SAP Patch Day mars 2026 : Vulnérabilité critique de NetWeaver avec CVSS 9,1

min de lecture

Le 10 mars 2026, SAP a corrigé une vulnérabilité critique dans le portail d’entreprise NetWeaver, classée CVSS 9,1. CVE-2026-27685 permet, via une désérialisation non sécurisée dans l’interface d’administration, l’exécution de code arbitraire. SAP a classé ce correctif comme « Hot News ». Pour les plus de 400 000 clients SAP dans le monde, commence désormais une course contre la montre.

L’essentiel en bref

🔴 CVE-2026-27685 concerne le portail d’entreprise SAP NetWeaver avec un CVSS de 9,1 (Note de sécurité SAP, mars 2026).
🏢 Plus de 80 % des entreprises du DAX et des dizaines de milliers de PME utilisent SAP NetWeaver.
⚡ Le vecteur d’attaque passe par des comptes administrateurs compromis ou des utilisateurs internes disposant de droits élevés.
⚖️ Depuis NIS2, les systèmes SAP non corrigés constituent un risque de responsabilité personnelle pour les dirigeants.
🛡️ SAP recommande d’appliquer le correctif sous 24 heures. Le CISA a intégré la vulnérabilité au catalogue KEV.

Ce qui s’est passé : CVSS 9,1 au cœur de l’IT d’entreprise

Lors du SAP Patch Day de mars 2026, SAP a publié 18 notes de sécurité. La plus critique d’entre elles : CVE-2026-27685, une vulnérabilité dans le portail d’entreprise NetWeaver. L’origine du problème réside dans une désérialisation non sécurisée au niveau de l’interface d’administration. Un attaquant disposant de droits administrateurs compromis peut ainsi injecter et exécuter du code arbitraire.

Cela peut sembler, au premier abord, un scénario limité. Mais la réalité dans de nombreuses entreprises est différente : les comptes administrateurs SAP sont souvent partagés entre plusieurs personnes, les mots de passe rarement renouvelés, et la gestion des accès privilégiés pour les systèmes SAP n’est pas mise en œuvre dans la majorité des PME. Un seul compte administrateur compromis suffit à prendre le contrôle de l’ensemble de la plateforme ERP.

« Les systèmes SAP sont la colonne vertébrale de l’économie allemande. Une vulnérabilité de niveau CVSS 9,1 dans le portail d’entreprise NetWeaver ne concerne pas uniquement le département informatique. Elle touche simultanément la production, les achats, les finances et les ressources humaines. »

Inprosec SAP Security Advisory, mars 2026

Pourquoi cette vulnérabilité diffère des correctifs SAP habituels

SAP publie mensuellement des notes de sécurité. La plupart concernent des composants périphériques ou nécessitent des configurations spécifiques. CVE-2026-27685 est différente : le portail d’entreprise NetWeaver constitue la couche d’accès centrale aux applications SAP. Quiconque le compromet obtient un accès à tout ce qui se trouve en aval : ERP, CRM, RH, comptabilité.

S’ajoute à cela le vecteur interne. La sécurité classique du périmètre ne suffit pas ici. L’attaque provient d’un utilisateur authentifié disposant de droits administrateurs. Cela signifie : ni le pare-feu ni les systèmes de détection d’intrusion (IDS) ne déclenchent d’alerte. Seules des solutions d’analyse comportementale ou des outils spécialisés en sécurité SAP, tels que SecurityBridge ou Onapsis, peuvent détecter ce type d’attaque.

SecurityWeek rapporte que SAP a également corrigé des vulnérabilités critiques dans Financial Consolidation et Quotation Management. Au total, ce Patch Day se situe nettement au-dessus de la moyenne.

CVSS 9,1

Classification critique

80 %+

Entreprises du DAX utilisant NetWeaver

24 h

Délai de correction recommandé par SAP

NIS2 transforme les systèmes SAP non corrigés en risque personnel

Depuis décembre 2025, le décret d’application de NIS2 est entré en vigueur. L’article 38 du BSIG oblige la direction à approuver personnellement les mesures de gestion des risques et à en superviser la mise en œuvre. Un système SAP non corrigé présentant une vulnérabilité CVSS 9,1 connue n’est plus une simple négligence technique. C’est un risque de responsabilité personnelle pour le dirigeant.

La date limite de déclaration auprès du BSI (Office fédéral de la sécurité informatique) était fixée au 6 mars 2026. Le BSI peut désormais lancer des mesures de surveillance. Une entreprise qui ne corrige pas rapidement CVE-2026-27685 et qui relève du champ d’application de NIS2 fournit au BSI un motif concret pour une vérification.

Ce que les équipes IT doivent faire maintenant

Étape 1 : Inventaire (immédiatement). Quels systèmes SAP sont déployés dans votre environnement ? Quelle version du portail d’entreprise NetWeaver est utilisée ? La note de sécurité SAP 3XXX indique les versions concernées et la solution corrective.

Étape 2 : Priorisation du correctif (24 heures). SAP classe ce correctif comme « Hot News ». Cela signifie : priorité absolue, pas d’attente de fenêtre de maintenance. Testez le correctif dans un environnement de test (sandbox) et déployez-le sur les systèmes de production sous 24 heures.

Étape 3 : Audit des comptes administrateurs (cette semaine). Combien de comptes administrateurs SAP existent ? Qui y a accès ? Les mots de passe sont-ils régulièrement changés ? Existe-t-il des comptes partagés ? Le vecteur d’attaque via des administrateurs compromis signifie que l’hygiène de vos comptes administrateurs est désormais critique pour l’entreprise.

Étape 4 : Surveillance spécifique à SAP. Les systèmes SIEM standards ne détectent pas de manière fiable les attaques spécifiques à SAP. Évaluez des solutions comme SecurityBridge, Onapsis ou SAP Enterprise Threat Detection en complément.

Conclusion : les correctifs SAP ne sont plus une routine informatique

CVE-2026-27685 est bien plus qu’un correctif mensuel. C’est un signal d’alerte pour toute entreprise utilisant SAP comme socle de ses processus métiers. La combinaison d’un CVSS 9,1, d’un vecteur d’attaque interne et de la responsabilité prévue par NIS2 fait de ce correctif une affaire de direction. Celui qui n’agit pas maintenant risque non seulement un incident de sécurité, mais aussi des conséquences personnelles au niveau de la direction.

Questions fréquentes

Nous utilisons SAP S/4HANA Cloud. Sommes-nous concernés ?

CVE-2026-27685 concerne spécifiquement le portail d’entreprise NetWeaver, et non S/4HANA Cloud. Toutefois, de nombreuses entreprises utilisent des environnements hybrides, dans lesquels des composants NetWeaver en local (on-premise) servent de passerelle vers les services cloud. Vérifiez votre architecture : si un système NetWeaver assure la fonction de couche d’accès, il est vulnérable, même si les données elles-mêmes sont stockées dans le cloud.

Notre équipe SAP affirme que le correctif nécessite une fenêtre de maintenance. Quelle est réellement l’urgence ?

SAP classe ce correctif comme « Hot News », le niveau d’urgence le plus élevé. En pratique, cela signifie : ne pas attendre une fenêtre de maintenance régulière, mais appliquer le correctif sous 24 heures. Testez-le dans un environnement de test (sandbox), puis déployez-le immédiatement en production. L’alternative est de laisser un système exposé à une vulnérabilité CVSS 9,1 publiquement connue.

Comment savoir si nos comptes administrateurs SAP ont été compromis ?

Les systèmes SIEM standards ne détectent généralement pas les anomalies spécifiques à SAP. Examinez les journaux d’audit SAP à la recherche d’activités administratives inhabituelles : connexions en dehors des heures ouvrables, modifications massives de droits, nouvelles connexions RFC. Des solutions dédiées comme SecurityBridge ou Onapsis offrent une détection automatisée des menaces SAP. Pour savoir comment les entreprises sécurisent systématiquement leur chaîne d’approvisionnement logiciel, consultez le guide pratique SBOM.

Devons-nous déclarer ce correctif au BSI ?

Vous n’avez pas à déclarer l’application du correctif. En revanche : si vous relevez du champ d’application de NIS2 et que vous ne l’appliquez pas rapidement, le BSI pourrait considérer cela, lors d’un contrôle, comme une violation de vos obligations en matière de gestion des risques. Documentez soigneusement le processus de correction, y compris les horodatages et les responsabilités.

Existe-t-il une solution de contournement si nous ne pouvons pas appliquer le correctif immédiatement ?

SAP recommande, en attendant, de restreindre l’accès administrateur au portail d’entreprise NetWeaver. Désactivez l’accès administrateur distant, imposez l’authentification multifacteur (MFA) pour tous les comptes administrateurs SAP, et surveillez étroitement les journaux d’audit SAP. Ce n’est pas un substitut au correctif, mais cela réduit la surface d’attaque.

Lectures complémentaires sur le réseau

→ NIS2 en Allemagne : ce que les entreprises doivent savoir maintenant (SecurityToday)
→ Renforcer Active Directory : 5 mesures immédiates (SecurityToday)
→ Guide pratique SBOM : liste des composants logiciels à mettre en place d’ici septembre 2026 (SecurityToday)

Plus d’articles du réseau MBF Media

→ Gouvernance des clusters Kubernetes dans les PME (cloudmagazin)
→ Migration vers le cloud ERP : pourquoi le replatforming est la meilleure stratégie (MyBusinessFuture)
→ Budget cybersécurité 2026 : ce que le CFO doit entendre du CISO (Digital Chiefs)

Source image principale : Pexels

Imprimer l'article

À propos de l'auteur: Benedikt Langer

Plus d'articles de Benedikt Langer