ERP et cyberattaques : comment protéger son système ?

Avril 2022 Marché et Tendances

Cyberattaques en 2023 : si fréquentes ?

Selon le baromètre annuel du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), 2023 a été marqué par au moins une cyberattaque pour près de la moitié des entreprises françaises sondées. Cela ne comptabilise que les attaques réussies ayant eu des répercussions flagrantes pour les sociétés victimes. Les impacts ont été sévères puisque 1 victime sur 4 estime avoir eu des perturbations de la production. Dans 14% des cas, les entreprises évoquent une compromission d’information ou une perte d’image et un impact médiatique.

En tête des moyens utilisés, le phishing demeure le plus fréquent avec 74% des attaques subies, suivi par l’exploitation de failles de sécurité avec 45% des victimes. Par ailleurs, les attaques par ransomware ont impacté moins d'1 entreprise sur 5. 

Malgré les croyances, un serveur hébergé dans l’entreprise non connecté au web n’est pas une protection efficace, les phishings provenant des emails circulant bien souvent par des flux réseaux internes non protégés. Qui plus est, suite au Covid-19 entraînant un recours au télétravail de façon massive, les attaques ont augmenté considérablement tout comme le nombre de victimes. En effet, certaines entreprises n’étaient pas prêtes à donner accès de manière sécurisée à leur système depuis l’extérieur. Pour réagir, les équipes IT ont dû prioriser sur ces sujets au détriment d’autres projets d’optimisation dans l’entreprise.

Disponibilité de l’ERP dans l’entreprise

Le système de gestion d'une TPE, PME ou ETI est crucial car il permet d’acheter, de produire, de vendre, de facturer, etc… Le coût d’une journée d’indisponibilité du système pour une entreprise n’est donc pas neutre, alors imaginez 1 mois ? Et que se passe-t-il dans le cas où la solution ERP ne peut plus être relancée et que toutes les données du système sont corrompues et perdues ? Les pertes deviennent abyssales et certains coûts sont moins visibles : perte de confiance client, dépréciation de la valeur de la marque, augmentation des primes d’assurances…

Ces scénarios sont gravissimes, moins fréquents, mais ils existent. D’ailleurs, de plus en plus d’industriels souscrivent à une assurance cyber. Malheureusement, cela ne remplacera jamais le temps perdu. Le dédommagement pourra par contre dans de nombreux cas sauver l’entreprise victime. Néanmoins, les assureurs sont conscients des risques et ne couvriront pas toutes les solutions. En effet, de nombreux critères de sécurité sont nécessaires pour souscrire : ils comprennent notamment des aspects techniques comme les versions de composants techniques utilisés, les systèmes d’exploitation, les contrats de garanties matériel en cours, etc… Ces exigences sont donc fortement liées aux technologies du logiciel ERP et à son mode d’hébergement.

Un accès sécurisé à l’ERP

Comme toutes applications critiques, le premier rempart contre les cyberattaques est l’authentification. Pour garantir un niveau de sécurité maximal, certains standards sont devenus incontournables comme les protocoles normés OAuth2 (autorisation) et SAML 2.0 (fournisseur d’identité). Pour compléter la sécurité des accès, une authentification multi-facteur peut être ajoutée : saisir un code reçu sur un token ou valider l’accès sur une application smartphone par exemple. Ces restrictions d’accès ne sont pas incompatibles avec une meilleure expérience utilisateur puisqu’il devient possible de mettre en place une authentification unique (SSO) lorsque ces standards sont respectés. Ainsi, l’annuaire d’entreprise peut centraliser les accès aux applications et donner accès à l’écosystème en une seule connexion.

Peu d’ERP proposent ce type d’authentification en standard. Sylob propose un tel système d’accès en déploiement Cloud (OAuth2, SAML 2.0, SSO), il est en permanence mis à jour pour garantir son efficacité et tenir compte des dernières menaces et avancées en la matière.

Des données de votre entreprise chiffrées

En cas d’accès malveillant au système, l’ensemble des données doit être chiffré afin de prévenir de toutes exploitations illégales. Il existe plusieurs niveaux de cryptage où seuls l’éditeur et/ou le fournisseur Cloud sont propriétaires des clés de décryptage. Ainsi, en cas de fuite de données, la norme AES-256 de chiffrement rend absolument illisible toutes les informations récupérées.

Les sauvegardes de l’ERP

En cas d’altération et/ou d’infection des données, le système de sauvegarde des données et de la configuration applicative de l’ERP demeure toujours aussi important. Il assure aussi d’autres rôles indépendants des cyberattaques (erreur humaine, action malveillante…). Une gestion performante des sauvegardes se caractérise à deux niveaux. D’abord, une sauvegarde sur plusieurs heures glissantes permet de revenir à une situation antérieure récente, avec peu ou pas de pertes de données. Dans le cas d’un signalement rapide, c’est la procédure idéale car elle représente peu d’impact pour l’entreprise. En second lieu, il est important de pouvoir revenir à un état antérieur plus ancien, par exemple il y a 2 semaines. Il est en effet fréquent que la situation de corruption ne soit découverte qu’après un délai de plusieurs jours voire plusieurs semaines, l’attaque étant en sommeil sur cette durée et donc pas encore visible.

Les technologies de l’ERP

Un logiciel ERP est construit selon des langages informatiques, des bibliothèques, des librairies, des composants techniques, etc… Chacune de ces couches peut représenter une vulnérabilité dès lors qu’elle est périmée. Ces faiblesses sont grandement minimisées sur les dernières versions. Or, pour pouvoir les utiliser, l’ensemble des couches doivent être compatibles entre elles. En définitive, pour mettre à jour un composant simple, il est parfois impératif de remplacer un autre composant ayant un impact considérable, comme par exemple une couche d’affichage obsolète. Dans ce cas, tous les écrans de l’ERP sont à reprendre par l’éditeur et l’investissement n’est pas soutenable. En conséquence, il est impossible de déployer une configuration complète à jour.

Pour l’ERP Sylob, ces configurations sont mises à jour à chaque version majeure. Les investissements sont parfois lourds pour l'éditeur mais ils garantissent la pérennité de la solution. Pour pouvoir déployer Sylob dans un Cloud de haut niveau, ces étapes sont tout simplement obligatoires. Afin d’optimiser ce travail de gestion de configuration, un déploiement en containers a été choisi comme pour la plupart des solutions SaaS. Ces évolutions deviennent ainsi de plus en plus transparentes pour les équipes DevOps et pour les entreprises utilisatrices, réduisant les interruptions de service de quelques heures précédemment à seulement quelques minutes désormais.

Choix d’un ERP sécurisé : comment s’y retrouver ?

Pour choisir son ERP, il est difficile de pouvoir se rendre compte de la résilience et de l’éventuelle vulnérabilité des logiciels comparés. Pour autant, il existe un certain nombre de questions à poser pour vous éclairer dont voici plusieurs exemples :

  1. Quel contenu technique a été déployé dans les versions majeures passées ? Les notes de versions vous renseignent sur la réalité des mises à jour techniques de sécurité et de non-obsolescence des composants.
  2. Quel est le pourcentage d’entreprises utilisatrices de la dernière version de l’ERP ? Si le taux est faible, cela veut dire que les dernières versions sont difficiles à déployer ou trop onéreuses.
  3. Combien de sauvegardes sont proposées et selon quelles fréquences ? Comment sont-elles vérifiées pour être fonctionnelles en cas de besoin réel ?
  4. Les données sont-elles chiffrées et de quelle manière ?
  5. Quels sont les protocoles d’authentification utilisés et comment sont-ils mis à jour ? Si aucun standard n’est respecté ou bien s’il ne tient pas compte des évolutions en termes de vulnérabilités, l’accès au système représente une grande faiblesse.
  6. De quels logiciels dépend l’ERP ? S’il est accessible depuis un navigateur web (solution full-web), alors il suffit que celui-ci soit à jour. S’il doit fonctionner via des systèmes d’exploitation définis ou en installant des programmes dédiés, veillez à vérifier la version compatible et son obsolescence à venir.
  7. Est-ce que des audits externes de sécurité ont été réalisés ? Ils permettent d’avoir une analyse indépendante quant aux failles de sécurité présentes avec un classement de leur sévérité.

De plus en plus d’assurances professionnelles demandent désormais ces éléments car elles ont connaissance de la plupart des vulnérabilités. Le coût de la prime, à prendre en considération dans le coût global et vos comparatifs, sera établi en fonction des réponses apportées.

Sylob ERP porte une grande attention à ces questions en s’appuyant sur plus de 7 ans d’expérience en déploiement Cloud. Cette solution représente la meilleure protection à ce jour que nous pouvons recommander, en cohérence avec les exigences avisées des assurances cyber.

View : Ces articles pourraient vous intéresser

Ces articles pourraient vous intéresser

Bénéficiez d'une démonstration personnalisée de notre ERP