SAP, cet ERP tentaculaire que personne ne comprend vraiment, sauf peut-être le consultant freelance qui facture 1 500 € la journée. Il gère la production, les RH, la paie, la logistique, le CRM, les achats, la compta, les flux intergalactiques. C’est le cœur nucléaire de l’entreprise.
Et pourtant, niveau sécurité, on est souvent plus proche d’un cabanon de jardin que d’un bunker.
“Mais c’est SAP, c’est solide non ?”
Ah oui. C’est complexe. C’est massif. Et c’est souvent mal sécurisé. Parce que SAP, c’est un peu comme un Boeing 747 : conçu pour voler… à condition que le pilote ne décide pas de retirer les ailes pour gagner du poids.
Voici ce qu’on croise trop souvent :
- Des accès admin partagés entre 4 prestataires différents, dont un a quitté le projet en 2019.
- Des modules SAP exposés sur Internet, “temporairement”, depuis 3 ans.
- Un LDAP en clair entre SAP et l’AD, “parce que SSL ça buggait”.
- Des logs qui n’existent pas. Littéralement.
Les joyaux exposés aux pirates
SAP, c’est un buffet à volonté pour les attaquants :
- Données bancaires des clients.
- Salaires et primes du top management.
- Mouvements logistiques en temps réel (fort pratique pour saboter une livraison).
- Accès aux environnements industriels dans le cas d’une intégration avec la prod.
Et avec l’explosion des accès distants post-Covid, le tout est bien souvent exposé à Internet via un reverse proxy bricolé avec un .htaccess bancal.
Exemples croustillants et véridiques
- 2024, Allemagne : un groupe de ransomware exploite une faille dans SAP NetWeaver (référencée depuis… 2022) pour accéder aux environnements de production d’un constructeur automobile. Bilan : 4 usines à l’arrêt. Communication officielle : “Incident mineur en cours d’analyse”.
- France, 2023 : une collectivité expose sans le savoir SAP BO sur Internet avec une authentification en GET (oui, en GET). Résultat : un moteur de recherche d’infos RH gratuit pour toute la planète.
- 2025, secteur pharmaceutique : un prestataire installe un add-on SAP sans vérification, ouvrant un canal FTP non chiffré contenant… des données R&D sur un vaccin. On applaudit.
Mais pourquoi est-ce toujours aussi mal fichu ?
- Parce que c’est trop gros pour qu’on ose y toucher. La moindre modif fait flipper tout le monde.
- Parce que personne ne veut tester les mises à jour : “On est en SAP 7.2 SP9 car on a peur que le SP10 casse la paie de juillet”.
- Parce que le seul expert a pris sa retraite avec les mots de passe.
Et surtout… parce que le RSSI n’a jamais mis le nez dans SAP. C’est un monde parallèle, où la sécurité est confiée au chef de projet MOE “qui connaît bien”.
Solutions ? Bien sûr. Mais elles font mal.
1. Patch management rigoureux
C’est pas sexy, mais c’est vital. Et non, attendre 12 mois pour “vérifier la compatibilité métier” n’est PAS une stratégie.
2. Contrôle d’accès strict (et tracé)
Plus jamais de SAP_ALL sur des comptes de service. Et surtout pas avec mot de passe Welcome01.
3. Connexion LDAP via SSL/TLS
Vous n’avez aucune excuse en 2025 pour envoyer des identifiants AD en clair entre SAP et vos DC.
4. Vulnérabilité scanning régulier
Des outils comme Onapsis, ERPScan ou même un bon vieux Nmap peuvent déjà détecter des configurations absurdes.
Conclusion : vous ne comprenez pas SAP ? Les attaquants, eux, si.
SAP, c’est comme un coffre-fort : il est censé être inviolable. Mais si vous laissez la combinaison écrite sur un post-it sous le clavier (ou dans la config LDAP en dur), ce n’est plus de la cybersécurité, c’est un sketch de Coluche.
Alors oui, sécuriser SAP, ça coûte cher. C’est compliqué. Ça implique d’en parler à des gens en costard qui font du lean six sigma agile devops. Mais ne rien faire ? Ça coûte un ransomware, une fuite RH, ou un dépôt de brevet parti en Russie.
Et au fond, si SAP est le cœur de votre SI… vous devriez peut-être arrêter de le laisser ouvert à tout vent.
