Dans l’économie numérique actuelle, les systèmes ERP sont devenus l’épine dorsale de nombreuses organisations. Responsable de la gestion des processus, des données et des informations utilisateurs de l’entreprise, l’ERP doit donc être parfaitement sécurisé afin de se protéger des acteurs malveillants. Pourtant, comme nous l’avons vu dans un précédent article, le sujet de la sécurisation des SI est encore sensible pour énormément d’entreprises.
L’ERP, un système critique qui doit être obligatoirement sécurisé
A l’ère de la transformation digitale, l’importance des systèmes ERP a augmenté de manière exponentielle. Chargés de gérer les processus critiques de l’entreprise, tels que la gestion de la relation client, la gestion de la chaîne d’approvisionnement ou la gestion financière, ils stockent également les données sensibles, notamment des données clients. Il est donc essentiel qu’un logiciel ERP soit parfaitement sécurisé, dans un contexte cyber-sécuritaire extrêmement tendu, surtout depuis la pandémie de Covid et la « ruée » vers les solutions SaaS.
Personnages jadis de l’ombre, les RSSI ont désormais la cote et, tel le Robin de Batman (analogie osée mais qui nous semblait évidente), ont endossé la responsabilité de fidèle lieutenant du DSI, chargé de la sécurisation des ERP.
Quels sont les conseils et les bonnes pratiques à suivre pour sécuriser votre ERP ?
Mais alors concrètement, quelles sont les meilleures pratiques pour sécuriser les systèmes ERP ? Nous pouvons en lister 7 principales :
- Toujours s’assurer que le système est correctement configuré et que tous les contrôles d’accès sont en place, notamment sur la partie comptes à privilège, tendon d’achille des SI.
- Basiques de la cybersécurité, les mises à jour logicielles et la chasse aux systèmes obsolètes sont également des points cruciaux.
- Utiliser des mots de passe forts…une évidence pas si évidente.
- Surveiller toute activité suspecte, notamment dans le journal de logs, en temps réel (il existe bien évidemment des outils spécifiques).
- Il est essentiel de s’assurer que le système est sauvegardé régulièrement, pour limiter les dommages causés par une éventuelle attaque, type ransomware.
- Le système doit également être testé régulièrement, via des tests de pénétration, pour identifier d’éventuelles vulnérabilités et potentielles failles de sécurité.
- Enfin tous les utilisateurs du système doivent être formés aux bonnes pratiques de sécurité, comme l’utilisation de mots de passe forts ou la détection de phishing.
Plus globalement il est fortement conseillé de se faire accompagner par son partenaire IT. Les ESN et éditeurs de logiciels, autrefois éloignés des problématiques cybersécurité (que l’on laissait facilement à l’infra), sont de plus en plus en capacité de vous apporter une expertise solide sur le sujet. C’est par exemple le cas de l’intégrateur ERP TVH Consulting qui a racheté l’expert en cybersécurité Fidens pour proposer des solutions de protection à ses clients ERP SAP et Microsoft.
Et la double authentification 2FA dans tout ça ?
L’authentification à deux facteurs ou double authentification (ou 2FA…voire MFA) est une mesure de sécurité, de plus en plus répandue, qui exige que les utilisateurs fournissent deux informations afin d’accéder à un compte ou à un système. Elle offre une protection très efficace à un système ou une application contre les acteurs malveillants.
L’activation de la double authentification est particulièrement conseillée pour les utilisateurs à privilèges, tels que les administrateurs système, ou les utilisateurs à responsabilité (DG, DAF, etc.), car ils ont accès aux données les plus sensibles de l’entreprise.
Activer la double authentification 2FA, ne dispense cependant pas de mettre à jour ses mots de passe. C’est donc le rôle du RSSI de rappeler régulièrement aux utilisateurs les bonnes pratiques de cybersécurité.
Sécurisation du SI dans le cadre d’une entreprise étendue
Comme nous l’avons vu, la sécurité des applicatifs du SI doit être une préoccupation prioritaire des organisations. Et c’est encore plus vrai lorsqu’elles sont ouvertes aux partenaires dans le cadre d’un fonctionnement en entreprise étendue, notamment à travers des solutions Cloud.
Encore une fois, il existe un certain nombre de bonnes pratiques (citées plus haut) à respecter pour évoluer sereinement dans un cadre d’entreprise étendue. Mais les trois plus importantes sont :
- Le contrôle des accès utilisateurs, afin de n’accorder l’accès qu’aux personnes qui en ont besoin, sur une période et/ou un périmètre déterminé.
- La surveillance du système pour détecter toute activité suspecte.
- Le cryptage des données qui transitent entre l’entreprise et ses partenaires.
En résumé, la sécurisation des systèmes ERP est essentielle au succès de toute organisation. Malgré tout, les entreprises et secteurs d’activités ne sont pas tous logés à la même enseigne. Systèmes obsolètes, digitalisation trop rapide, manque de maturité…les causes d’incidents sont nombreuses, et même les « gros » ne sont pas épargnés. D’où l’intérêt, encore une fois, de commencer par échanger sur le sujet avec son partenaire informatique.