Cette différence de perception est renforcée par le fait que les entreprises n’ont qu’une visibilité limitée de la sécurité de leurs applications SAP et ne disposent peut-être pas de l’expertise nécessaire pour prévenir, détecter et réagir rapidement aux cyberattaques – un problème qui pourrait être catastrophique ou très grave pour 60 % des interrogés, et qui pourrait coûter 4,5 millions de $ en moyenne si les systèmes sont mis hors service.

« Une des grandes surprises de cette étude, c’est cette augmentation des attaques silencieuses qui frappent les entreprises. Elles sont difficiles à détecter et peuvent avoir un impact majeur sur les activités ou l’économie dans son ensemble », explique Larry Ponemon, président et créateur de l’Institut Ponemon. « Ce qui est inquiétant, c’est que les données de l’étude indiquent que les attaques des applications SAP risquent d’augmenter, mais qu’il n’y a pas d’équipe ou de poste spécifique chargé d’y remédier. Il semble que la cybersécurité SAP ne relève ni des attributions des équipes chargées de la sécurité SAP, ni de celles des responsables de la sécurité des informations. Il est important qu’ils se mobilisent pour combler cette faille et en faire une priorité. »

Les données de l’étude indiquent que les cadres supérieurs sont conscients de l’importance des systèmes SAP en matière de rendements, mais ignorent les risques qu’ils représentent en termes de cybersécurité : 76 % des interrogés expliquent que leurs cadres supérieurs comprennent l’importance et la criticité des installations SAP pour la génération de bénéfices. Mais seulement 21 % considèrent que leurs dirigeants sont conscients des risques liés à la cybersécurité pesant sur les applications SAP.

Avec plus de 600 personnes compétentes interrogées, l’étude intitulée « Uncovering the Risks of SAP Cyber Breaches » est la première étude d’envergure réalisée par des professionnels de la sécurité informatique et des informations chargés de protéger les systèmes SAP qui hébergent les données les plus sensibles de leur entreprise.

« Tandis que les acteurs du secteur commencent à comprendre l’impact potentiel d’une violation de données ou d’une cyberattaque de leur système SAP au regard de la valeur des données qui pourraient être perdues, la surface d’attaque augmente rapidement, avec des nouvelles technologies telles que l’IdO, les mobiles et le cloud », explique Mariano Nunez, PDG d’Onapsis. « Définir clairement les responsabilités et l’utilisation d’outils de tiers pour intégrer les équipes, établir des processus et opérationnaliser la prévention et la détection des vulnérabilités SAP sont autant de priorités si l’on veut prévenir des impacts économiques d’envergure. »

Autres informations essentielles :
• Les plateformes SAP peuvent-elles contenir des logiciels malveillants ?
75 % des interrogés considèrent qu’il est fort probable (33 %) ou probable (42 %) que les plateformes SAP soient infectées par un ou plusieurs logiciel(s) malveillant(s).
• Combien de temps faut-il pour détecter une attaque ? Personne ne croit vraiment qu’une attaque visant une plateforme SAP puisse être détectée immédiatement ou en moins d’une semaine. En effet, près de 100 % des participants pensent qu’il est impossible de détecter immédiatement l’attaque d’un système SAP. Et même une année plus tard, 78 % des participants estiment qu’il est impossible de détecter l’attaque d’un système SAP.
• Qui est responsable de la sécurité SAP ? 54 % des participants interrogés pensent que c’est à SAP et non à leur entreprise d’assurer la sécurité de ses applications et plateformes. En interne, l’équipe de sécurité SAP est rarement responsable de la sécurité des systèmes SAP : 25 % des interrogés expliquent qu’au sein de leur entreprise, aucun poste n’assure la sécurité des applications SAP, 21 % déclarent que cette fonction est assumée par l’infrastructure IT, 19 % par l’équipe de sécurité SAP et 18 % par le service de sécurité des informations.
• Qui sera tenu pour responsable en cas de violation des données impliquant le système SAP ? 30 % des interrogés considèrent que personne ne doit être accusé si leur entreprise subit une attaque SAP, suivis de ceux qui considèrent que le DSI en est responsable (26 % des interrogés) et ceux pour qui il s’agit du RSSI (18 % des interrogés).
• Quel est l’impact de l’IdO et des autres nouvelles technologies ? 59 % des interrogés pensent que les nouvelles technologies et tendances telles que les services de cloud, les mobiles, les big data et l’Internet des objets augmentent la surface d’attaque de leurs applications SAP.
• Quelles mesures les entreprises peuvent-elles prendre pour améliorer leur approche de la cybersécurité SAP ? 73 % des interrogés considèrent que les connaissances relatives aux menaces les plus récentes et aux vulnérabilités affectant les applications SAP améliorent la capacité de leur entreprise à gérer les risques en matière de cybersécurité SAP. Certaines pratiques sont également essentielles pour assurer la sécurité au sein d’une infrastructure SAP.
o 83 % des interrogés considèrent qu’il est crucial d’être capable de détecter les vulnérabilités zero-day dans les applications SAP.
o 81 % évoquent la capacité à prioriser les menaces visant les applications SAP en fonction du moment auquel les attaques sont susceptibles de survenir
o 81 % estiment qu’il est important d’assurer une surveillance permanente afin de garantir que les applications SAP sont sures.