Gestion rigoureuse des droits d’accès
La gestion des droits d'accès est fondamentale pour s’assurer que chaque utilisateur de l'ERP a uniquement accès aux données et fonctions nécessaires pour son métier. Connue sous le nom de « principe du moindre privilège », cette approche réduit les chances qu'un compte compromis puisse causer des dommages importants. De plus, cela permet également de tracer plus facilement les activités suspectes, car les actions d'un utilisateur sont confinées à son domaine d'autorisation spécifique.
Chiffrement des données
Le chiffrement des données permet de les rendre inutilisables pour les attaquants. Appliqué aux données stockées ainsi que lors de leur transit sur le réseau, le chiffrement doit être conforme aux meilleurs standards, notamment les normes ISO 27001 et ISO 27002, qui fournissent des directives pour le chiffrement et la gestion des clés de chiffrement.
Compatibilité avec les outils de sécurité existants
Un ERP doit être compatible avec des outils de sécurité tels que les SIEM (Security Information and Event Management), qui aident à surveiller et à analyser les activités de sécurité en temps réel. Ces systèmes combinent la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM), offrant une vue complète des menaces potentielles.
Sécurité adaptée aux environnements Cloud
La migration vers le Cloud est une évolution majeure des ERP modernes. Les entreprises faisant le choix du Cloud pour leur ERP doivent donc être attentives au respect des règles de sécurité pour ce type d’environnement. On citera par exemple les normes ISO 27017 et ISO 27018, qui fournissent des directives sur la sécurité des informations dans le cloud et sur la protection et la gestion des données personnelles.
Sauvegarde des données
Dans le Cloud ou on-premise, un ERP doit intégrer un système de sauvegarde robuste pour garantir la récupération des données en cas d'attaque. Couvrant à la fois les données opérationnelles et les configurations systèmes, les sauvegardes doivent être fréquemment testées pour s'assurer de leur intégrité et de leur capacité de restauration. La mise en œuvre de ces pratiques aide à minimiser les pertes de données et à réduire le temps de récupération après un incident, assurant ainsi la continuité des opérations commerciales.
Au-delà des critères de cybersécurité à prendre en compte dans le choix d’un ERP, les entreprises ne peuvent faire l’économie d’un plan de réponse aux incidents. En effet, le risque 0 n’existe pas et la préparation est la clé de voûte de toute stratégie de cybersécurité. En toute hypothèse, il est nécessaire d’impliquer tous les collaborateurs dans cette démarche via des actions de sensibilisation.
Sensibiliser les collaborateurs
La sensibilisation des collaborateurs aux bonnes pratiques est un élément incontournable pour renforcer la cybersécurité de l’ERP et du SI dans son ensemble. Les actions de sensibilisation doivent aider les collaborateurs à reconnaître les menaces et adopter les bons réflexes pour s’en prémunir.
Pour être efficaces, ces actions doivent être régulières et s’inscrire dans une relation pérenne entre l’IT et les métiers. Variée s’appuyant sur divers formats (e-learning, webinaires, ateliers, jeux, infographies, campagnes anti-phishing, boîte à outils, etc.), la sensibilisation doit porter sur des incidents réels ou probables dans le contexte spécifique de l'entreprise. En toute hypothèse, il est indispensable de s’adapter aux publics visés en prenant en compte les besoins spécifiques des services, leur niveau de maturité en cybersécurité et les risques auxquels leurs missions les exposent.
Pour aller plus loin, vous pouvez également lire notre article : Comment protéger son système ERP des cyberattaques ?