Une étude de l'Institut Ponemon révèle que les cadres dirigeants sous-estiment largement le risque de cyberattaques SAP
Les résultats de l’étude montrent qu’il existe un fossé entre la perception du risque par les cadres et par les professionnels de la sécurité s’agissant de la préparation à ces attaques et de leur impact potentiel.
Paris, le 24 Février 2016 Ponemon Institute ,présente aujourd’hui les résultats de la première étude du secteur relative à la cybersécurité des applications SAP et sponsorisée par Onapsis. Plus de la moitié des sociétés étudiées, soit 56 %, pensent qu’il est possible que leur société subisse une violation de données dû aux applications SAP non sécurisées. Ce même groupe de participants déclare que la plateforme SAP de leur entreprise a été attaquée en moyenne deux fois dans les 24 derniers mois, mais 63 % indiquent que les cadres dirigeants ont tendance à sous-estimer le risque représenté par les applications SAP non sécurisées, des systèmes qui hébergent les applications et les données les plus stratégiques pour les entreprises du Global 2000.
Cette différence de perception est renforcée par le fait que les entreprises n’ont qu’une visibilité limitée de la sécurité de leurs applications SAP et ne disposent peut-être pas de l’expertise nécessaire pour prévenir, détecter et réagir rapidement aux cyberattaques – un problème qui pourrait être catastrophique ou très grave pour 60 % des interrogés, et qui pourrait coûter 4,5 millions de $ en moyenne si les systèmes sont mis hors service.
“Une des grandes surprises de cette étude, c’est cette augmentation des attaques silencieuses qui frappent les entreprises. Elles sont difficiles à détecter et peuvent avoir un impact majeur sur les activités ou l’économie dans son ensemble,” explique Larry Ponemon, président et créateur de l’Institut Ponemon. “Ce qui est inquiétant, c’est que les données de l’étude indiquent que les attaques des applications SAP risquent d’augmenter, mais qu’il n’y a pas d’équipe ou de poste spécifique chargé d’y remédier. Il semble que la cybersécurité SAP ne relève ni des attributions des équipes chargées de la sécurité SAP, ni de celles des responsables de la sécurité des informations. Il est important qu’ils se mobilisent pour combler cette faille et en faire une priorité.”
Les données de l’étude indiquent que les cadres supérieurs sont conscients de l’importance des systèmes SAP en matière de rendements, mais ignorent les risques qu’ils représentent en termes de cybersécurité : 76 % des interrogés expliquent que leurs cadres supérieurs comprennent l’importance et la criticité d esant sur les applications SAP.
Avec plus de 600 personnes compétentes interrogées, l’étude intitulée “Uncovering the Risks of SAP Cyber Breaches” est la première étude d’envergure réalisée par des professionnels de la sécurité informatique et des informations chargés de protéger les systèmes SAP qui hébergent les données les plus sensibles de leur entreprise. “Tandis que les acteurs du secteur commencent à comprendre l’impact potential d’une violation de données ou d’une cyberattaque de leur système SAP au regard de la valeur des données qui pourraient être perdues, la surface d’attaque augmente rapidement, avec des nouvelles technologies telles que l’IdO, les mobiles et le cloud,” explique Mariano Nunez, PDG d’Onapsis. “Définir clairement les responsabilités et l’utilisation d’outils de tiers pour intégrer les équipes, établir des processus et opérationnaliser la prévention et la détection des vulnérabilités SAP sont autant de priorités si l’on veut prévenir des impacts économiques d’envergure.”
Autres informations essentielles :
- Les plateformes SAP peuvent-elles contenir des logiciels malveillants?75 % des interrogés considèrent qu’il est fort probable (33 %) ou probable (42%) que les plateformes SAP soient infectées par un ou plusieurs logiciel(s) malveillant(s).
- Combien de temps faut-il pour détecter une attaque? Personne ne croit vraiment qu’une attaque visant une plateforme SAP puisse être détectée immédiatement ou en moins d’une semaine. En effet, près de 100 % des participants pensent qu’il est impossible de détecter immédiatement l’attaque d’un système SAP. Et même une année plus tard, 78 % des participants estiment qu’il est impossible de détecter l’attaque d’un système SAP.
- Qui est responsable de la sécurité SAP? 54 % des participants interrogés pensent que c’est à SAP et non à leur entreprise d’assurer la sécurité de ses applications et plateformes. En interne, l’équipe de sécurité SAP est rarement responsable de la sécurité des systèmes SAP : 25 % des interrogés expliquent qu’au sein de leur entreprise, aucun poste n’assure la sécurité des applications SAP, 21 % déclarent que cette fonction est assumée par l’infrastructure IT, 19% par l’équipe de sécurité SAP et 18 % par le service de sécurité des informations.
- Qui sera tenu pour responsable en cas de violation des données impliquant le système SAP? 30 % des interrogés considèrent que personne ne doit être accusé si leur entreprise subit une attaque SAP, suivis de ceux qui considèrent que le DSI en est responsable (26 % des interrogés) et ceux pour qui il s’agit du RSSI (18 % des interrogés).
- Quel est l’impact de l’IdO et des autres nouvelles technologies? 59 % des interrogés pensent que les nouvelles technologies et tendances telles que les services de cloud, les mobiles, les big data et l’Internet des objets augmentent la surface d’attaque de leurs applications SAP.
- Quelles mesures les entreprises peuvent-elles prendre pour améliorer leur approche de la cybersécurité SAP? 73 % des interrogés considèrent que les connaissances relatives aux menaces les plus récentes et aux vulnérabilités affectant les applications SAP améliorent la capacité de leur entreprise à gérer les risques en matière de cybersécurité SAP. Certaines pratiques sont également essentielles pour assurer la s e rapport est disponible en version intégrale ici :
- 83 % des interrogés considèrent qu’il est crucial d’être capable de détecter les vulnérabilités zero-day dans les applications SAP.
- 81 % évoquent la capacité à prioriser les menaces visant les applications SAP en fonction du moment auquel les attaques sont susceptibles de survenir.
- 81 % estiment qu’il est important d’assurer une surveillance permanente afin de garantir que les applications SAP sont sures.
Le rapport est disponible en version intégrale ici: https://onapsis.com/ponemon-report.
Jeudi 24 Mars, Onapsis et l’Institut Ponemon organisent un webcast pour échanger autour des conclusions de l’étude. Pour s’inscrire : www.onapsis.com, ou suivez Onapsis sur Twitter, Google+ ou LinkedIn.
Onapsis et Onapsis Research Labs sont des marques déposées d’Onapsis, Inc. Tous les autres noms de société ou de produit peuvent être des marques déposées de leur propriétaire respectif.