Gérer les risques
Aujourd'hui et demain

Cybersécurité

Les ERP rendent les entreprises encore plus vulnérables aux cyberattaques

Une étude menée par l'institut Ponemon tire la sonnette d'alarme. En cause, les progiciels de gestion intégrés (ERP) ou Systems, Applications and Products for Data Processing (SAP) qui, du fait de leur architecture complexe, rendraient les entreprises vulnérables à tous les niveaux face aux pirates. Plus grave, il ressort de l'enquête un certain mécontentement de la part des responsables et managers de la sécurité informatique qui accusent leurs cadres dirigeants de largement sous-estimer les risques qui pèsent sur ces applications.

Chargés de coordonner à partir d’une plate-forme informatique l’ensemble des différentes fonctions de l’entreprise (comptabilité, finance, production, approvisionnement, RH, logistique, etc), les progiciels de gestion intégrée (ERP) ou en anglais Systems, Applications and Products for data processing (SAP) – à ne pas confondre avec l’éditeur allemand SAP, leader mondial des ERP – sont une condition sine qua none à l’épanouissement d’une entreprise. Ce système de gestion intégré permet de veiller en temps réel sur tous les départements de l’entreprise mais aussi d’obtenir des délais de prise de décision quasi instantanés. Par leur architecture complexe et leur couverture très étendue sur le web, ces systèmes sont très difficiles à protéger et constituent une proie idéale pour les cyberpirates.
A cet égard, le spécialiste de la sécurité d’applications métier Onapsis a commandé une enquête sur la cybersécurité des applications SAP auprès d’un échantillon de 607 décideurs IT et managers de la sécurité informatique basés aux États-Unis. Le constat est catastrophique : les cyberattaques des applications SAP sont bien plus répandues qu’on ne le pensait et les cadres dirigeants sous-estimeraient largement les risques de cyberattaques qui pèsent sur les applications SAP. Selon l’institut de sondage Ponemon qui a été chargé de réaliser l’enquête et d’évaluer l’étendue des dégâts, plus de la moitié des personnes interrogées a déclaré que la plate-forme SAP de leur entreprise a été attaquée en moyenne deux fois dans les 24 derniers mois.
Pour 56 % d’entre eux, leur organisation n’est pas à l’abri d’une violation de données car les progiciels ne sont pas suffisamment sécurisés. De plus, il est « probable », pour 42% des répondants, voire « fort probable » pour 33% des managers IT interrogés que les systèmes SAP soient, un jour ou l’autre, infectés par un ou plusieurs malwares. « Une des grandes surprises de cette étude, c’est cette augmentation des attaques silencieuses qui frappent les entreprises. Elles sont difficiles à détecter et peuvent avoir un impact majeur sur les activités ou l’économie dans son ensemble », constate le président et créateur de l’Institut Ponemone, Larry Ponemon. D’autant qu’il est pratiquement impossible de déceler immédiatement une attaque dans un système aussi vaste et complexe qu’une plate-forme SAP. Même au bout d’une semaine, les chances restent minces. Et une année plus tard, 78% des participants estiment qu’il reste impossible de se rendre compte de l’attaque !
Alors qui peut-on blâmer ? Pour 63% des professionnels IT interrogés, la faute revient avant tout aux cadres dirigeants. Lesquels, s’ils accordent une importance majeure aux applications SAP en matière de productivité, sous-estiment pourtant le risque qui en émane. Surtout en ce qui concerne les données stratégiques et sensibles de l’entreprise. 76% des interrogés expliquent que leurs cadres supérieurs comprennent l’importance et la criticité des installations SAP. Reste que seulement 21% d’entre eux considèrent que leurs dirigeants sont conscients des risques liés à la cybersécurité pesant sur les applications SAP.
En fait, il faut savoir que les entreprises ne savent pas à qui incombe la responsabilité de la sécurité des applications SAP : à l’éditeur ? Ou au responsable informatique ? L’opinion est mitigée à ce sujet. Pour la moitié d’entre elles (54%), c’est à l’éditeur et non à leur entreprise d’assurer la sécurité de ses applications et plates-formes. En interne, pour 30% du panel, personne n’est responsable en cas de violation des données d’un système SAP de l’entreprise. Mais 26% considèrent que cette responsabilité incombe au directeur des systèmes d’information (DSI) et 18% seulement au responsable de la sécurité des systèmes d’information (RSSI). « Il est inquiétant de voir que les attaques des applications SAP risquent d’augmenter. D’autant que, face à cette menace, il n’y a pas d’équipe ou de poste spécifique chargé d’y remédier. Il semble que la cybersécurité SAP ne relève ni des attributions des équipes chargées de la sécurité SAP, ni de celles des responsables de la sécurité des systèmes d’information. Il est important de se mobiliser pour combler cette faille et d’en faire une priorité », explique Larry Ponemon.
 « Tandis que les acteurs du secteur commencent à comprendre l’impact potentiel d’une violation de données ou d’une cyberattaque de leur système SAP au regard de la valeur des données qui pourraient être perdues, la surface d’attaque augmente rapidement avec de nouvelles technologies telles que l’Internet des objets (IdO), les mobiles et le cloud, prophétise Mariano Nunez, PDG d’Onapsis. Définir clairement les responsabilités et l’utilisation d’outils de tiers pour intégrer les équipes, établir des processus et rendre opérationnelles la prévention et la détection des vulnérabilités SAP sont autant de priorités si l’on veut prévenir des impacts économiques d’envergure. »

Ségolène Kahn

Commentez

Participez à la discussion