SAP de nouveau épinglé par le CERT-FR : 15 failles frappent BusinessObjects, Fiori et Commerce Cloud

10/6/26
👈 les autres actualités

Le CERT-FR a publié le 9 juin 2026 l'avis CERTFR-2026-AVI-0715, qui documente quinze vulnérabilités dans les produits SAP — de BusinessObjects à Fiori en passant par Commerce Cloud. Pour les directions juridiques et les RSSI, ce n'est pas un simple bulletin technique : dès lors qu'une instance SAP traite de la paie, des dossiers RH ou des données clients, l'avis enclenche l'article 32 du RGPD et les obligations de gestion des vulnérabilités issues de NIS 2.

Ce qui s'est passé

L'avis s'appuie sur le bulletin de sécurité SAP de juin 2026 et recense quinze références CVE, parmi lesquelles CVE-2025-68161, CVE-2026-22732, CVE-2026-44743 ou encore CVE-2026-44757. Les risques identifiés par l'éditeur couvrent l'injection SQL, l'injection de code indirecte à distance (XSS) et le contournement de la politique de sécurité.

Le périmètre touché est large et concerne des briques très répandues dans les systèmes d'information d'entreprise : SAP BusinessObjects Business Intelligence Platform (versions ENTERPRISE 430, 2025 et 2027), Commerce Cloud et Data Hub (HY_COM 2205, COM_CLOUD 2211 et variantes), le launchpad Fiori (SAP_UI 754 à 758 et 816) ainsi que le module MDG « Review Match Groups » (S4CORE 108, SAP_BASIS 916 et 917). Dans tous les cas, le correctif consiste à appliquer le dernier patch de sécurité publié par SAP.

Pourquoi c'est important

SAP est rarement un système isolé : il concentre la paie, la comptabilité, les achats, parfois le CRM. Autrement dit, des données personnelles à forte sensibilité juridique transitent en permanence par ces ERP. Une faille permettant une injection SQL ou un contournement de politique de sécurité n'est donc pas qu'un problème d'exploitation — c'est un défaut potentiel de « mesures techniques appropriées » au sens de l'article 32 du RGPD, qui impose au responsable de traitement comme au sous-traitant de garantir la confidentialité et l'intégrité des données.

Si une de ces vulnérabilités venait à être exploitée, le scénario bascule immédiatement dans le régime de la violation de données. La gestion d'une violation de données impose alors une notification à la CNIL sous 72 heures au titre de l'article 33, et une communication aux personnes concernées si le risque est élevé. Pour les entités régulées par NIS 2, s'ajoute l'obligation d'alerter l'ANSSI d'un incident significatif sous 24 heures. Cet avis SAP s'inscrit dans une série continue d'alertes CERT-FR visant des logiciels d'entreprise, après notamment l'avis Atlassian d'avril 2026 et un premier lot de quinze vulnérabilités SAP traité un mois plus tôt.

Ce que ça change pour les organisations

La fenêtre d'action utile pour un DPO et un RSSI se compte en jours, pas en semaines. Quatre réflexes s'imposent. D'abord, inventorier les instances SAP exposées — en priorisant celles accessibles depuis Internet (launchpad Fiori, Commerce Cloud) et celles qui traitent des données RH ou financières. Ensuite, appliquer sans délai les correctifs du bulletin SAP de juin 2026 ou, à défaut, documenter formellement la décision de report et les mesures compensatoires.

Troisième réflexe : surveiller les journaux applicatifs (ABAP, BSP, traces d'accès BusinessObjects) pour détecter toute tentative d'exploitation antérieure au patch. Enfin, ressortir les contrats de sous-traitance : lorsque SAP est hébergé ou administré par un prestataire, l'article 28 du RGPD impose de vérifier que celui-ci a bien intégré l'avis et déclenché son propre plan de correction. Conserver la trace écrite de cette analyse de risque est précisément ce que la CNIL réclamera en cas de contrôle ou de violation.

Ce que Leto pense de cette décision

La répétition est le vrai message. Un deuxième avis CERT-FR sur SAP en l'espace d'un mois confirme que la gestion des correctifs ERP n'est plus un sujet purement IT : c'est une obligation de conformité documentée. Les organisations qui traitent ces avis comme de la simple « maintenance » prennent un risque juridique, parce qu'en cas d'incident, l'absence de procédure de veille et de patching tracée se lira comme une carence au titre de l'article 32. La bonne nouvelle, c'est que l'exigence est atteignable : un inventaire à jour, une routine de patching et un registre des décisions suffisent à transformer un avis anxiogène en preuve de diligence.

Sources : CERT-FR — Avis CERTFR-2026-AVI-0715, Multiples vulnérabilités dans les produits SAP (9 juin 2026) ; SAP Security Patch Day — Bulletin de sécurité juin 2026.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026