Les failles de sécurité de SAP soulèvent des questions sur la ruée vers l’IA

« Alors que l’infrastructure d’IA devient rapidement un élément essentiel de nombreux environnements commerciaux, les implications de ces attaques deviennent de plus en plus importantes. Le processus de formation à l’IA nécessite l’accès à de grandes quantités de données clients sensibles, ce qui fait des services de formation à l’IA des cibles attractives pour les attaquants. SAP AI Core propose des intégrations avec S/4HANA et d’autres services cloud, pour accéder aux données internes des clients via des clés d’accès au cloud. Ces informations d’identification sont très sensibles.

Des trous alarmants

Compte tenu de l’ampleur du déploiement des systèmes SAP au sein des entreprises et de l’intégration de SAP avec de nombreuses autres applications et environnements cloud au niveau de l’entreprise, Wiz a déclaré que ces failles étaient particulièrement alarmantes.

« En exécutant du code arbitraire, nous avons pu nous déplacer latéralement et prendre en charge le service, en accédant aux fichiers privés des clients, ainsi qu’aux informations d’identification des environnements cloud des clients : AWS, Azure, SAP S/4HANA Cloud, et plus encore », indique le rapport. dit. « Les vulnérabilités que nous avons découvertes auraient pu permettre à des attaquants d’accéder aux données des clients et de contaminer des artefacts internes, se propageant ainsi aux services associés et aux environnements d’autres clients. »