Ponemon Institute vient de présenter les résultats de la première étude du secteur relative à la cybersécurité des applications SAP, sponsorisée par Onapsis. Plus de la moitié des sociétés étudiées, soit 56 %, pensent qu'il est possible que leur société subisse une violation de données dûe à des applications SAP non sécurisées. Ce même groupe de participants déclare que la plateforme SAP de leur entreprise a été attaquée en moyenne deux fois dans les 24 derniers mois, mais 63 % indiquent que les cadres dirigeants ont tendance à sous-estimer le risque représenté par les applications SAP non sécurisées, des systèmes qui hébergent les applications et les données les plus stratégiques pour les entreprises du Global 2000.

Cette différence de perception est renforcée par le fait que les entreprises n'ont qu'une visibilité limitée de la sécurité de leurs applications SAP et ne disposent peut-être pas de l'expertise nécessaire pour prévenir, détecter et réagir rapidement aux cyberattaques, un problème qui pourrait être catastrophique ou très grave pour 60 % des interrogés et qui pourrait coûter 4,5 millions de dollars en moyenne si les systèmes étaient mis hors service.

"Une des grandes surprises de cette étude, c'est cette augmentation des attaques silencieuses qui frappent les entreprises. Elles sont difficiles à détecter et peuvent avoir un impact majeur sur les activités ou l'économie dans son ensemble", explique Larry Ponemon, président et créateur de l'Institut Ponemon. "Ce qui est inquiétant, c'est que les données de l'étude indiquent que les attaques des applications SAP risquent d'augmenter, mais qu'il n'y a pas d'équipe ou de poste spécifique chargé d'y remédier. Il semble que la cybersécurité SAP ne relève ni des attributions des équipes chargées de la sécurité SAP, ni de celles des responsables de la sécurité des informations. Il est important qu’ils se mobilisent pour combler cette faille et en faire une priorité".

Les données de l'étude indiquent que les cadres supérieurs sont conscients de l'importance des systèmes SAP en matière de rendements, mais ignorent les risques qu'ils représentent en termes de cybersécurité : 76 % des interrogés expliquent que leurs cadres supérieurs comprennent l'importance et la criticité des installations SAP pour la génération de bénéfices. Mais seulement 21 % considèrent que leurs dirigeants sont conscients des risques liés à la cybersécurité pesant sur les applications SAP.

Parmi les autres réponses intéressantes aux question de cette étude, qui a porté sur 600 personnes :

-Les plateformes SAP peuvent-elles contenir des logiciels malveillants ? 75 % des interrogés considèrent qu'il est fort probable (33 %) ou probable (42 %) que les plateformes SAP soient infectées par un ou plusieurs logiciel(s) malveillant(s) ;

- Combien de temps faut-il pour détecter une attaque ? Personne ne croit vraiment qu'une attaque visant une plateforme SAP puisse être détectée immédiatement ou en moins d'une semaine. En effet, près de 100 % des participants pensent qu'il est impossible de détecter immédiatement l'attaque d'un système SAP. Et même une année plus tard, 78 % des participants estiment qu'il est impossible de détecter l'attaque d'un système SAP ;

- Qui est responsable de la sécurité SAP ? 54 % des participants interrogés pensent que c'est à SAP et non à leur entreprise d'assurer la sécurité de ses applications et plateformes. En interne, l'équipe de sécurité SAP est rarement responsable de la sécurité des systèmes SAP : 25 % des interrogés expliquent qu'au sein de leur entreprise, aucun poste n'assure la sécurité des applications SAP, 21 % déclarent que cette fonction est assumée par l'infrastructure IT, 19 % par l'équipe de sécurité SAP et 18 % par le service de sécurité des informations ;

- Qui sera tenu pour responsable en cas de violation des données impliquant le système SAP ? 30 % des interrogés considèrent que personne ne doit être accusé si son entreprise subit une attaque SAP, suivis de ceux qui considèrent que le DSI en est responsable (26 % des interrogés) et ceux pour qui il s'agit du RSSI (18 % des interrogés) ;

- Quel est l'impact de l'IdO et des autres nouvelles technologies ? 59 % des interrogés pensent que les nouvelles technologies et tendances telles que les services de cloud, les mobiles, le Big Data et l'Internet des objets augmentent la surface d'attaque de leurs applications SAP ;

- Quelles mesures les entreprises peuvent-elles prendre pour améliorer leur approche de la cybersécurité SAP ? 73 % des interrogés considèrent que les connaissances relatives aux menaces les plus récentes et aux vulnérabilités affectant les applications SAP améliorent la capacité de leur entreprise à gérer les risques en matière de cybersécurité SAP. Certaines pratiques sont également essentielles pour assurer la sécurité au sein d'une infrastructure SAP. 83 % des interrogés considèrent qu'il est crucial d'être capable de détecter les vulnérabilités zero-day dans les applications SAP. 81 % évoquent la capacité à prioriser les menaces visant les applications SAP en fonction du moment auquel les attaques sont susceptibles de survenir. 81 % estiment qu'il est important d'assurer une surveillance permanente afin de garantir que les applications SAP sont sures.