Plus de 36 000 systèmes SAP ouverts à tous les vents

La vulnérabilité des systèmes SAP semble tendre à reculer. Mais ce n’est peut-être qu’une impression. C’est du moins ce semble vouloir dire ERPScan avec sa dernière étude sur la sécurité de ses systèmes. Ainsi, le nombre de correctifs diffusés par l’éditeur se réduit d’année en année. Au premier semestre, il n’était que de 134, contre 302 en 2015 et 384 en 2014, voire même 834 il y a six ans. Mais, souligne ERPScan, « SAP corrige désormais de multiples vulnérabilités en un correctif » alors qu’il fallait compter sur un correctif par vulnérabilité il y a trois an. De quoi, tout de même, simplifier la tâche des administrateurs.

Mais encore faut-il que ceux-ci saisissent la balle au bond. Ce qui n’est pas forcément le cas. Ainsi, selon ERPScan, près de 36 000 systèmes SAP vulnérables sont directement accessibles en ligne, dont près de 2000 aux Etats-Uni et rien moins que 720 en Allemagne, ou encore 447 en Italie et presque autant en Espace. Selon ce spécialiste de la sécurité des applications métiers, plus des deux tiers de ces systèmes n’auraient pas à être directement accessibles sur Internet. Et la France ne fait là pas figure de bon élève : près de 45 % des services SAP exposés en ligne n’auraient pas à l’être. On relèvera au passage que 49 % des systèmes SAP exposés en ligne fonctionnent encore sous Windows NT.

Mais comment expliquer une telle situation ? Dans son étude, ERPScan évoque notamment le manque de spécialistes qualifiés, l’éventail des configurations avancées, et la multiplicité des déploiements personnalisés.

En février dernier, Juan Pablo Perez Etchegoyen, directeur technique d’Onapsis, ne faisait pas de constat bien différent. Dans nos colonnes, il expliquait ainsi que « chez chacun de nos nouveaux clients, nous découvrons des systèmes SAP qui ne sont pas correctement administrés, tendent à être exposés, du fait de vulnérabilités non corrigées ou encore de défauts de configuration » ;

Une situation qu’il imputait principalement à « la complexité des systèmes SAP ; les sécuriser est vraiment difficile ». Et d’ajouter alors qu’il n’y a pas, « en définitive, deux déploiements SAP identiques ».