Les systèmes ERP Cloud, tels que SAP S/4HANA, Oracle Cloud ERP et Microsoft Dynamics 365, sont devenus essentiels pour gérer les fonctions essentielles des entreprises mondiales, notamment les finances, la gestion de la supply chain et les ressources humaines. Ces plateformes offrent évolutivité, flexibilité et intégration transparente avec d’autres services cloud, ce qui en fait le partenaire idéal dans l’économie numérique d’aujourd’hui. Cependant, comme les technologies d’IA sont de plus en plus intégrées à ces systèmes, elles posent des problèmes de sécurité importants que les entreprises doivent résoudre pour atténuer les responsabilités potentielles.
Par Ajay Thadhaney, Sales Director France & Iberia d’Onapsis, pour les lecteurs de Solutions numériques & cybersécurité.
Les modèles d’IA nécessitent de grandes quantités de données souvent très sensibles pour être entraînés efficacement. Leur complexité fait que ces systèmes sont difficiles à sécuriser, car ils peuvent être exploités d’une manière qui échappe aux systèmes traditionnels. Par exemple, les attaques, où des données malveillantes sont élaborées pour tromper les modèles d’IA et les amener à prendre des décisions incorrectes, sont de plus en plus préoccupantes.
De récentes études menées par Onapsis et Flashpoint ont mis en évidence une augmentation spectaculaire des cyberattaques visant les systèmes ERP. Depuis 2021, les cyberattaques contre les systèmes SAP ont augmenté de 400%, une statistique stupéfiante qui témoigne de l’attrait de ces plateformes pour les cybercriminels. Les applications SAP non corrigées sont exploitées dans ces attaques, les récents développements de ransomwares et de malwares montrant une focalisation accrue sur les processus SAP pour une exécution et une extraction de données plus efficaces. En outre, les discussions sur les exploits SAP sur le Web ouvert, deep et dark ont augmenté de 490 % au cours de la même période.
Les entreprises doivent reconnaître que les approches de sécurité traditionnelles pourraient ne pas être suffisantes pour se protéger contre les menaces sophistiquées ciblant les systèmes ERP intégrés à l’IA.
L’augmentation de la dette technique et les pressions liées à la conformité intensifient les craintes
Nous vivons dans un environnement où les entreprises donnent la priorité à l’innovation plutôt qu’à la mise à jour d’applications obsolètes. Selon une récente enquête d’IDC, près de 8 entreprises sur 10 ne disposent pas d’un processus formel de suivi et de reporting de la dette technique. En l’absence d’une feuille de route claire, les entreprises finiront par payer davantage en mesures de sécurité qu’elles ne l’auraient fait pour la mise à jour de leurs anciens systèmes.
De plus, certaines échéances à venir devraient être au centre des préoccupations notamment la fin en 2027 de l’assistance technique pour SAP ECC qui augmente encore les risques de sécurité, ce qui alourdit la dette technique des entreprises. Passé cette date, plus aucune chance de recevoir des mises à jour, des correctifs ou une assistance en matière de sécurité pour ces systèmes. Sans modernisation, les systèmes existants deviennent de plus en plus difficiles à sécuriser, ce qui rend les entreprises vulnérables aux cyberattaques. Pourtant, cela ne semble pas être une priorité pour les dirigeants.
La transition vers des plateformes plus modernes comme SAP S/4HANA est un investissement important, d’autant plus que ces plateformes intègrent de plus en plus de technologies d’intelligence artificielle qui nécessitent des mesures de sécurité robustes. Les défis de la dette technique ne se limitent pas aux logiciels obsolètes ; ils englobent également les difficultés liées à la mise à niveau des anciens systèmes avec des contrôles de sécurité modernes et à l’intégration de la technologie des nouveaux fournisseurs.
En outre, l’évolution du paysage réglementaire, en particulier les nouvelles règles de cybersécurité introduites par la SEC en décembre 2023, ajoute une nouvelle couche de complexité. Ces règles exigent que les attaques de ransomware, qui affectent des systèmes critiques tels que SAP, soient signalées comme des incidents de cybersécurité « importants ». Cela signifie que ces violations doivent être rendues publiques, ce qui peut nuire à la réputation et à la situation financière de l’entreprise. Les divulgations publiques peuvent entraîner une perte de confiance de la part des clients, des responsabilités juridiques potentielles et, dans certains cas, des pertes financières directes en raison de l’impact sur le cours des actions ou des sanctions.
Un appel aux dirigeants : agir maintenant
Les entreprises doivent définir clairement les rôles et les responsabilités du PDG, du directeur financier, du DSI, du RSSI pour s’assurer que tous les aspects de leur pile technologique sont protégés contre les menaces potentielles, en particulier lorsqu’il s’agit d’environnements complexes. Compte tenu de l’escalade des menaces matérielles et de réputation, il est essentiel de donner la priorité aux protocoles de sécurité dans le cadre de la stratégie globale de cybersécurité de l’entreprise basée sur la collaboration, en favorisant une meilleure communication et une meilleure compréhension entre les équipes.
Les entreprises doivent adopter une approche holistique de la cybersécurité qui englobe tous les aspects de leur pile technologique, des systèmes existants aux services pilotés par l’IA. La sécurité doit être intégrée à chaque couche, y compris les programmes complets de gestion des vulnérabilités, la surveillance continue et les capacités de détection des menaces spécifiquement conçues pour traiter les logiciels hérités. Tirer parti des processus de cybersécurité existants et les améliorer avec des outils et des connaissances spécifiques axés sur l’ERP Cloud est une approche plus efficace que de créer des processus entièrement nouveaux. Les correctifs et les mises à jour régulières des applications ERP requièrent désormais une attention plus fréquente pour rester à la pointe des menaces en constante évolution.
Les vulnérabilités introduites par les mises à jour alimentées par l’IA, associées aux risques plus larges liés aux systèmes existants et aux plateformes ERP intégrées à l’IA, nous rappellent brutalement que la sécurité des technologies d’entreprise doit être une priorité absolue pour tous les membres de la direction.
