ERP et cybersécurité : ce que certains refusent encore de comprendre

Depuis le temps que je déploie des ERP dans des entreprises de toutes tailles et de tous secteurs, je ne cesse de constater un paradoxe inquiétant : les mêmes organisations qui placent leur ERP au cœur de leur fonctionnement quotidien continuent à traiter la sécurité des accès comme une tâche secondaire. Comme si le fait d'avoir acheté un système performant suffisait à garantir sa fiabilité dans le temps. Parler de bonnes pratiques de sécurité ERP en 2025 c'est mettre en lumière des principes essentiels… que beaucoup négligent encore, parfois par ignorance, souvent par inconscience.

Je vous partage mon opinion sur le thème de l'ERP et de la cybersécurité : ce que certains refusent encore de comprendre

Je le dis souvent aux clients au moment du cadrage du projet : la sécurité n'est pas un module en option, ce n'est pas une ligne qu'on coche à la fin du cahier des charges. C'est une composante essentielle de la gestion de projet ERP. Si elle n'est pas anticipée, formalisée et validée pendant la phase de conception, vous ouvrez la porte à des risques qui peuvent mettre toute votre entreprise à genoux.

Je me souviens de ce client – une PME industrielle en croissance – qui me disait : *“On veut un ERP rapide à déployer, surtout pas trop compliqué, et pas de contraintes bloquantes côté sécurité, hein ?”* Il ne voulait pas entendre parler de MFA, refusait d'imposer des changements de mots de passe réguliers, et considérait que gérer les droits utilisateurs de façon granulaire était une perte de temps. Huit mois plus tard, une fuite d'identifiants (un fichier Excel laissé sur un serveur partagé…) permettait à un tiers de se connecter avec les droits d'un administrateur. Ils ont perdu trois jours de production et une bonne partie de leur crédibilité. Depuis, ils ont changé d'approche. Mais à quel prix.

Il faut bien avoir en tête que les erreurs les plus graves sont rarement techniques. Elles sont souvent humaines. Trop d'organisations n'ont pas de procédure claire pour désactiver les comptes inactifs. Trop de collaborateurs partagent des mots de passe, ou utilisent le nom de leur chien suivi de l'année en cours comme code d'accès à un outil qui gère leurs données financières. Et trop de dirigeants refusent de prioriser un audit de sécurité dans leur projet ERP, parce que “ça ne rapporte rien”. Jusqu'au jour où l'absence de sécurisation leur coûte tout.

Quand on déploie un ERP, il faut intégrer la sécurité dans chaque décision. Ce n'est pas juste une question de conformité ou de responsabilité juridique. C'est une manière de s'assurer que l'outil censé améliorer l'efficacité ne devienne pas une vulnérabilité critique. Cela commence dès la définition des rôles utilisateurs, où le principe du moindre privilège devrait être une évidence. Aucun employé ne devrait avoir accès à des fonctions qui dépassent son besoin réel. Et pourtant, combien d'ERP que j'audite révèlent des profils “admin” affectés à des comptables, des assistants, voire à des stagiaires “pour aller plus vite” ?

La mise en place d'une authentification multi-facteurs (MFA) est aujourd'hui non négociable. J'ai encore en tête cette direction générale qui, en 2023, m'a répondu : *“Nos collaborateurs ne sont pas prêts pour ce niveau de complexité.”* Ce que cette phrase révèle, ce n'est pas une problématique technique, mais une absence de culture du risque. Car si vos utilisateurs ne sont pas prêts à entrer un code SMS ou à utiliser une application d'authentification, alors il faut s'interroger sérieusement sur la maturité globale de l'organisation à fonctionner dans un environnement numérique sécurisé.

Ce scepticisme face à la cybersécurité me dérange, surtout quand il vient de structures qui se disent stratégiquement dépendantes de leur ERP. Comment peut-on bâtir toute sa logistique, sa comptabilité, ses relations clients et fournisseurs autour d'un outil, et ne pas considérer que cet outil mérite un blindage actif, surveillé et testé ? Un ERP sans contrôle d'accès sérieux, c'est comme une maison connectée dont la porte d'entrée reste ouverte en permanence, au prétexte que c'est plus pratique.

L'autre erreur que je rencontre fréquemment, c'est l'idée que la sécurité est un sujet “IT”. Faux. C'est un sujet projet, qui implique les métiers, la direction générale, les RH, et parfois même les partenaires externes. Sécuriser un ERP, ce n'est pas configurer deux options techniques dans un backend obscur. C'est établir une gouvernance claire, faire des revues régulières des droits d'accès, documenter les rôles et les responsabilités, et former les utilisateurs à la sécurité opérationnelle. C'est prévoir des plans de continuité, des tests de restauration, des alertes sur les accès anormaux.

Je pose parfois cette question simple en atelier de cadrage : *“Si demain, quelqu'un pénètre dans votre ERP avec des droits étendus, combien de temps vous faut-il pour le détecter, le bloquer, et comprendre ce qu'il a fait ?”* Trop souvent, je n'ai pas de réponse. Ce silence en dit long.

Alors oui, certaines entreprises font le nécessaire. Elles comprennent qu'un projet ERP réussi ne se mesure pas seulement à la fluidité des process ou à la qualité des interfaces, mais à la robustesse de sa sécurité. Mais pour beaucoup d'autres, il reste encore un immense chemin à parcourir.

En tant que chef de projet, je m'efforce à chaque mission de rappeler que la sécurité fait partie intégrante du déploiement. Ce n'est pas une option, ce n'est pas un luxe. C'est un socle. Et c'est à nous, professionnels de l'ERP, d'être exigeants, pédagogues, et parfois même un peu insistants. Parce qu'à la fin, quand le système tombe ou que les données fuient, ce n'est pas le prestataire qui en souffre, c'est l'entreprise elle-même.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant expert en solutions de gestion écrit et publie régulièrement depuis 2004 des articles sur son site web professionnel dédié aux outils d'entreprise et aux questions du numérique et des technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu des thèmes abordés.

Outre l'email, mobile, téléphone, Linkedin, réseaux sociaux, vous pouvez me retrouver également sur Teams. Installé sur mon poste de travail, je reçois instantanément vos messages. Envoyez-moi votre identifiant par SMS ou email.

Pays de Provence, le 7 juillet 2025

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime cet article sur l'informatique: « Quelles sont les limites de stockage pour Google Drive? ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, Les modules d'un ERP, Logiciel de gestion de l'innovation, Mise en place d'un ERP dans une entreprise, Process mining, Logiciel de gestion des achats, expérience d'implémentation, L'innovation à Marseille et les startups, Donkey Kong Bananza... Quel voyage dans le temps !, TikTok et les mirages de la finance facile, attention au piège, L'opérateur Orange, cible d'une cyberattaque, Être à jour sur sa veille technologique?, L'IA Act, acte 2 : Google signe... mais pour moi, les doutes persistent, Apple prépare-t-il son propre ChatGPT ? Entre nécessité et doutes, Tchap messagerie sécurisée de l'État, rempart face à la cybercriminalité?, RPA : l'automatisation mal intégrée devient un risque, Fuite d'IBAN chez Bouygues, quels risques pour les clients?, Quand l'IA agentique rencontre l'ERP : l'avenir des portails métiers, Après la fin de Skype, quels outils pour nos échanges numériques?, x, x, x, x, x, x, x, x, x, x, RELIEF, l'IA agentique qui réinvente le chiffrage industriel.
☀️ Sous le soleil éclatant et la forte chaleur d'un bel été 🏖️

Copyright © 2004-2025 Michel Campillo, tous droits réservés