Aufnahme von MART PRODUCTION aus Pexels zeigt eine Person in einer alten Schule, die an einem Computer arbeitet, während sie ein Tablet hält.
Digital Business & Future 09.05.2026

SAP-BPC : la porte dérobée SQL du bilan trimestriel

7 min. de lecture

SAP a fermé une faille de SQL injection dans Business Planning and Consolidation et Business Warehouse avec CVSS 9.9 en avril 2026. La CVE-2026-27681 permet à un utilisateur authentifié avec des privilèges minimaux d’exécuter des instructions SQL arbitraires sur la base de données. Les entreprises qui ont reporté la mise à jour du mois d’avril en raison du calendrier des vacances et de la fin de trimestre sont toujours vulnérables depuis trois semaines. La note SAP 3719353 est disponible depuis le 14 avril 2026, le patch est testé et l’effort est limité. La gravité de la retardation se fait sentir uniquement lorsque l’audit de la bilan de la deuxième moitié de l’année commence.

Les points clés en bref

  • CVSS 9.9 frappe la couche de rapport financier. La faille se trouve dans le programme ABAP partagé par BPC et BW. Un utilisateur avec des privilèges bas peut modifier les valeurs de bilan, manipuler les modèles ou supprimer le contenu de la base de données.
  • La note SAP 3719353 couvre 11 versions. Affectées sont BW 750 à 816, HANABPC 810 et BPC4HANA 300. Les entreprises en train de migrer vers S/4HANA devraient installer la note avant le cutover de la migration, pas après.
  • Trois semaines de retard sont le problème, pas la technologie. Le patch est de 50 Ko et peut être installé dans un slot standard en une heure. Celui qui ne l’a pas installé a un problème de planification de sprint, pas un problème SAP.

LiensRisikoprofil 2026: Prudence sera la stratégie la plus chère  /  E-Rechnungspflicht: Unternehmen unter Druck

Pourquoi cette faille ne tombe pas dans la boîte de sécurité cyber

Dans la plupart des organisations de taille intermédiaire, un avertissement de sécurité SAP sortant du jour du patch est automatiquement déplacé dans la boîte de sécurité IT. Il est trié par CVSS, classé et attribué à un slot de sprint suivant. Pour CVE-2026-27681, ce réflexe ne fonctionne pas. La faille ne se trouve pas au périmètre réseau, mais dans un programme ABAP exécuté lors du prévisionnement de l’entreprise et du bilan de fin de trimestre. Elle n’est pas un sujet de sécurité, mais un sujet de rapport financier avec un label de sécurité.

La description SAP est particulièrement claire. Un utilisateur avec des privilèges standard qui peut charger des données dans un programme ABAP peut injecter des instructions SQL. Cela ne se fait pas via un serveur d’exploitation n’importe où, mais via le même champ d’entrée où les données de fin de trimestre sont chargées. Celui qui prend un risque d’insider à sérieux a ici un cas classique.

C’est également la raison pour laquelle l’évaluation des risques est différente de celle d’une CVE standard. Lors d’une RCE FortiSandbox, le CISO débate s’il est dans le périmètre réseau. Lors d’une injection SQL dans BPC, le directeur général débate s’il est en train de préparer les chiffres de la deuxième moitié de l’année pour la banque. La réponse est généralement oui.

Qu’affirment les 11 versions concernées sur les entreprises allemandes

La note SAP 3719353 liste une base de versions inhabituellement large. Affectées sont les versions BW 750, 752, 753, 754, 755, 756, 757, 758, 816 ainsi que HANABPC 810 et BPC4HANA 300. Celui qui compare cette liste avec la réalité du monde des entreprises allemandes trouvera probablement des éléments familiaux. BW 7.50, qui est stable depuis 2016 dans de nombreux environnements, a été maintenu dans le cadre des extensions de maintenance. BPC4HANA 300 est la variante intégrée actuelle qui accompagne S/4HANA.

9.9
Score CVSS de CVE-2026-27681. Authentification sans interaction utilisateur, accès à la base de données complet via un téléchargement ABAP manipulé.
Source: Entrée NVD CVE-2026-27681, le 22 avril 2026

Dans la pratique, je vois trois configurations typiques. La première est le classique cas de l’entreprise de taille intermédiaire avec BW comme backend de rapport pour les rapports bancaires. Plus qu’une simple question de logiciel, le chemin des audits de l’exercice précédent pénètre dans le même système. Une injection SQL dans cette couche n’est pas seulement un fuite de données, c’est un risque d’audit, car l’intégrité des rapports historiques devient complexe à démontrer.

La deuxième configuration est l’entreprise familiale avec BPC pour la consolidation. BPC est souvent le seul outil que la direction connaît vraiment, car il produit les prévisions et les comparaisons plan-versus-actuel. Une attaque sur cette couche frappe directement la capacité de contrôle de la direction.

La troisième configuration est la migration vers S/4HANA prévue pour 2026. Celui qui souhaite effectuer un cutover au cours de l’été a déjà installé BPC4HANA 300 et est dans la phase de test. C’est exactement là que la faille se trouve. Ne pas installer le correctif avant le cutover est une question de commodité qui coûte plus tard, car une mise à jour dans un environnement de production avec des processus de consolidation en direct est beaucoup plus coûteuse.

Qu’est-ce qui brise, qu’est-ce qui aide : le sprint de correctifs de mai

Qu’est-ce qui brise

  • Le créneau de correctif a été reporté du vendredi saint, puis pour la clôture de la Q1, puis pour les vacances de mai.
  • Le groupe SAP-Basis ne connaît pas spécifiquement la note 3719353, car les rapports de jour de correctif se terminent dans des tickets collectifs.
  • La préparation de l’audit de la Q2 se déroule en parallèle dans le même système, le créneau de correctif est considéré comme « disturbant ».
  • Le créneau de migration vers S/4HANA ne mentionne pas la note dans la liste de contrôle de la mise en production.

Qu’est-ce qui aide

  • La note 3719353 est de 50 Ko, un correctif standard avec un temps de test inférieur à deux heures.
  • SAP a documenté précisément le vecteur, et le test est facile à mettre en œuvre.
  • L’argument d’audit peut être inversé : correctif appliqué, c’est la trace propre, non correctif, c’est un commentaire de risque.
  • Le créneau de migration est l’occasion de porter à jour la note et de faire le cutover en une seule étape.

L’asymétrie est évidente. Ce qui brise, c’est la discipline et la communication au sein du sprint. Ce qui aide, c’est la substance même de la note. Celui qui ne met pas en œuvre le correctif ne dispose pas d’un motif technique, mais d’un obstacle organisationnel.

Un plan 14-jours adapté au monde des PME

Patch-Sprint CVE-2026-27681
Jours 0 à 2
Le team SAP-Basis identifie les systèmes concernés depuis le Solution-Manager, liste les versions BW-/BPC et vérifie les environnements de test et de production. La direction reçoit une évaluation de la situation avec une référence spécifique au trimestre Q2, plutôt qu’une table CVSS générique.
Jours 3 à 7
La note 3719353 est intégrée au système de qualité, et le test-cas dokumenté est exécuté sur un utilisateur de démonstration. Parallèlement, tous les programmes d’upload ABAP utilisant le pattern vulnérable sont inventoriés pour limiter les dommages dans le scénario le plus pessimiste.
Jours 8 à 11
Patch de production dans le prochain intervalle de maintenance régulier. Si l’intervalle se trouve en dehors de la période de deux semaines, un slot hors-bande est convenu avec la direction, documenté et noté dans le audit trail. Un sprint spécial coûte moins cher qu’un dialogue sur les découvertes d’audit ultérieures.
Jours 12 à 14
Vérification, enregistrement dans l’audit et ligne de rapport dans l’inventaire des risques. Celui qui laisse la faille ouverte pendant 30 jours écrit un bref billet sur les enseignements tirés. C’est une indication de planification sprint, non un document d’attribution de responsabilité.

Le plan est concis mais réaliste. La plupart des entreprises DACH de taille intermédiaire ont un intervalle de maintenance SAP de deux semaines, bien que rarement suivi de manière cohérente. La note 3719353 est l’occasion de réintégrer l’intervalle en tant que routine, plutôt qu’un intervention spéciale.

Ce que la direction doit vraiment savoir

L’évaluation unilatérale de la situation à la direction est le point où la plupart des sprints de patch échouent, bien avant que le team SAP-Basis ne soit même pas impliqué. Celui qui envoie une table CVSS générique et une communication SAP générale recevra ce qu’il mérite : un simple pointage sous « à l’attention ». Celui qui rédige une page avec trois points obtient un intervalle de maintenance approuvé.

Les trois points ne sont pas compliqués. Premièrement : un utilisateur authentifié peut modifier nos chiffres de consolidation Q2 avant qu’ils ne parviennent dans le rapport au conseil d’administration. Deuxièmement : le patch est disponible, testé et recommandé par SAP depuis trois semaines. Troisièmement : l’intervalle de maintenance suivant est le jour X, ou alternativement, nous proposons un intervalle hors-bande le jour Y. Cette forme respecte le temps de la direction et fournit une décision, plutôt qu’un état d’avancement.

Qui a appris dans le passé que la direction bloque sur les sujets IT, devrait vérifier : est-ce que cela bloque vraiment le contenu, ou bien la forme ? Dans la plupart des cas, c’est la forme. Une note 3719353 avec une référence claire au trimestre Q2 n’est pas de la bureaucratie IT, mais une question de bilan. Elle devrait être présentée de la même façon.

Quoi de plus à faire autre que le patch

Le patch est obligatoire, l’inventaire est la seconde étape. Celui qui consulte dans le Solution-Manager les programmes ABAP spécifiques aux clients qui utilisent le pattern d’upload vulnérable trouve généralement plus de programmes que ceux de SAP standard. Ces programmes spécifiques aux clients ne sont pas patchés par la note 3719353 car cette note ne vise que le standard SAP. Une révision de code personnalisée est nécessaire, idéalement en collaboration avec l’équipe d’ABAP développement.

La deuxième tâche d’inventaire est l’inventaire des autorisations. Le CVE-2026-27681 peut être exploité avec un niveau de privilège faible. Celui qui consulte dans le concept d’autorisation le nombre d’utilisateurs qui ont l’objet d’autorisation nécessaire voit souvent un chiffre dans le domaine des centaines, qui a pu croître historiquement. Une réduction rapide sur le set véritablement nécessaire n’est pas un remplacement du patch, mais elle réduit la surface d’attaque des insiders, si la note ne peut être mise en production qu’au cours de deux semaines.

La troisième tâche d’inventaire est le journalisation. Les logs d’audit SAP et de lecture montrent qui a effectué des uploads ABAP entre le 14 avril 2026 et la date du patch. Cette liste doit être conservée, non par méfiance, mais pour prudence audit. Si un auditur en douze mois demande si quelqu’un a utilisé le pattern entre la date de publication et la date du patch, la réponse «nous avons la liste» est plus agréable à entendre que «nous ne savons rien».

Foire aux questions

Est-ce que CVE-2026-27681 est actuellement exploité ?

SAP a indiqué dans sa communication de la journée de correctifs le 14.04.2026 que les vulnérabilités corrigées ne sont pas actuellement utilisées en dehors de la porte. Cela ne change pas la nécessité de la mise à jour, car le vecteur d’attaque est public et les risques d’intrusion interne ne dépendent pas des observations externes.

Est-ce suffisant de lancer la Note 3719353 uniquement dans BPC si nous n’avons pas de BW ?

Non. La Note traite un programme ABAP commun. Même les installations BPC uniquement, sans couche de reporting BW classique, doivent appliquer la Note, car le programme vulnérable est partie de l’ensemble des deux stacks. La Note SAP mentionne explicitement BPC4HANA 300 et HANABPC 810.

Qu’est-ce que faire si notre version BW est 7.40 et que la Note SAP ne la mentionne pas ?

BW 7.40 est sorti de la maintenance en 2020. Si la version est encore en production, la faille est probablement présente, mais pas de correctif disponible. SAP recommande dans ce cas une mise à jour vers une version soutenable. En attendant, l’inventaire des autorisations et le journal des téléchargements ABAP peuvent aider à réduire l’attaque potentielle.

Est-ce que le correctif entrera en conflit avec notre projet de transition S/4HANA prévu pour l’été ?

Non, au contraire. Si BPC4HANA 300 est transféré en production S/4HANA sans la Note 3719353, la faille disparaît lors du passage au nouveau système. La bonne pratique est d’appliquer la Note dans le système de qualité de migration et de la transférer avec le passage. Le groupe de migration devrait inclure explicitement la Note 3719353 dans sa liste de contrôle de transition.

Avez-vous besoin d’une consultation externe pour cela ?

Généralement pas pour la Note elle-même. Elle est standard et testée, et votre propre équipe SAP-Basis peut gérer la fenêtre de correctifs. Une consultation externe est utile si vous abordez l’inventaire des autorisations ou la revue de code des programmes ABAP spécifiques au client, car ces sujets nécessitent des ressources qui sont rarement disponibles dans un environnement de production quotidien.

Source image de couverture: Pexels / MART PRODUCTION (px:8872665)

Plus du réseau MBF Media

Aussi disponible en

Un magazine de evernine media GmbH
Le magazine des décideurs pour le Mittelstand DACH DEENFRES
Newsletter