SAP : 15 vulnérabilités exposent les ERP — exécution de code à distance, fuites de données et NIS 2 en jeu
Le CERT-FR a publié le 12 mai 2026 l'avis CERTFR-2026-AVI-0567 documentant quinze vulnérabilités dans les produits SAP — de NetWeaver à S/4HANA en passant par BusinessObjects et Commerce Cloud. Quand l'ERP central d'une entreprise est touché, ce sont la paie, la finance, le CRM et la supply chain qui deviennent exposés. Donc, mécaniquement, des dizaines de milliers d'enregistrements de données personnelles.
Ce qui s'est passé
Dans son avis CERTFR-2026-AVI-0567, l'ANSSI répercute le bulletin de sécurité SAP de mai 2026 : quinze CVE affectent un large éventail de produits SAP, dont l'Application Server ABAP pour NetWeaver et ABAP Platform, BusinessObjects Business Intelligence Platform, S/4HANA (Enterprise Search for ABAP), Commerce Cloud, SAPUI5, HANA Deployment Infrastructure et plusieurs modules métier (Financial Consolidation, Forecasting & Replenishment, Strategic Enterprise Management).
Les risques documentés sont parmi les plus sérieux du référentiel CERT-FR : exécution de code arbitraire à distance, déni de service à distance, atteinte à la confidentialité des données, injection SQL (SQLi), injection de code indirecte à distance (XSS), injection de requêtes illégitimes par rebond (CSRF) et contournement de la politique de sécurité. Les versions concernées couvrent la quasi-totalité des socles SAP_BASIS en production aujourd'hui — de 700 à 918. La seule remédiation officielle est l'application des correctifs publiés par SAP.
Pourquoi c'est important
SAP n'est pas un logiciel comme un autre. C'est l'ossature opérationnelle de la plupart des grandes entreprises européennes : paie et SIRH, comptabilité, achats, fournisseurs, gestion clients, données bancaires. Une vulnérabilité d'exécution de code à distance sur un ABAP central, ou une SQLi sur S/4HANA, n'est donc pas un incident IT isolé — c'est un risque d'accès non autorisé à un patrimoine de données personnelles colossal, au sens de l'article 32 du RGPD.
Cet article impose au responsable de traitement et à ses sous-traitants de mettre en œuvre les « mesures techniques et organisationnelles appropriées » pour garantir un niveau de sécurité adapté au risque. Tenir l'ERP à jour des correctifs publiés par l'éditeur fait partie du socle minimum attendu par la CNIL et les autres autorités de contrôle. Ignorer un avis CERT-FR documenté, avec des CVE actives, devient en pratique difficile à défendre lors d'un contrôle.
Le cas SAP arrive dans une séquence chargée : le CERT-FR a déjà alerté ces dernières semaines sur des vulnérabilités majeures dans Apache HTTP Server, dans les produits Atlassian (Confluence et Jira), ou encore dans Stormshield Management Center. Pour les DPO et RSSI, c'est un signal clair : la pression réglementaire sur la gestion des vulnérabilités, déjà forte au titre du RGPD, est amplifiée par NIS 2 (notification d'un incident significatif à l'ANSSI sous 24 heures) et par DORA pour les acteurs financiers (registre des incidents TIC, tests de résilience).
Ce que ça change pour les organisations
Concrètement, et indépendamment de la taille de l'organisation, quatre actions s'imposent sous 72 heures :
1. Inventorier l'exposition SAP. Recenser toutes les instances en production : versions des modules SAP_BASIS, S/4HANA, BusinessObjects, SAPUI5, Commerce Cloud, HANA Deployment Infrastructure. Identifier celles exposées à Internet ou accessibles depuis des sous-traitants. L'exercice doit être tracé : un tableau de bord daté et signé, à conserver pour démontrer la diligence en cas de contrôle.
2. Appliquer les patchs SAP de mai 2026. Le bulletin éditeur est public ; les correctifs sont disponibles. La fenêtre de patching doit être documentée — dates d'application, instances couvertes, instances exclues et justification (test, redémarrage planifié, dépendances applicatives). Une exclusion non justifiée se retournera contre l'organisation en cas d'incident.
3. Surveiller les logs et l'activité ABAP / BSP. Plusieurs CVE permettent une exécution de code à distance ou une compromission via Business Server Pages. Activer ou renforcer les journaux d'audit SAP (SM19/SM20, RAL), corréler avec le SIEM, rechercher les indicateurs de compromission. En cas de signal faible, ne pas tarder à enclencher la chaîne notification.
4. Réviser la cartographie sous-traitants. Beaucoup d'organisations exploitent leur SAP via un intégrateur ou un hébergeur. Le RGPD impose des engagements documentés sur la sécurité de cet écosystème — les questionnaires sécurité doivent désormais inclure le patching SAP comme un point explicite, intégré aux mesures de sécurité du traitement.
Pour le DPO, l'avis CERT-FR doit déclencher une mise à jour du registre des risques et un échange formel avec la DSI/RSSI. Si un signal de compromission est détecté, la chaîne notification se déclenche : 72 heures pour la CNIL (RGPD article 33), 24 heures pour l'ANSSI au titre de NIS 2, et reporting au régulateur sectoriel le cas échéant (ACPR, AMF pour DORA).
Ce que Leto pense de cette décision
Un avis CERT-FR sur SAP ne se traite pas comme un avis sur un outil métier secondaire. Pour la majorité des grandes entreprises françaises, c'est un déclencheur de revue de sécurité globale, parce que la donnée personnelle qui transite par SAP — fiches de paie, contrats, données clients, références bancaires — est exactement celle dont la CNIL exigera l'inventaire en premier en cas de violation. Le calendrier réglementaire (NIS 2 pleinement opérationnel, DORA en vigueur, omnibus numérique en cours de stabilisation) ne laisse plus aucune marge pour traiter ces avis avec retard. La diligence est aussi un actif de défense.
Sources :
