Le 14 avril 2026, SAP a publié son Security Patch Day mensuel avec 19 nouvelles Security Notes et 1 mise à jour (SAP Support — April 2026 Patch Day). Le point le plus sensible est une SQL Injection notée CVSS 9.9 dans SAP Business Planning and Consolidation et SAP Business Warehouse, accompagnée d’une vulnérabilité de type Missing Authorization Check à CVSS 7.1 qui touche SAP ERP et SAP S/4HANA en Private Cloud et On-Premise (SAP Support — April 2026 Patch Day).
Pour les directions IT et finance, ce n’est pas une alerte théorique : c’est une fenêtre opérationnelle courte pour prioriser les correctifs sur les systèmes qui portent la comptabilité, la consolidation et les flux métiers critiques.
Contexte : pourquoi cette édition d’avril est particulièrement sensible
Le Patch Day d’avril 2026 concentre plusieurs facteurs de risque au même moment. D’abord, la note critique à CVSS 9.9 concerne des briques utilisées dans des environnements analytiques et décisionnels centraux (BPC/BW), avec un potentiel d’impact élevé si elles sont exposées ou mal segmentées (SAP Support — April 2026 Patch Day).
Ensuite, la vulnérabilité à CVSS 7.1 sur SAP ERP et SAP S/4HANA rappelle un point de gouvernance souvent sous-estimé : le risque n’est pas uniquement technique, il dépend aussi des droits effectifs attribués dans les rôles métiers et des chemins d’accès réellement ouverts dans le paysage applicatif (SAP Support — April 2026 Patch Day).
Enfin, SAP insiste explicitement sur l’application prioritaire des patchs pour protéger le paysage client (SAP Support — April 2026 Patch Day). Pour une entreprise qui opère plusieurs instances (core ERP, BI, filiales), cela implique une priorisation claire plutôt qu’un déploiement uniforme.
Impact pour les entreprises : ce que DSI, RSSI et DAF doivent faire maintenant
Premier effet concret : la gestion du patching doit passer en mode pilotage par exposition métier. Les systèmes qui traitent la clôture financière, la consolidation, les achats stratégiques ou les données RH sensibles doivent passer avant les environnements à moindre criticité.
Deuxième effet : les entreprises en S/4HANA Private Cloud ou On-Premise doivent vérifier que les notes applicables sont bien qualifiées sur leurs versions effectives. Le bulletin SAP liste les produits et versions impactés ; ce cadrage doit être recoupé avec l’inventaire réel du SI avant exécution (SAP Support — April 2026 Patch Day).
Troisième effet : côté CFO/DAF, la sécurité redevient un sujet de continuité opérationnelle, pas seulement de conformité. Une faille mal traitée sur un périmètre ERP peut dégrader la fiabilité de la donnée financière, ralentir les clôtures et créer un risque d’arrêt partiel des flux critiques (facturation, achats, paiements).
En pratique, les équipes qui avancent vite sur ce type d’alerte ont souvent trois réflexes :
- Cartographier immédiatement les notes SAP applicables aux systèmes réellement exposés.
- Valider les dépendances techniques avant mise en production (transports, fenêtres de maintenance, rollback).
- Documenter la décision de priorité avec un angle business (processus impactés, criticité financière, impact client).
Ce trio réduit le risque de « patching cosmétique » où l’on applique des correctifs sans traiter les zones réellement les plus vulnérables.
Ce qu’il faut surveiller dans les prochains jours
Le point clé n’est pas seulement de « patcher », mais de vérifier l’exécution complète de la chaîne : application de la note, redémarrage si nécessaire, tests métiers, et contrôle post-correctif sur les rôles et autorisations.
Pour les organisations multi-pays, il faut aussi surveiller la synchronisation entre équipes centrales et locales : un correctif validé au siège peut rester en attente sur une instance régionale si la gouvernance de changement n’est pas alignée.
La fenêtre de risque la plus coûteuse est généralement celle entre l’annonce publique du bulletin et la fin réelle du déploiement sur toutes les instances concernées.
Pour approfondir, lisez notre guide sur la cybersécurité ERP, notre méthode PRA/PCA pour ERP critiques et notre checklist de clauses pour sécuriser un contrat ERP.
