SAP a lancé en août 2025 un avertissement qui résonne aujourd’hui comme une urgence mondiale : son système S/4HANA, pilier des grandes entreprises pour la gestion intégrée, est touché par une vulnérabilité d’une gravité extrême. Identifiée sous le code CVE-2025-42957, cette faille a obtenu une note de 9,9/10 sur l’échelle CVSS, ce qui la place presque au niveau maximal de dangerosité. Les pirates n’ont pas attendu pour l’exploiter et plusieurs attaques ont déjà été observées. Cette situation met en lumière la fragilité des infrastructures critiques et l’importance d’une réaction rapide.
Pourquoi cette faille est considérée comme une bombe à retardement ?
La vulnérabilité touche le cœur du système SAP : le langage ABAP. En exploitant un module RFC insuffisamment sécurisé, un simple utilisateur disposant d’un compte basique peut injecter du code malveillant. Autrement dit, il n’est pas nécessaire d’être administrateur ou expert en sécurité pour provoquer des dégâts considérables.
Les conséquences possibles sont multiples :
- modification ou suppression de données sensibles,
- ajout de comptes cachés donnant un accès complet,
- installation de logiciels espions,
- déploiement de rançongiciels paralysant l’activité de l’entreprise.
Ce qui inquiète le plus les spécialistes est la simplicité de l’exploitation : le pirate n’a pas besoin de recourir à du phishing, à des campagnes d’ingénierie sociale ou à des intrusions complexes. Un compte standard suffit pour transformer l’ERP en vecteur d’attaque.
A lire aussi: Migration ERP : quelles sont les solutions compatibles avec SAP ?
Une faille découverte en juin, un patch disponible depuis août… mais déjà trop tard
La vulnérabilité a été identifiée fin juin 2025 par la société SecurityBridge, spécialisée dans la cybersécurité SAP. SAP a réagi en publiant un correctif via la note de sécurité 3627998 le 11 août 2025. Mais comme souvent, l’application des correctifs tarde.
Beaucoup d’entreprises, par crainte d’interrompre leur production ou par manque de ressources internes, reportent les mises à jour. Résultat : un laps de temps suffisant s’est ouvert pour que les cybercriminels exploitent la faille. Dès septembre, plusieurs attaques ont été signalées, confirmant que l’alerte n’est pas théorique.
Cette situation illustre une réalité préoccupante : dans le domaine des ERP, où chaque mise à jour peut affecter des milliers de processus métiers, la lenteur de déploiement devient une faille en soi.
Quels produits SAP sont directement concernés ?
Contrairement à d’autres vulnérabilités limitées à une seule version, celle-ci touche un large éventail d’outils SAP :
- S/4HANA (toutes les versions majeures, qu’elles soient sur site ou cloud privé, de S4CORE 102 à 108),
- Landscape Transformation (DMIS) sur certaines versions,
- Business One sur SAP HANA,
- NetWeaver Application Server ABAP.
Cela signifie que des milliers d’entreprises dans le monde sont potentiellement exposées. Les grandes organisations qui dépendent de SAP pour la gestion de leur production, de leur logistique ou de leur comptabilité sont donc directement dans la ligne de mire.
Ce que peut réellement provoquer une attaque réussie
Un exploit de cette faille donne un accès quasi illimité au système. Le pirate peut non seulement manipuler les données SAP mais également compromettre le système d’exploitation sous-jacent. Cela ouvre la porte à des attaques bien plus larges que le simple sabotage de données internes.
Parmi les scénarios redoutés :
- le vol massif de données clients et financières,
- l’arrêt complet de la chaîne logistique,
- la fraude interne via la création de fausses transactions,
- l’extorsion avec rançongiciels,
- l’espionnage industriel.
Selon une étude de Ponemon Institute, une violation de données sur un ERP coûte en moyenne 4,9 millions de dollars aux entreprises touchées, sans compter les pertes d’exploitation liées aux interruptions de service.
A voir également: Devenir consultant SAP : formation, salaire et perspectives
Patcher ne suffit pas : les mesures à prendre dès maintenant
Appliquer le correctif est une obligation immédiate, mais cela ne constitue qu’une première étape. Les experts en sécurité SAP recommandent d’aller plus loin :
- Réduire les accès RFC : seuls les modules strictement nécessaires doivent être autorisés.
- Activer UCON (Unified Connectivity) : cet outil limite la surface d’exposition des appels distants.
- Contrôler les droits S_DMIS : vérifier que les autorisations associées à l’activité 02 ne sont pas accordées inutilement.
- Mettre en place une surveillance continue : analyser les appels RFC, suivre la création de nouveaux comptes utilisateurs et détecter tout changement suspect dans le code ABAP.
- Isoler les systèmes critiques : segmenter le réseau pour éviter qu’une compromission SAP ne contamine d’autres infrastructures.
- Sauvegarder et tester la restauration : disposer de copies fiables hors ligne pour limiter les conséquences en cas de ransomware.
Ces mesures exigent une coordination étroite entre les équipes SAP, les responsables informatiques et les experts en cybersécurité.
Pourquoi cette faille illustre un problème plus large dans la cybersécurité SAP ?
Cette alerte montre que la sécurité des ERP reste sous-estimée. Beaucoup d’entreprises se concentrent sur leurs postes de travail, leurs serveurs web ou leurs applications SaaS, mais négligent les systèmes ERP, pourtant au cœur de leur activité.
La complexité de SAP, combinée à la crainte de perturber des processus métiers sensibles, pousse souvent les DSI à retarder les correctifs. Pourtant, c’est précisément cette inertie qui alimente les risques. Les cybercriminels le savent et ciblent en priorité ces failles, conscientes que les entreprises tardent à se protéger.
Un chiffre illustre cette réalité : selon Onapsis, 64 % des systèmes SAP exposés sur internet présentent au moins une vulnérabilité critique non corrigée. Autrement dit, près de deux tiers des installations sont des cibles faciles.
Laisser un commentaire