisseurs, des attaques directes au travers des protocoles propriétaires SAP ainsi que des informations clients ou des failles sur les systèmes de cartes de crédit hébergés. Bref, des risques bien concrets…
Onapsis suggère de changer cette politique qui consiste à ne corriger les failles qu’épisodiquement et intégrer les applications SAP de manière systématique dans les politiques de gestion des vulnérabilités et de gestion des risques.