Votre ERP, ou progiciel de gestion intégré, est autant susceptible d’être victime de cybercriminalité que votre site web ou vos autres logiciels. Puisqu’il contient de nombreuses données relatives à votre entreprise et à vos clients, il est une cible privilégiée des attaques informatiques. Vos données ont une certaine valeur, elles sont donc recherchées, pour elles-mêmes ou comme source de négociation, mais il existe des moyens de se prémunir contre leur vol.
Ainsi, comment garantir la sécurité d'un ERP ?
Quels sont les problèmes de sécurité typiques d’un ERP ?
Quelle que soit la taille de votre entreprise ou son secteur d’activité, votre ERP peut être victime d’une attaque exploitant les failles de sécurité suivantes, qu’il soit accessible sur un site-web ou bien depuis le cloud :
Des failles sur les logiciels associés à votre ERP
Les logiciels qui sont interfacés avec votre ERP, c’est-à-dire connectés à celui-ci, peuvent eux-mêmes présenter des failles de sécurité.
Cela peut être le cas s’ils ne sont pas à jour ou trop anciens. S’ils ne peuvent plus être mis à jour pour cause d’obsolescence, il convient de
procéder à leur refonte pour les optimiser, les sécuriser et les rendre plus performants. Sans cela, le risque est qu’ils transmettent à votre ERP des problèmes de sécurité, notamment via des malwares (logiciels malveillants nuisant à votre système) ou des attaques en déni de service (qui rendent votre site-web indisponible).
Des vulnérabilités sur la sauvegarde de vos données
Si la sauvegarde de vos données n’est pas sécurisée et comporte des failles (c'est-à-dire sauvegardées sur un stockage non protégé), votre système d’information peut être vulnérable à des infections par des logiciels malveillants, comme des malwares ou des ransomwares. Votre ERP est donc susceptible d’être également touché par ces logiciels malveillants.
Une mauvaise gestion des droits d’accès utilisateurs
Pour limiter les incidents de sécurité, vous devez commencer par une bonne supervision de votre réseau informatique et de ses utilisateurs. Une bonne gestion des utilisateurs est en effet essentielle, car elle permet d’éviter que votre ERP soit victime de programmes malveillants qui modifient les privilèges de ses utilisateurs, provoquant des failles dans le contrôle des droits d’accès.
Une authentification forte est recommandée pour s’assurer qu’aucun utilisateur indésirable n’aura accès à l’outil. Il en va de même pour la protection des dossiers de l’ERP, qui ne doivent pas être « ouverts au réseau », c’est-à-dire accessibles à tout le monde.
L'absence de tests de sécurité
Pour résoudre les problèmes de sécurité rencontrés par votre ERP, il faut les connaître en amont. Pour cela, il est nécessaire de réaliser des tests d’intrusion, pour s’assurer que les capacités de détection des malwares sont opérationnelles. Programmez-en régulièrement, cela vous évitera des mauvaises surprises.
Les bonnes pratiques pour sécuriser votre ERP
La première étape pour protéger votre ERP est de connaître les risques auxquels il peut être exposé. Identifier ses lacunes et se renseigner sur les menaces existantes sont les prérequis qui vous permettront, par la suite, d’appliquer au mieux les points suivants.
L’authentification multifacteur
Les ERP modernes, comme notre solution de gestion IOvision, sont souvent des applications web en SaaS. Cela les rend donc vulnérables au risque d’exposition des identifiants utilisateurs. Pour éviter que ces derniers puissent être compromis, les utilisateurs ne doivent pas se connecter à l’ERP depuis un appareil ne faisant pas partie du réseau de votre entreprise.
L’authentification multifacteur oblige l’utilisateur à présenter, avec succès, au moins deux éléments de preuve pour accéder à l’ERP (un mot de passe + un code reçu par SMS à fournir à l’ERP représentent deux facteurs).
Établir un plan de réponse aux incidents
De la même manière qu’une entreprise se doit de définir ses processus pour déterminer ses manières de procéder, un plan de réponse aux incidents permettra à vos équipes d’éviter la confusion si un événement de sécurité a lieu. Ce plan doit répondre aux questions suivantes :
- Qui est en charge de quel processus en cas d’événement de sécurité
- Quelle est la marche que chacun doit suivre
- D’où peuvent-ils agir en cas d’urgence (en présentiel, en télétravail, en déplacement)
- Quand peuvent-ils / doivent-ils être disponible
- Quelle communication doit être réalisée en cas de problème
Superviser votre système d’information
Que votre ERP soit sur un site web ou hébergé sur un cloud, il faut pouvoir surveiller votre réseau et votre système d’information pour mieux réagir aux événements de sécurité. Sachez que chez IOcean, nous pouvons prendre en charge l’hébergement de vos outils et nous assurer de leur supervision.
Pour cela, nous utilisons, entre autres, l’outil Centreon, qui permet la consultation de l’état de votre système informatique grâce à une visualisation détaillée, à l’aide de graphiques de performance.
Impliquer chaque collaborateur dans la cybersécurité
Les équipes de votre entreprise sont les mieux placées pour garantir sa sécurité informatique. Le fait de sensibiliser les utilisateurs de votre ERP (et des autres logiciels !) aux bonnes pratiques en matière de cybersécurité est une avancée importante dans la vigilance générale qui s’impose. On a souvent tendance à considérer que l’on est protégé en permanence par son service informatique, mais impliquer tout le monde dans la protection de votre système renforce le travail effectué par le service IT.
Vous avez pour projet d’acquérir un ERP ou de renforcer sa sécurité, ainsi que celle de votre système d’information ? N’hésitez pas à nous contacter !