Cybersécurité des ERP : protéger le cœur de l’entreprise

Février 2024 Marché et Tendances

Souvent négligée dans le déploiement des ERP, la cybersécurité est pourtant un élément primordial pour réduire les risques et assurer la continuité opérationnelle de l’entreprise. Quels sont les défis de la cybersécurité et comment sécuriser son ERP ? On fait le point pour vous. 

Les défis la cybersécurité pour les ERP 

La sécurité de l’ERP : un enjeu vital pour l’entreprise

Au cœur du SI de nombreuses entreprises industrielles, les ERP concentrent des fonctions vitales telles que la GPAO, la gestion des stocks et inventaires, la chaîne logistique, la comptabilité et la gestion financière, etc. Intégrés avec d’autres systèmes applicatifs (notamment via des API), les ERP centralisent l’ensemble des données et processus métiers de l’entreprise afin d’offrir une vue à 360° des activités de l’entreprise. 

Cette approche globale fait la force des ERP, mais peut aussi représenter une vulnérabilité. En raison de leur périmètre étendu et de leurs nombreux points d’entrée, les ERP présentent une surface d’exposition importante, décuplant les potentiels incidents de sécurité. Cette exposition aux risques cyber est d’autant plus forte que l’ERP est utilisé par tous les collaborateurs de l’entreprise et connecté à des terminaux toujours plus nombreux. 

En cas de cyberattaque sur un ERP, les dégâts causés peuvent produire des conséquences dévastatrices. Dans le contexte industriel, un incident majeur sur un ERP peut entraîner une interruption de la production et des perturbations de la chaîne d’approvisionnement

cyber_3

Au-delà des pertes directes en termes de revenus et des coûts liés à la résolution de l’incident, une cyberattaque ciblant l’ERP peut également se traduire par le vol ou la perte de données sensibles, une demande de rançon, une perte de confiance des clients et fournisseurs, voire des risques juridiques si elle a manqué à ses obligations de protection des données clients ou employés (RGPD). Dans les scénarios les plus pessimistes, une cyberattaque peut limiter la capacité de l’entreprise à répondre aux demandes du marché à long terme, et même la conduire au dépôt de bilan. 

Dans 94% des cas, les entreprises ayant subi une cyberattaque doivent reconstruire partiellement ou totalement leur SI et investir dans des mesures de sécurité renforcées (source : étude BESSÉ et Stelliant sur la sinistralité cyber des entreprises) . Et pour faire les bons choix, encore faut-il connaître les menaces qui planent sur les ERP.

> Lire aussi : Pour se prémunir des cyberattaques, faut-il internaliser la sécurité de son ERP ?

Connaître les menaces et vulnérabilités des ERP

En raison de leur surface d’exposition importante et de la richesse des données qu’ils renferment, les ERP sont des cibles de choix pour les cybercriminels. Dans la plupart des cas, ces derniers agissent de manière opportuniste et exploitent les failles de sécurité les plus évidentes.

Représentant près de 90% des sinistres prises en charge par les assurances cyber, mes rançongiciels (ransomware) constituent la cybermenace la plus importante. Les ransomwares consistent à chiffrer les données de l'ERP et à conditionner le retour à la normale au paiement d’une rançon. 

Parmi les vecteurs d’attaques les plus fréquents, on retrouve : 

  • Le hameçonnage (phishing) : reposant sur “l’ingénierie sociale”, c’est-à-dire l’exploitation des biais psychologiques et des erreurs humaines, les attaques de phishing représentent 30% des sinistres. Cette attaque consiste à envoyer un e-mail ou un SMS incitant le destinataire à cliquer sur un lien corrompu, afin d’obtenir des informations d’identification ou d’introduire du code malveillant via l’ERP. 
  • L’usurpation de compte : représentant 20% des sinistres, ce vecteur consiste à obtenir un accès non autorisé à un système en se faisant passer pour un utilisateur autorisé. La fameuse “fraude au président” s’inscrit dans cette catégorie. 
  • L’attaque par force brute : ce vecteur d’attaque représentant 20% des sinistres consiste à “casser” une sécurité en testant, à l’aide d’un logiciel spécifique, toutes les combinaisons possibles d’un mot de passe pour se connecter à un service.
  • Attaques internes : les cybermenaces ne viennent pas toujours de l’extérieur. Les employés ayant accès au système ERP peuvent malicieusement ou accidentellement provoquer des fuites de données ou des sabotages. Ces incidents ne sont pas rares, compte tenu de l'accès potentiellement étendu des employés aux données sensibles.

Comment sécuriser son système ERP ?

Opter pour un ERP intégrant les bonnes pratiques de cybersécurité 

Authentification robuste

Les cyberattaques reposant sur la vulnérabilité des mots de passe sont légion. C’est pourquoi il est indispensable de s’appuyer sur des standards d'authentification robustes pour sécuriser l'accès au logiciel ERP. L'authentification multifacteur (MFA) constitue un moyen efficace d’y parvenir : nécessitant plusieurs formes de vérification (comme un mot de passe et un code envoyé sur un téléphone), la MFA rend beaucoup plus difficile les accès non autorisés. En effet, même si un mot de passe est compromis, la barrière supplémentaire du second facteur de vérification peut empêcher une intrusion.

cyber_2

Gestion rigoureuse des droits d’accès

La gestion des droits d'accès est fondamentale pour s’assurer que chaque utilisateur de l'ERP a uniquement accès aux données et fonctions nécessaires pour son métier. Connue sous le nom de « principe du moindre privilège », cette approche réduit les chances qu'un compte compromis puisse causer des dommages importants. De plus, cela permet également de tracer plus facilement les activités suspectes, car les actions d'un utilisateur sont confinées à son domaine d'autorisation spécifique.

Chiffrement des données

Le chiffrement des données permet de les rendre inutilisables pour les attaquants. Appliqué aux données stockées ainsi que lors de leur transit sur le réseau, le chiffrement doit être conforme aux meilleurs standards, notamment les normes ISO 27001 et ISO 27002, qui fournissent des directives pour le chiffrement et la gestion des clés de chiffrement.

Compatibilité avec les outils de sécurité existants

Un ERP doit être compatible avec des outils de sécurité tels que les SIEM (Security Information and Event Management), qui aident à surveiller et à analyser les activités de sécurité en temps réel. Ces systèmes combinent la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM), offrant une vue complète des menaces potentielles.

Sécurité adaptée aux environnements Cloud 

La migration vers le Cloud est une évolution majeure des ERP modernes. Les entreprises faisant le choix du Cloud pour leur ERP doivent donc être attentives au respect des règles de sécurité pour ce type d’environnement. On citera par exemple les normes ISO 27017 et ISO 27018, qui fournissent des directives sur la sécurité des informations dans le cloud et sur la protection et la gestion des données personnelles. 

Sauvegarde des données

Dans le Cloud ou on-premise, un ERP doit intégrer un système de sauvegarde robuste pour garantir la récupération des données en cas d'attaque. Couvrant à la fois les données opérationnelles et les configurations systèmes, les sauvegardes doivent être fréquemment testées pour s'assurer de leur intégrité et de leur capacité de restauration. La mise en œuvre de ces pratiques aide à minimiser les pertes de données et à réduire le temps de récupération après un incident, assurant ainsi la continuité des opérations commerciales.

Au-delà des critères de cybersécurité à prendre en compte dans le choix d’un ERP, les entreprises ne peuvent faire l’économie d’un plan de réponse aux incidents. En effet, le risque 0 n’existe pas et la préparation est la clé de voûte de toute stratégie de cybersécurité. En toute hypothèse, il est nécessaire d’impliquer tous les collaborateurs dans cette démarche via des actions de sensibilisation. 

Sensibiliser les collaborateurs 

La sensibilisation des collaborateurs aux bonnes pratiques est un élément incontournable pour renforcer la cybersécurité de l’ERP et du SI dans son ensemble. Les actions de sensibilisation doivent aider les collaborateurs à reconnaître les menaces et adopter les bons réflexes pour s’en prémunir.

Pour être efficaces, ces actions doivent être régulières et s’inscrire dans une relation pérenne entre l’IT et les métiers. Variée s’appuyant sur divers formats (e-learning, webinaires, ateliers, jeux, infographies, campagnes anti-phishing, boîte à outils, etc.), la sensibilisation doit porter sur des incidents réels ou probables dans le contexte spécifique de l'entreprise. En toute hypothèse, il est indispensable de s’adapter aux publics visés en prenant en compte les besoins spécifiques des services, leur niveau de maturité en cybersécurité et les risques auxquels leurs missions les exposent.

Pour aller plus loin, vous pouvez également lire notre article : Comment protéger son système ERP des cyberattaques ?

View : Ces articles pourraient vous intéresser

Ces articles pourraient vous intéresser