🧨 Quand l’ERP roi devient un champ de mines
SAP, le mastodonte des ERP, vient d’offrir à ses clients une rentrée explosive : trois vulnérabilités critiques, dont une notée CVSS 10.0 (le Graal pour les attaquants), viennent d’être corrigées dans SAP NetWeaver et SAP S/4HANA.
En clair : si vous n’avez pas patché hier, vous êtes peut-être déjà une passoire aujourd’hui.
Le pire dans l’histoire ? Une des failles permet une exploitation sans authentification. Oui, vous avez bien lu : un attaquant peut balancer sa charge malveillante depuis Internet sans même connaître le mot de passe du stagiaire compta.
DĂ©jĂ le mois dernier d’autres produits Ă©taient dans la tourmente : 🛡️ Multiples vulnĂ©rabilitĂ©s dans les produits SAP (08 juillet 2025)
🔑 Les failles en détail
- CVE-2025-42944 – Désérialisation non sécurisée dans SAP NetWeaver (CVSS 10.0).
- Exploitable sans authentification.
- Permet exécution de code arbitraire.
- Traduction : un attaquant peut déployer son malware comme s’il était chez lui.
- Autres vulnérabilités : plusieurs failles hautement sévères touchant SAP NetWeaver et S/4HANA, dont certaines ouvrent la porte au téléversement de fichiers arbitraires.
- Résultat : un ransomware SAP tout frais, prêt à chiffrer vos données financières stratégiques.
Bref : si votre SAP est exposé en frontal, il est déjà dans le viseur des bots et groupes cybercriminels.
⚔️ Pourquoi ça pique (beaucoup)
SAP, c’est l’ERP nerveux central de milliers d’entreprises, de la PME industrielle à la multinationale pharmaceutique.
Quand SAP tombe, tout s’arrête : facturation, logistique, RH, finance… Imaginez Amazon ou Airbus en mode “ERP HS”.
Les attaquants le savent. Et ces failles, exploitables à distance, transforment chaque instance SAP mal patchée en target premium.
La cerise sur le gâteau ? Beaucoup d’instances SAP tournent sur des VM internes exposées via VPN mal configurés. Autrement dit :
➡️ Un clic pour entrer, un clic pour tout casser.
🛡️ Recommandations (pas optionnelles)
- Patch Now, Think Later 🩹
Les correctifs du SAP Security Patch Day doivent être appliqués immédiatement. - Limiter l’exposition externe 🔒
Un SAP en frontal sur Internet, c’est comme laisser les clés de votre Ferrari sur le capot. - Segmentation réseau 🕸️
Votre SAP doit être isolé, pas branché en direct avec votre Active Directory, Exchange et Zabbix (oui, ça vous rappelle quelqu’un). - Monitoring avancé 👀
Journaux d’événements, SIEM, alertes en temps réel. Les anomalies SAP doivent remonter vite. - Pentest et Red Team 🕵️‍♂️
Un audit SAP annuel n’est plus du luxe, c’est une assurance-vie.
đź’Ł Le vrai danger : la dette technique
Soyons honnêtes : patcher un SAP, c’est rarement un bouton magique.
Entre les dépendances, les intégrations custom et la peur de casser la prod, beaucoup d’équipes préfèrent fermer les yeux.
Résultat : une dette technique monstrueuse où chaque patch non appliqué devient une bombe à retardement.
Et là , SAP vient de livrer une bombe nucléaire avec CVSS 10.0.
Si vous continuez Ă procrastiner, ne soyez pas surpris si votre ERP finit en vitrine sur un forum underground avec une annonce du style :
💸 “SAP d’entreprise du CAC40, accès RCE full, pas cher, MP only”.
📊 Le scénario catastrophe (et réaliste)
- L’attaquant scanne vos IP.
- Il trouve votre SAP NetWeaver mal patché.
- Il balance son exploit (pas besoin de login).
- Il déploie un webshell → exfiltration de vos bases financières.
- Bonus : il balance un ransomware pour négocier un “double paiement” (données + clé de déchiffrement).
Temps estimé : moins d’une heure.
Impact : votre ERP = down, vos clients = furieux, vos Ă©quipes IT = insomniaques.
🚀 Conclusion
SAP, c’est un peu comme une centrale nucléaire : ça brille, ça fait tourner toute l’usine, mais si la sécurité est négligée, ça explose.
Les patchs de septembre 2025 ne sont pas une option, mais une obligation immédiate.
👉 Si vous êtes DSI ou RSSI, ne demandez pas “Est-ce qu’on peut attendre le prochain comité de validation ?”.
Demandez plutĂ´t :
“Est-ce qu’on préfère patcher maintenant… ou expliquer au COMEX pourquoi toute la boîte est à l’arrêt demain ?”
💬 Et vous, votre SAP est-il blindé ou exposé comme une passoire ?
