Les fonctionnalités de sécurité des ERP modernes évoluent et s'améliorent de jour en jour. Alors, pourquoi les entreprises se sentent-elles plus exposées que jamais aux risques ? En partie, du fait de la rapide montée en puissance des technologies digitales et cloud. Selon IDC, d'ici 2025, le nombre d'appareils IoT atteindra plus de 30 milliards et continuera de croître de façon exponentielle. La plupart de ces appareils font partie des réseaux IIoT (Internet industriel des objets) des entreprises et, à ce titre, leurs données alimentent généralement un système ERP central. Aujourd'hui, un ERP cloud moderne est crucial pour la plupart des entreprises, car il les aide à unifier toutes leurs opérations dans un seul système. Pourtant, cette fonctionnalité clé peut aussi constituer une faiblesse en matière de cybersécurité, offrant un portail d'accès unique à un grand nombre d'informations critiques.

Défis liés à la sécurité des logiciels et des ERP modernes

Les approches traditionnelles en matière de cybersécurité sont devenues insuffisantes. L'idée de créer un périmètre sécurisé autour de ressources IT ou de bases de données spécifiques, puis d'en limiter et d'en contrôler l'accès, n'est pas efficace dans un écosystème connecté au cloud.

Dans un environnement ERP cloud, les entreprises recalibrent leur approche de la sécurité car elles partagent davantage de responsabilités avec les fournisseurs de cloud public et se concentrent donc moins sur l'infrastructure et davantage sur les responsabilités qu'elles continuent d'avoir côté applications.

Les attaques de type ransomwares et hameçonnages constituent un défi croissant. Avec des ERP intégrés à un nombre croissant de services, un nombre accru d'utilisateurs disposent d'un accès autorisé, ce qui accroît le terrain de chasse pour les pirates informatiques, avec des cibles toujours plus nombreuses en matière d'hameçonnage. Une intégration opérationnelle élargie des ERP implique également un périmètre et un éventail plus étendus de données précieuses dans ces ERP, ce qui renforce également leur valeur pour les pirates. De plus, avec les anciens systèmes ERP, l'intégration à de nouveaux services nécessite souvent des rajouts et un code personnalisé, propices à une augmentation de la surface d'attaque potentielle. En d'autres termes, plus il y a d'éléments à gérer, plus il y a de points faibles. Par ailleurs, l'augmentation du nombre de travailleurs à distance et indépendants, qui ont besoin de points d'accès externes, aggrave encore la situation.

Les cybercriminels peuvent pratiquer vols et extorsions, mais ils peuvent aussi arrêter des systèmes essentiels et mettre fin à des opérations entières. Les grandes entreprises (en particulier dans les secteurs financier et de l'assurance, de la production, des services aux entreprises et de la santé) sont depuis longtemps une cible, mais les PME/ETI sont de plus en plus attaquées, souvent en raison de leur manque de ressources et d'expertise en matière de sécurité.

Quels types de données ERP les cybercriminels ciblent-ils ?

Les pirates informatiques volent toutes sortes de données pour toutes sortes de raisons. Mais la plupart du temps, les cybercriminels visant les entreprises s'en prennent aux données, notamment aux données ERP, pour une monétisation rapide, que ce soit en extorquant l'entreprise victime ou bien en nuisant aux clients ou individus apparaissant dans les données volées. Cela peut se traduire par des tentatives d'accès direct à des fonds via la violation de cartes de crédit ou des transferts d'argent. Mais comme les bases de données financières et ERP ont tendance à être parmi les mieux sécurisées, les pirates informatiques commettent généralement leurs méfaits en accédant à d'autres types de données, plus accessibles.

Il en résulte un niveau de risque accru pour les entreprises, avec non seulement un risque au niveau de leurs profits, de leur réputation et de leurs clients, mais aussi un risque de recours collectifs intentés par les personnes apparaissant dans les données volées. Dans les cas où ces données incluent des informations personnelles, juridiques ou médicales sensibles, le préjudice du litige peut être irréparable.

Top 7 des problèmes de sécurité ERP et comment les résoudre

1. Logiciel obsolète

Les meilleurs fournisseurs d'ERP luttent sans relâche contre les risques nouveaux et émergents en matière de sécurité. Chaque fois qu'un risque de ce type est identifié, un correctif de sécurité est développé et distribué aux clients. Dans le passé, certaines entreprises ont ignoré ou retardé la mise en œuvre de ces mises à jour pendant de longues périodes, rendant ainsi leurs systèmes vulnérables. C'est particulièrement vrai pour les ERP les plus anciens, ayant fait l'objet de nombreuses personnalisations et solutions de contournement, rendant la mise en œuvre de correctifs plus problématique à gérer.

Solution  : les mises à jour et les correctifs de sécurité doivent être mis en œuvre régulièrement, malgré le risque de pannes et de temps d'arrêt, car de nouvelles menaces apparaissent sans cesse. La mise en œuvre de correctifs et de mises à jour pour l'ERP on-premise nécessite une approche basée sur les risques, privilégiant ceux ayant le plus d'implications en matière de sécurité et, bien qu'il ne s'agisse pas d'une démarche facile ou n'engendrant aucune disruption, elle reste essentielle pour atténuer les risques. Cela s'applique aussi aux entreprises disposant d'un environnement ERP hybride.

Avec le logiciel ERP cloud, la distribution et la mise en œuvre de correctifs constituent un processus transparent, exécuté en coulisses par le prestataire de services, sans disruption de l'activité. En outre, la gestion automatisée des correctifs associée au déploiement d'un ERP cloud facilite le respect de règles de conformité et de gouvernance en constante évolution.

2. Problèmes d'autorisation

Dans le contexte économique actuel, les responsables des RH, du service IT et autres sont poussés à faire en sorte que les nouveaux utilisateurs soient opérationnels le plus vite possible, ce qui peut conduire à un manque de rigueur lors de l'attribution des autorisations ERP, ou même de leur désactivation au moment des départs de l'entreprise. Les anciens systèmes ERP sont souvent plus exposés à ces risques en raison de fonctionnalités d'authentification obsolètes et de l'absence de workflows automatisés prenant en charge les autorisations.

Solution  : les systèmes ERP modernes sont conçus pour une gestion optimale des risques, notamment avec des fonctionnalités de provisioning et d'authentification inhérentes et un workflow particulièrement sophistiqués mais restant simples d'utilisation. En outre, les entreprises peuvent assurer une sécurité accrue de bout en bout à l'aide d'outils de gouvernance des accès et des identités.

3. Formation sécurité inadaptée

Faire circuler un support de formation sur votre politique officielle concernant l'hameçonnage ne produit pas le même effet que coordonner des sessions de formation régulières et interactives avec toutes vos équipes. En fait, dans une récente enquête, 78 % des entreprises estimant que leurs méthodes de formation étaient suffisantes pour éliminer les risques d'hameçonnage ont été surprises de constater que 31 % de leurs collaborateurs avaient échoué à un test d'hameçonnage basique. La faiblesse des mots de passe, l'absence de connaissances en matière d'hameçonnage et la mauvaise compréhension des protocoles de sécurité font que même vos collaborateurs les plus fidèles et les plus consciencieux peuvent involontairement mettre en danger votre entreprise.

Solution  : de nombreux collaborateurs n'ont simplement pas conscience de la façon dont leurs innocentes actions peuvent causer des risques ou des dommages. Ne laissez pas les mauvaises personnes s'occuper de la formation à la cybersécurité, et n'en faites pas une priorité basse. Collaborez avec un professionnel pour réaliser un audit des risques pour l'ensemble de votre entreprise et identifier les maillons faibles en matière de sécurité. Collaborez avec les chefs d'équipe pour élaborer des plans de formation réguliers répondant à leurs besoins particuliers. Mettez en œuvre des calendriers automatisés pour chaque service, avec des dates de tests, des renouvellements de certificats et des cours de remise à niveau.

4. Pénurie de personnel expérimenté en matière de sécurité ERP

Dans les entreprises qui utilisent des logiciels ERP anciens, les équipes IT doivent parfaitement comprendre les nombreux risques de sécurité ERP spécifiques, et être en mesure d'exécuter et de mettre en œuvre des pratiques de sécurité d'excellence. Cela inclut l'identification des menaces, la réalisation d'analyses de vulnérabilité et de tests d'intrusion, la création de plans de réponse aux incidents et l'intégration des derniers outils de surveillance de cybersécurité dans les systèmes obsolètes. Dans le climat actuel, non seulement il est difficile de trouver et de fidéliser des professionnels qualifiés, mais il est aussi coûteux et chronophage d'intégrer le nombre croissant de sessions de formation nécessaires pour maintenir les équipes IT à la hauteur du rythme fulgurant des développements en matière de sécurité digitale.

Solution  : l'ERP cloud allège considérablement cette préoccupation croissante. Les robustes fonctions de sécurité, telles que la surveillance 24 h/24 et 7 j/7 et la restauration après sinistre, sont toutes gérées par le fournisseur, en toute transparence, dans le cloud. De plus, les tâches IT quotidiennes et plus chronophages, telles que la gestion des correctifs, les tests et les mises à niveau, peuvent aussi être automatisées dans le cloud et se dérouler sans interruption perceptible.

5. Non-respect des normes de sécurité et de gouvernance

Avec l'intégration de systèmes ERP concernant un nombre croissant de services, le périmètre des données vulnérables s'étend toujours plus, impliquant une diversité accrue, avec notamment des informations produits sécurisées, des dossiers médicaux ou des éléments de propriété intellectuelle. Plus les données (financières, médicales ou juridiques par exemple) sont sensibles, plus elles sont susceptibles d'avoir leurs propres protocoles de sécurité et de stockage. Le non-respect (ou la méconnaissance) de ces protocoles peut conduire non seulement à des violations potentielles de ces données, mais aussi à des sanctions et même à des conséquences juridiques en cas de non-respect.

Solution  : aujourd'hui, les meilleurs ERP, avec bases de données modernes, peuvent faciliter l'automatisation et le contrôle centralisés d'une série de protocoles de conformité pour une grande variété de types de données. Ainsi, les équipes IT peuvent travailler avec des spécialistes à l'échelle de l'entreprise pour d'abord déterminer les normes de sécurité adéquates, puis automatiser les systèmes et les tableaux de bord utilisateurs pour assurer le respect continu des protocoles requis.

6. Authentification à un facteur

Un facteur unique (un seul mot de passe ou code d'accès) n'est tout simplement pas suffisant. Malgré une prise de conscience généralisée, plus de 40 % des entreprises ne parviennent toujours pas à utiliser l'authentification en deux étapes sur l'ensemble des potentiels points d'entrée ERP. En d'autres termes, il ne sert à rien de protéger vos données les plus cruciales avec une authentification à deux facteurs (2FA) si d'autres objets connectés (tels que des appareils IoT ou des applications de services) restent vulnérables à cause d'une authentification à un facteur par mot de passe.

Solution  : il est essentiel pour les entreprises de toutes tailles d'immédiatement mettre en œuvre des protocoles 2FA (notamment des jetons de sécurité ou l'identification biométrique) sur tous les potentiels points d'entrée ERP. Il s'agit d'une solution simple et à bas coût, mais extrêmement importante.

7. Export des données

Malgré les protocoles officiels, les utilisateurs apprécient de mettre les éléments dans des feuilles de calcul ou de les sauvegarder dans d'autres formats, et les risques liés aux exports de données restent un véritable problème pour les entreprises.

Solution  : les entreprises peuvent contrôler quelque peu ce problème en bloquant les téléchargements Excel ou en suivant les actions des utilisateurs dans la base de données. Mais in fine, le meilleur moyen de se protéger contre l'export de données, c'est de limiter le nombre de personnes ayant accès à des données vulnérables. Avec un ERP moderne, les chefs de service peuvent facilement déterminer et définir qui peut voir quoi, mais aussi préciser quels éléments précis d'un ensemble de données sont accessibles et visualisables. Et contrairement aux systèmes anciens, les ERP cloud disposent de fonctionnalités de sécurité intégrées, automatisables pour envoyer des notifications et empêcher les commandes non autorisées, telles que les téléchargements ou les exports de données.

Bonnes pratiques de cybersécurité pour les ERP

La plupart des problèmes et solutions évoqués concernent des stratégies de sécurité générales visant à optimiser les ressources humaines et technologiques dans un monde de cybercriminalité. Voici quelques bonnes pratiques de base supplémentaires pour vous aider à tirer le meilleur parti des services et des avantages associés aux fonctions et caractéristiques de sécurité de l'ERP cloud :

• S'assurer que des accords sur le niveau de service sont en place pour les fonctionnalités liées à la continuité des activités, à la restauration après sinistre et au temps de fonctionnement. Les outils basés sur le cloud peuvent vous aider à intégrer ces accords en un même endroit, pour l'ensemble des opérations mondiales, et à automatiser les mises à jour.
• Réaliser des audits de tiers et d'hyperscalers. Ces audits de tiers indépendants sont essentiels pour assurer la conformité inter-entreprise à chaque étape et pour accompagner les efforts de type CMMC (certification du modèle de maturité en cybersécurité) et Zero Trust.
• Chiffrer toutes les données et se concentrer sur le renforcement des processus, des protocoles et de la gestion de projets pour toutes les équipes impliquées dans les pratiques de sécurité ERP (en particulier dans les domaines de la gestion des correctifs, de la configuration de sécurité, de l'analyse des vulnérabilités et de la gestion des menaces).
• Investir dans des conseils auprès d'experts externes en cybersécurité, de renommée mondiale, pour s'assurer que toutes les équipes pourront assumer leurs rôles et responsabilités concernant la réduction des risques.
• S'assurer que la surveillance 24 h/24 et 7 j/7 et la gestion proactive de la sécurité sont effectives dans l'ensemble de l'entreprise pour plus de réactivité face aux incidents. Cela inclut l'ERP et tous les systèmes, appareils ou actifs IoT susceptibles d'offrir un accès aux pirates informatiques.
• Utiliser une approche de test ERP par domaine pour un processus de test cohérent et reproductible, et une gestion optimale des vecteurs d'acteurs communs sur l'ensemble de la surface d'attaque.

Étapes à suivre pour renforcer la sécurité des ERP

La cybercriminalité nous concerne tous. Si les entreprises souhaitent la combattre, elles doivent adopter une approche multiaxiale. Les technologies ERP cloud forment un excellent point de départ : elles offrent aux entreprises une base unifiée pour coordonner et automatiser une défense puissante et efficace.

Mais in fine, vos efforts en matière de cybersécurité commencent et finissent avec vos collaborateurs. Vos responsables d'équipe et collaborateurs font partie de la solution, mais on ne peut pas s'attendre à ce qu'ils le comprennent par eux-mêmes. La première étape de votre parcours en matière de cybersécurité ERP consiste à élaborer des plans de communication et de formation impliquant les meilleurs experts, des formations pratiques, des plans de formation visuels et pratiques, et même des exemples concrets de ce qu'il peut se passer en cas de problème. Des mesures spécifiques de formation et de certification ont leur importance, mais une sensibilisation générale, pour susciter globalement l'intérêt pour ce sujet, est tout aussi essentielle.

La sécurité digitale occupe aujourd'hui une place majeure dans notre vie, alors pourquoi ne pas faire de l'apprentissage de la cybersécurité une expérience attrayante et même passionnante ?