{"id":28260,"date":"2025-10-06T11:30:00","date_gmt":"2025-10-06T06:00:00","guid":{"rendered":"https:\/\/www.tjc-group.com\/blogs\/est-il-prudent-de-conserver-des-donnees-patrimoniales-dans-un-ancien-systeme-sap\/"},"modified":"2023-10-30T22:13:27","modified_gmt":"2023-10-30T16:43:27","slug":"est-il-prudent-de-conserver-des-anciennes-donnees-dans-un-systeme-legacy-sap","status":"publish","type":"blog","link":"https:\/\/www.tjc-group.com\/fr\/blogs\/est-il-prudent-de-conserver-des-anciennes-donnees-dans-un-systeme-legacy-sap\/","title":{"rendered":"Est-il prudent de conserver des anciennes donn\u00e9es dans un syst\u00e8me legacy SAP ?"},"content":{"rendered":"\n

Auteur: Yannick Thomassier<\/a>, Chief Security Officer au sein du Groupe TJC<\/p>\n\n\n\n

Garantir la s\u00e9curit\u00e9 des syst\u00e8mes est l\u2019un des enjeux les plus cruciaux pour les entreprises. Cependant, face aux risques de vuln\u00e9rabilit\u00e9s, cela peut s\u2019av\u00e9rer difficile, en particulier si vous avez des syst\u00e8mes SAP. Mais ne vous inqui\u00e9tez pas ! Dans cet article, nous abordons tous les aspects des vuln\u00e9rabilit\u00e9s SAP et la mani\u00e8re d\u2019y rem\u00e9dier. D\u00e9couvrez tous nos conseils !<\/h2>\n\n\n\n

Syst\u00e8mes SAP : Une vue d\u2019ensemble<\/h2>\n\n\n\n

Les syst\u00e8mes SAP sont constitu\u00e9s de nombreux composants qui ne sont pas fournis par la m\u00eame entreprise mais qui doivent fonctionner ensemble pour fournir le service attendu. Du point de vue de la s\u00e9curit\u00e9 informatique, un syst\u00e8me SAP de type legacy doit \u00eatre maintenu \u00e0 jour pour ne pas devenir un point faible dans le r\u00e9seau de s\u00e9curit\u00e9 du syst\u00e8me d\u2019information d\u2019une entreprise. Ainsi, selon le mod\u00e8le pr\u00e9sent\u00e9 ici, tous les logiciels et mat\u00e9riels qui composent le syst\u00e8me informatique doivent \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ces mises \u00e0 jour peuvent devenir compliqu\u00e9es et entra\u00eener des incompatibilit\u00e9s, voire des dysfonctionnements ; les composants n\u2019\u00e9tant pas tous fournis par le m\u00eame prestataire, ces mises \u00e0 jour peuvent les rendre incompatibles entre eux, emp\u00eachant l\u2019acc\u00e8s aux donn\u00e9es.<\/p>\n\n\n\n

La mise \u00e0 niveau d\u2019un syst\u00e8me d\u2019exploitation n\u2019est pas toujours possible et peut n\u00e9cessiter l\u2019installation d\u2019un nouveau serveur dot\u00e9 d\u2019un syst\u00e8me d\u2019exploitation r\u00e9cent. Il est donc n\u00e9cessaire de cr\u00e9er une copie similaire du syst\u00e8me SAP. Cela repr\u00e9sente une charge de travail importante et n\u00e9cessite de disposer de licences \u00e0 jour pour le syst\u00e8me d\u2019exploitation, la base de donn\u00e9es et le logiciel SAP.<\/p>\n\n\n\n

Les administrateurs du syst\u00e8me sont alors tent\u00e9s de ne pas appliquer les mises \u00e0 jour aux diff\u00e9rents composants pour \u00e9viter de provoquer des dysfonctionnements. Dans de telles situations, les vuln\u00e9rabilit\u00e9s ne sont plus correctes et le syst\u00e8me devient donc vuln\u00e9rable aux cyberattaques.<\/p>\n\n\n\n

Un peu plus de d\u00e9tails sur les vuln\u00e9rabilit\u00e9s de SAP<\/h2>\n\n\n\n

Pendant longtemps, on a cru qu\u2019il suffisait de mettre en place une solide gestion des autorisations des utilisateurs pour \u00eatre prot\u00e9g\u00e9. Ce n\u2019est pourtant pas le cas, car les syst\u00e8mes SAP pr\u00e9sentent r\u00e9guli\u00e8rement des vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n

SAP publie un bulletin de vuln\u00e9rabilit\u00e9 chaque mois et a signal\u00e9 280 vuln\u00e9rabilit\u00e9s par an en moyenne au cours des trois derni\u00e8res ann\u00e9es<\/em>.<\/p>\n\n\n\n

Selon le Rapport 2023 d\u2019Onapsis sur la s\u00e9curit\u00e9<\/strong><\/a>, si un pirate parvient \u00e0 acc\u00e9der \u00e0 un syst\u00e8me SAP non prot\u00e9g\u00e9 en exploitant une application vuln\u00e9rable orient\u00e9e vers internet ou en ex\u00e9cutant une attaque depuis l\u2019int\u00e9rieur de la structure sur des syst\u00e8mes non s\u00e9curis\u00e9s, l\u2019impact sur l\u2019entreprise peut \u00eatre critique. Dans de nombreux sc\u00e9narios, l\u2019attaquant serait en mesure d\u2019acc\u00e9der au syst\u00e8me SAP vuln\u00e9rable avec un maximum de privil\u00e8ges (Administrateur\/SAP_ALL), en contournant tous les contr\u00f4les d\u2019acc\u00e8s et d\u2019autorisation (tels que la s\u00e9paration des t\u00e2ches, la gestion des identit\u00e9s et les solutions GRC).<\/p>\n\n\n\n

Cela signifie que l\u2019attaquant pourrait prendre le contr\u00f4le total du syst\u00e8me SAP affect\u00e9, de ses donn\u00e9es et de ses processus de gestion sous-jacents. Le fait de disposer d\u2019un acc\u00e8s administratif au syst\u00e8me permettrait \u00e0 l\u2019attaquant de g\u00e9rer (lire\/modifier\/supprimer) chaque enregistrement, chaque fichier et chaque rapport du syst\u00e8me.<\/p>\n\n\n\n

Principaux exemples de vuln\u00e9rabilit\u00e9s SAP<\/h2>\n\n\n\n

Bien que cette liste ne soit pas exhaustive, elle correspond \u00e0 des vuln\u00e9rabilit\u00e9s graves et pr\u00e9occupantes pour le syst\u00e8me SAP lui-m\u00eame. Les vuln\u00e9rabilit\u00e9s peuvent \u00e9galement provenir du syst\u00e8me d\u2019exploitation ou de la base de donn\u00e9es, parmi de nombreuses autres possibilit\u00e9s, ce qui confirme que les sources de menaces peuvent \u00eatre nombreuses. Poursuivez votre lecture pour en savoir plus \u2013<\/p>\n\n\n\n

Les deux premiers exemples concernent SAP NetWeaver :<\/p>\n\n\n\n

CVE-2022-22536 : Note SAP 3123396<\/h3>\n\n\n\n

Cette vuln\u00e9rabilit\u00e9 critique affecte le syst\u00e8me SAP depuis f\u00e9vrier 2022. Un attaquant \u00e0 distance non authentifi\u00e9 peut exploiter la vuln\u00e9rabilit\u00e9 en utilisant une simple requ\u00eate HTTP et r\u00e9aliser une prise de contr\u00f4le compl\u00e8te du syst\u00e8me. Les structures touch\u00e9es pourraient \u00eatre confront\u00e9es au vol de donn\u00e9es sensibles, \u00e0 la fraude financi\u00e8re, \u00e0 l\u2019interruption de processus commerciaux essentiels, aux ransomwares et \u00e0 l\u2019arr\u00eat de toutes les op\u00e9rations.<\/p>\n\n\n\n

Plus d\u2019informations sur CVE-2022-22536 dans cette vid\u00e9o : Erreur de serveur interne : exploitation de la communication inter-processus dans le serveur HTTP de SAP<\/a><\/p>\n\n\n\n

CVE-2019-0328 : Note SAP 2758144<\/h3>\n\n\n\n

Cette vuln\u00e9rabilit\u00e9 affecte le composant ABAP Test Cockpit (ATC) de SAP NetWeaver ABAP. Il est d\u00fb \u00e0 un manque de validation correcte des entr\u00e9es utilisateur dans un module fonctionnel sp\u00e9cifique, ce qui pourrait permettre \u00e0 un attaquant d\u2019ex\u00e9cuter du code arbitraire \u00e0 distance. S\u2019il est exploit\u00e9, un pirate peut prendre le contr\u00f4le du syst\u00e8me SAP concern\u00e9. Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 jug\u00e9e critique avec un score CVSS<\/a> de 9,8 sur 10.<\/p>\n\n\n\n

\"\"
Figure 1. Vuln\u00e9rabilit\u00e9 CVE-2019-0328.<\/figcaption><\/figure>\n\n\n\n
\"\"
Figure 2 Note SAP 2758144 pour lutter contre CVE-2019-0328<\/figcaption><\/figure>\n\n\n\n

Pour plus d\u2019informations sur CVE-2019-0328, regardez cette vid\u00e9o : Vuln\u00e9rabilit\u00e9 d\u2019injection de code SAP (CVE-2019-0328)<\/a><\/p>\n\n\n\n

Vos syst\u00e8mes SAP peuvent \u00e9galement comporter le serveur d\u2019application NetWeaver Java<\/strong>, qui peut lui aussi \u00eatre attaqu\u00e9 par des vuln\u00e9rabilit\u00e9s :<\/p>\n\n\n\n

CVE-2020-6287 : Note SAP 2934135<\/h3>\n\n\n\n

Cette vuln\u00e9rabilit\u00e9 est une faille critique d\u2019ex\u00e9cution de code \u00e0 distance qui affecte le serveur d\u2019application SAP NetWeaver Java. S\u2019il est exploit\u00e9, un pirate peut prendre le contr\u00f4le complet du syst\u00e8me SAP concern\u00e9. Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 utilis\u00e9e dans des attaques contre plusieurs structures des secteurs de la d\u00e9fense, de l\u2019a\u00e9rospatiale et de la haute technologie. Par exemple, une entreprise technologique multinationale a \u00e9t\u00e9 la cible d\u2019attaquants qui ont exploit\u00e9 cette vuln\u00e9rabilit\u00e9 pour voler des informations confidentielles relatives \u00e0 ses projets de recherche et de d\u00e9veloppement. Vous pouvez trouver plus d\u2019informations sur CVE-2020-6287 dans cette vid\u00e9o : Live Stream Hunting & Exploitation of latest CVE 2020 6286\/6287 for Bug Bounties (en anglais)<\/a><\/p>\n\n\n\n

CVE-2019-0321 : Note SAP 2758146<\/h3>\n\n\n\n

Cette vuln\u00e9rabilit\u00e9 permet aux attaquants d\u2019ex\u00e9cuter un code arbitraire sur SAP NetWeaver Application Server Java par le biais d\u2019un fichier JSP malveillant. L\u2019impact de cette vuln\u00e9rabilit\u00e9 varie en fonction de l\u2019organisation vis\u00e9e. Par exemple, une soci\u00e9t\u00e9 mondiale de services financiers a \u00e9t\u00e9 la cible d\u2019attaquants qui ont exploit\u00e9 cette vuln\u00e9rabilit\u00e9 pour voler des informations sensibles, notamment des num\u00e9ros de comptes bancaires et des mots de passe, \u00e0 partir de ses syst\u00e8mes.<\/p>\n\n\n\n

CVE-2018-2380 : Note SAP 2562333<\/h3>\n\n\n\n

Cette vuln\u00e9rabilit\u00e9 est une faille critique d\u2019ex\u00e9cution de code \u00e0 distance qui affecte l\u2019analyseur XML dans SAP NetWeaver Application Server Java. S\u2019il est exploit\u00e9, un pirate peut prendre le contr\u00f4le complet du syst\u00e8me SAP concern\u00e9. Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 utilis\u00e9e dans des attaques contre plusieurs structures dans les secteurs de la fabrication, du transport et de la logistique. Par exemple, un producteur d\u2019aluminium norv\u00e9gien, Norsk Hydro, a \u00e9t\u00e9 la cible d\u2019un groupe de pirates informatiques connu sous le nom d\u2019APT 29, ce qui a oblig\u00e9 l\u2019entreprise \u00e0 fermer certaines de ses usines et \u00e0 passer \u00e0 des op\u00e9rations manuelles pendant un certain temps, entra\u00eenant des pertes financi\u00e8res consid\u00e9rables.<\/p>\n\n\n\n

M\u00eame les syst\u00e8mes SAP des petites entreprises sont affect\u00e9s par des vuln\u00e9rabilit\u00e9s et peuvent \u00eatre la cible d\u2019attaques. Si vous faites partie d\u2019une grande entreprise et que vous disposez de la version ECC de SAP, \u00eates-vous s\u00fbr que la version Business One n\u2019est pas install\u00e9e et op\u00e9rationnelle pour une entit\u00e9 ou une filiale de votre entreprise ?<\/p>\n\n\n\n

CVE-2021-27610 : Note SAP 3037518<\/h3>\n\n\n\n

Cette vuln\u00e9rabilit\u00e9 permet aux attaquants d\u2019ex\u00e9cuter du code \u00e0 distance sur SAP Business One par le biais d\u2019un fichier malveillant. L\u2019impact de cette vuln\u00e9rabilit\u00e9 varie en fonction de la structure vis\u00e9e. Par exemple, un distributeur mondial de composants \u00e9lectroniques a \u00e9t\u00e9 la cible d\u2019attaquants qui ont exploit\u00e9 cette vuln\u00e9rabilit\u00e9 pour voler des informations sensibles, notamment des donn\u00e9es sur les clients et des informations financi\u00e8res.<\/p>\n\n\n\n

Vuln\u00e9rabilit\u00e9s SAP : Ce qu\u2019il faut retenir<\/h2>\n\n\n\n

Selon l\u2019Agence pour la cybers\u00e9curit\u00e9 et la s\u00e9curit\u00e9 des infrastructures (CISA), en 2021, des pirates ont utilis\u00e9 des failles r\u00e9solues dans des syst\u00e8mes SAP non corrig\u00e9s pour acc\u00e9der \u00e0 des r\u00e9seaux d\u2019entreprise. Par cons\u00e9quent, les syst\u00e8mes vuln\u00e9rables non corrig\u00e9s doivent \u00eatre isol\u00e9s afin qu\u2019ils ne constituent pas un point d\u2019entr\u00e9e pour les individus mal intentionn\u00e9s. Toutefois, la mise en \u0153uvre et la maintenance de ce syst\u00e8me sont compliqu\u00e9es, ce qui rend l\u2019acc\u00e8s et l\u2019interaction avec les utilisateurs l\u00e9gitimes beaucoup plus difficiles.<\/p>\n\n\n\n

Cependant, ne partez jamais du principe que votre ancien syst\u00e8me SAP n\u2019est pas expos\u00e9 \u00e0 des vuln\u00e9rabilit\u00e9s simplement parce qu\u2019il n\u2019est accessible qu\u2019au moyen d\u2019une connexion VPN. Les pirates informatiques peuvent tenter de prendre le contr\u00f4le de vos syst\u00e8mes ou d\u2019y p\u00e9n\u00e9trer de diff\u00e9rentes mani\u00e8res, notamment en usurpant votre identit\u00e9 num\u00e9rique. Le vol d\u2019identit\u00e9 num\u00e9rique (par exemple, par le biais d\u2019une attaque de phishing cibl\u00e9e) permet \u00e0 l\u2019attaquant de contourner la connexion VPN et d\u2019acc\u00e9der \u00e0 votre syst\u00e8me SAP comme s\u2019il \u00e9tait expos\u00e9 sur Internet.<\/p>\n\n\n\n

Par ailleurs, n\u2019oubliez pas que l\u2019obsolescence programm\u00e9e n\u2019est pas un mythe. D\u00e8s le moment o\u00f9 les \u00e9volutions ne sont pas seulement logicielles mais aussi mat\u00e9rielles (changement d\u2019hyperscale, \u00e9volution de la solution de stockage ou de sauvegarde, etc), la migration peut \u00eatre incompatible avec les syst\u00e8mes legacy. D\u00e9passer le MTBF (Mean Time Between Failure) d\u2019un \u00e9quipement physique est tr\u00e8s risqu\u00e9, m\u00eame si vous disposez d\u2019\u00e9quipements de rechange. Du point de vue de la conformit\u00e9, ces anciens syst\u00e8mes obsol\u00e8tes constituent des points noirs qui devront \u00eatre surveill\u00e9s. Leur non-respect sera rappel\u00e9 sans rel\u00e2che jusqu\u2019\u00e0 ce qu\u2019une solution conforme et durable soit trouv\u00e9e.<\/p>\n\n\n\n

Prot\u00e9ger les donn\u00e9es legacy gr\u00e2ce au decommissionnement des syst\u00e8mes<\/h2>\n\n\n\n

Les donn\u00e9es fournies ci-dessus permettent de conclure qu\u2019il n\u2019est pas s\u00fbr de conserver des donn\u00e9es anciennes dans d\u2019anciens syst\u00e8mes, car de nombreuses vuln\u00e9rabilit\u00e9s peuvent affecter un syst\u00e8me SAP. La meilleure fa\u00e7on de prot\u00e9ger vos syst\u00e8mes contre de telles vuln\u00e9rabilit\u00e9s est de d\u00e9commissionner le syst\u00e8me existant et de stocker les donn\u00e9es dans un environnement s\u00fbr \u2013 ce qui signifie extraire 100 % de vos donn\u00e9es existantes. Il permet non seulement de s\u00e9curiser votre syst\u00e8me, mais aussi de garantir la conformit\u00e9 future avec les exigences en mati\u00e8re de fiscalit\u00e9, d\u2019audit et de confidentialit\u00e9 des donn\u00e9es.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Le Groupe TJC dispose d\u2019une m\u00e9thodologie \u00e9prouv\u00e9e pour le d\u00e9commissionnement des syst\u00e8mes, qui permet d\u2019extraire 100 % des donn\u00e9es existantes dans des fichiers plats et de les stocker dans un environnement s\u00e9curis\u00e9. Par la suite, les donn\u00e9es legacy peuvent \u00eatre r\u00e9\u00e9valu\u00e9es \u00e0 tout moment par le biais de l\u2019application Enterprise Legacy System Application <\/strong>(ELSA)<\/strong><\/a>. Elsa by TJC donne aux clients finaux la certitude que leurs donn\u00e9es sont toujours accessibles. L\u2019application fonctionne avec les syst\u00e8mes SAP et non SAP. Si vous souhaitez prot\u00e9ger vos donn\u00e9es legacy, contactez-nous d\u00e8s aujourd\u2019hui pour en savoir plus !<\/p>\n\n\n\n

Apprenez tout ce que vous devez savoir sur le d\u00e9commissionnement des syst\u00e8mes legacy dans ce webinaire : https:\/\/youtu.be\/SAu4qeTUNOY<\/p>\n\n\n\n

\"Webinar<\/a><\/figure>\n\n\n\n

Sources :<\/strong><\/p>\n\n\n\n