Alors que SAP investit massivement dans le mobile, Onapsis, une entreprise de sécurité basée à Boston et spécialisée dans les tests de sécurité, a prévu de sortir un outil qui permet de s'assurer que les systèmes SAP mobiles ne sont pas vulnérables aux attaques de pirates. En fait, l'outil se présente sous la forme d' « un module pour la suite de sécurité X1, qui effectue des évaluations de sécurité automatiques, des tests d'intrusion et des audits de conformité pour le logiciel ERP (Enterprise Resource Planning) de SAP », comme l'a expliqué le CEO d'Onapsis, Mariano Nunez. Le module se concentrera en partie sur SMP (SAP Mobile Platform), anciennement connue sous le nom de Sybase Unwired Platform Developer Center. Celle-ci est utilisée par les développeurs pour créer des applications mobiles SAP pour différents terminaux et plateformes. « L'outil examine également le serveur SAP NetWeaver Gateway, qui relie les périphériques aux systèmes back-end », comme l'a ajouté le CEO.

L'ouverture des systèmes back-end pose un problème complexe, exposant les entreprises à un risque potentiel de piratage dans le cas où ces systèmes sont mal configurés ou n'ont pas été mis à jour. « Nous constatons que les entreprises ne prêtent pas être assez attention à ce problème et qu'elles oublient de surveiller les terminaux », a déclaré Mariano Nunez. « Notre expérience montre que ces systèmes sont généralement mal sécurisés parce que les gens n'appliquent pas les derniers correctifs ou ne suivent pas les meilleures pratiques de sécurité préconisées par SAP ».

Repenser la sécurité mobile

SAP s'est focalisé sur l'accès mobile, la gestion des terminaux et la sécurité à un moment où de plus en plus d'entreprises adoptent des politiques Byod (Bring your own device). L'éditeur supporte aussi bien iOS, Android que Blackberry. En mai dernier, lors de la conférence Sapphire Now, le responsable de la division mobile de SAP, Sanjay Poonen, avait déclaré que l'éditeur allemand avait affecté plus de 1 000 personnes sur des projets mobiles dans des domaines aussi divers que le commerce de détail, la banque et les biens de consommation courants.

L'an dernier, SAP a réalisé plus de 222 millions d'euros de chiffre d'affaires en licences liées à son activité mobile, « une source de revenus qui n'existait pas il y a deux ans et demi », a précisé Sanjay Poonen. « Nous pensons que ce marché est vraiment prêt pour offrir de plus grandes opportunités, au-delà du seul marché des terminaux mobiles », a-t-il déclaré. « Ce monde va nous obliger à penser à la sécurité mobile d'une toute autre façon ». Selon Mariano Nunez, les entreprises prennent des risques si, par exemple, leur système de gestion de la relation client (CRM) n'est pas correctement configuré pour l'accès des appareils mobiles, laissant une porte ouverte aux pirates qui utilisent des outils d'attaque ciblant les services Web.

 « Le module de sécurité mobile de la suite X1 vérifie que les fonctions et les processus sont réalisés dans les systèmes back-end et non dans l'application mobile elle-même », a encore expliqué le CEO d'Onapsis. Il alerte les utilisateurs sur les failles de sécurité et leur indique comment résoudre les problèmes. Le module, qui devrait sortir le mois prochain, sera gratuit pour les abonnés de la suite X1. Onapsis doit également faire deux présentations consacrées à la sécurité de SAP lors de la conférence sur la sécurité Black Hat USA 2013 de Las Vegas, qui débutera le 27 juillet. « Ces ateliers, qui ne sont pas orientés produits, traiteront de la sécurité de SAP d'un point de vue académique », a déclaré Mariano Nunez.