Technologies

Les entreprises ne comblent pas leurs failles dans leurs systèmes SAP

La faille du servlet Invoker qui fragilise tous les développements Java a été patchée il y a six ans mais reste béante dans de grandes entreprises.

A quoi bon payer la maintenance SAP ? Selon une étude d'Onapsis, de multiples failles patchables sont toujours béantes en entreprises.

PublicitéCette fois, les entreprises utilisatrices ne pourront pas se plaindre de l'éditeur SAP. Onapsis, au travers de son service Business Risk illustration, a testé les systèmes SAP d'une centaine de grandes entreprises dans le monde début 2016. Il a remonté l'existence de très nombreuses failles dans les SI des entreprises mais pourtant des patches existent, parfois depuis des années. Très souvent, ces failles permettent une prise de contrôle à distance des SI avec de très larges droits, notamment de captation et d'altération de données stratégiques non-chiffrées mais aussi de configuration pour amplifier l'agression par de nouvelles attaques.

36 grandes entreprises américaines ont ainsi négligé d'appliquer un patch vieux de six ans. Ce patch corrigeait une faille du servlet Invoker qui fragilise tous les développements Java. En tout, 480 failles ont été détectées dont 142 de niveau critique. La nature et le nombre des failles varie selon les secteurs et donc les modules déployés : 127 dans le secteur pétrolier, 145 dans l'aéronautique, etc.