Cette fois, les entreprises utilisatrices ne pourront pas se plaindre de l'éditeur SAP. Onapsis, au travers de son service Business Risk illustration, a testé les systèmes SAP d'une centaine de grandes entreprises dans le monde début 2016. Il a remonté l'existence de très nombreuses failles dans les SI des entreprises mais pourtant des patchs existent, parfois depuis des années. Très souvent, ces failles permettent une prise de contrôle à distance des SI avec de très larges droits, notamment de captation et d'altération de données stratégiques non-chiffrées mais aussi de configuration pour amplifier l'agression par de nouvelles attaques.
36 grandes entreprises américaines ont ainsi négligé d'appliquer un patch vieux de six ans. Ce patch corrigeait une faille du servlet Invoker qui fragilise tous les développements Java. En tout, 480 failles ont été détectées dont 142 de niveau critique. La nature et le nombre des failles varie selon les secteurs et donc les modules déployés : 127 dans le secteur pétrolier, 145 dans l'aéronautique, etc.
Sur le même sujet :
- le 11 août 2016 : Onapsis pointe de nouveaux risques sur SAP et Oracle