Plus d’une entreprise sur deux (56%) pense qu’il est possible que leur société subisse une violation de données dûe aux applications SAP non sécurisées. Ce même groupe avoue que la plateforme SAP de leur entreprise a été attaquée en moyenne deux fois au cours des 24 derniers mois. Malgré cela, 63% précisent que les cadres dirigeants ont tendance à sous-estimer le risque représenté par les applications SAP non sécurisées. Pour le Ponemon Institute, à l’origine de cette étude sectorielle, l’explication tient au fait que les entreprises n’ont qu’une visibilité limitée de la sécurité de leurs applications SAP et ne disposent peut-être pas de l’expertise nécessaire pour prévenir, détecter et réagir rapidement aux cyberattaques.
«Une des grandes surprises de cette étude est cette augmentation des attaques silencieuses qui frappent les entreprises; elles sont difficiles à détecter et peuvent avoir un impact majeur sur les activités ou l’économie dans son ensemble, explique Larry Ponemon, President & Founder, Ponemon Institute. Ces résultats sont globalement inquiétants : les attaques des applications risquent d’augmenter alors qu’il n’y a pas d’équipe ou de poste spécifique chargé d’y remédier. Il semble que la cybersécurité SAP ne relève ni des attributions des équipes chargées de la sécurité SAP, ni de celles des responsables de la sécurité des informations. Il est important qu’ils se mobilisent pour combler cette faille et en faire une priorité.»
L’étude montre que les cadres dirigeants sont conscients de l’importance des systèmes SAP en matière de rendement (76%), mais ignorent les risques qu’ils représentent en termes de cybersécurité. Seuls 21% considèrent que leurs dirigeants sont conscients des risques liés à la cybersécurité pesant sur les applications. «Tandis que les acteurs du secteur commencent à comprendre l’impact potentiel d’une violation de données ou d’une cyberattaque de leur système SAP au regard de la valeur des données qui pourraient être perdues, la surface d’attaque augmente rapidement, avec des nouvelles technologies telles que l’IoT, les mobiles et le cloud, explique Mariano Nunez, President, Onapsis (sponsor de l’étude). Définir clairement les responsabilités et l’utilisation d’outils de tiers pour intégrer les équipes, établir des processus et opérationnaliser la prévention et la détection des vulnérabilités SAP sont autant de priorités si l’on veut prévenir des impacts économiques d’envergure.»
A la question : combien de temps faut-il pour détecter une attaque, près de 80% des participants répondent qu’il est impossible de détecter immédiatement l’attaque d’un système SAP. Et même une année plus tard, 78% des participants estiment qu’il est impossible de détecter l’attaque d’un système SAP…