ERP et cybersécurité : ce que certains refusent encore de comprendre

Depuis le temps que je déploie des ERP dans des entreprises de toutes tailles et de tous secteurs, je ne cesse de constater un paradoxe inquiétant : les mêmes organisations qui placent leur ERP au cœur de leur fonctionnement quotidien continuent à traiter la sécurité des accès comme une tâche secondaire. Comme si le fait d'avoir acheté un système performant suffisait à garantir sa fiabilité dans le temps. Parler de bonnes pratiques de sécurité ERP en 2025 c'est mettre en lumière des principes essentiels… que beaucoup négligent encore, parfois par ignorance, souvent par inconscience.

Je vous partage mon opinion sur le thème de l'ERP et de la cybersécurité : ce que certains refusent encore de comprendre

Je le dis souvent aux clients au moment du cadrage du projet : la sécurité n'est pas un module en option, ce n'est pas une ligne qu'on coche à la fin du cahier des charges. C'est une composante essentielle de la gestion de projet ERP. Si elle n'est pas anticipée, formalisée et validée pendant la phase de conception, vous ouvrez la porte à des risques qui peuvent mettre toute votre entreprise à genoux.

Je me souviens de ce client – une PME industrielle en croissance – qui me disait : *“On veut un ERP rapide à déployer, surtout pas trop compliqué, et pas de contraintes bloquantes côté sécurité, hein ?”* Il ne voulait pas entendre parler de MFA, refusait d'imposer des changements de mots de passe réguliers, et considérait que gérer les droits utilisateurs de façon granulaire était une perte de temps. Huit mois plus tard, une fuite d'identifiants (un fichier Excel laissé sur un serveur partagé…) permettait à un tiers de se connecter avec les droits d'un administrateur. Ils ont perdu trois jours de production et une bonne partie de leur crédibilité. Depuis, ils ont changé d'approche. Mais à quel prix.

Il faut bien avoir en tête que les erreurs les plus graves sont rarement techniques. Elles sont souvent humaines. Trop d'organisations n'ont pas de procédure claire pour désactiver les comptes inactifs. Trop de collaborateurs partagent des mots de passe, ou utilisent le nom de leur chien suivi de l'année en cours comme code d'accès à un outil qui gère leurs données financières. Et trop de dirigeants refusent de prioriser un audit de sécurité dans leur projet ERP, parce que “ça ne rapporte rien”. Jusqu'au jour où l'absence de sécurisation leur coûte tout.

Quand on déploie un ERP, il faut intégrer la sécurité dans chaque décision. Ce n'est pas juste une question de conformité ou de responsabilité juridique. C'est une manière de s'assurer que l'outil censé améliorer l'efficacité ne devienne pas une vulnérabilité critique. Cela commence dès la définition des rôles utilisateurs, où le principe du moindre privilège devrait être une évidence. Aucun employé ne devrait avoir accès à des fonctions qui dépassent son besoin réel. Et pourtant, combien d'ERP que j'audite révèlent des profils “admin” affectés à des comptables, des assistants, voire à des stagiaires “pour aller plus vite” ?

La mise en place d'une authentification multi-facteurs (MFA) est aujourd'hui non négociable. J'ai encore en tête cette direction générale qui, en 2023, m'a répondu : *“Nos collaborateurs ne sont pas prêts pour ce niveau de complexité.”* Ce que cette phrase révèle, ce n'est pas une problématique technique, mais une absence de culture du risque. Car si vos utilisateurs ne sont pas prêts à entrer un code SMS ou à utiliser une application d'authentification, alors il faut s'interroger sérieusement sur la maturité globale de l'organisation à fonctionner dans un environnement numérique sécurisé.

Ce scepticisme face à la cybersécurité me dérange, surtout quand il vient de structures qui se disent stratégiquement dépendantes de leur ERP. Comment peut-on bâtir toute sa logistique, sa comptabilité, ses relations clients et fournisseurs autour d'un outil, et ne pas considérer que cet outil mérite un blindage actif, surveillé et testé ? Un ERP sans contrôle d'accès sérieux, c'est comme une maison connectée dont la porte d'entrée reste ouverte en permanence, au prétexte que c'est plus pratique.

L'autre erreur que je rencontre fréquemment, c'est l'idée que la sécurité est un sujet “IT”. Faux. C'est un sujet projet, qui implique les métiers, la direction générale, les RH, et parfois même les partenaires externes. Sécuriser un ERP, ce n'est pas configurer deux options techniques dans un backend obscur. C'est établir une gouvernance claire, faire des revues régulières des droits d'accès, documenter les rôles et les responsabilités, et former les utilisateurs à la sécurité opérationnelle. C'est prévoir des plans de continuité, des tests de restauration, des alertes sur les accès anormaux.

Je pose parfois cette question simple en atelier de cadrage : *“Si demain, quelqu'un pénètre dans votre ERP avec des droits étendus, combien de temps vous faut-il pour le détecter, le bloquer, et comprendre ce qu'il a fait ?”* Trop souvent, je n'ai pas de réponse. Ce silence en dit long.

Alors oui, certaines entreprises font le nécessaire. Elles comprennent qu'un projet ERP réussi ne se mesure pas seulement à la fluidité des process ou à la qualité des interfaces, mais à la robustesse de sa sécurité. Mais pour beaucoup d'autres, il reste encore un immense chemin à parcourir.

En tant que chef de projet, je m'efforce à chaque mission de rappeler que la sécurité fait partie intégrante du déploiement. Ce n'est pas une option, ce n'est pas un luxe. C'est un socle. Et c'est à nous, professionnels de l'ERP, d'être exigeants, pédagogues, et parfois même un peu insistants. Parce qu'à la fin, quand le système tombe ou que les données fuient, ce n'est pas le prestataire qui en souffre, c'est l'entreprise elle-même.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant expert en solutions de gestion écrit et publie régulièrement depuis 2004 des articles sur son site web professionnel dédié aux outils d'entreprise et aux questions du numérique et des technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu des thèmes abordés.

Outre l'email / téléphone, les visioconférences sur Google Meet sont une moyen privilégié de me contacter. La simplicité d'utilisation de cet outil en fait un choix évident, n'imposant aucune installation. Renseignez mon adresse email pour une invitation via Google Agenda.

Pays de Provence, le 7 juillet 2025

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime cet article sur l'informatique: « SkyDroid: dépôt décentralisé d'applications pour Android ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 À consulter : Mentions légales. Derniers articles : Les phases APS et APD dans les projets d'installations industrielles, ITSM et ERP : impacts sur l'architecture et les équipes, Installer Copilot gratuitement, retour d'expérience, Les limites cachées du rôle de chef de projet ERP, La chaîne logistique en entreprise, qu'est-ce que c'est ?, L'importance des réseaux sociaux pour un tunnel d'acquisition performant, Du Build au Run : le défi des chefs de projet ERP, Maîtriser le triangle QCD dans les projets ERP, Un logiciel ERP pour gérer l'entreprise, ERP BTP, Piloter un projet ERP, Faire appel à un rédacteur web freelance, Le rôle stratégique du rétroplanning dans la réussite d'un projet ERP, Christiaens, un ERP au service de la gestion d’entreprise, Altior, l'ERP SaaS qui booste les PME industrielles, Smart Industry, quand l'industrie 4.0 réinvente l'appareil de production, Rise Tech, réparation d'ordinateur portable près d'Aix-en-Provence, Intégrer des outils externes à un ERP, Encore la conversion vidéo, x, x, x, x, x, x, x, Construire un blueprint solide pour réussir son projet ERP, La planification de chantier, Vancelian : de Akt.io à leader fintech, l'essentiel sur cette entreprise, RFP, un outil stratégique pour structurer le choix d'un logiciel, De la start-up à la scale-up, le passage à l'échelle dans l'écosystème numérique, Gestion des factures fournisseurs, quel traitement ?, ERP, quelle formation en ligne?, Applications de gestion des frais professionnels, un levier stratégique, Recherche ingénieur senior en assurance qualité logiciel, ERP et cybersécurité, un enjeu vital de protection de données, Openbravo, Book My Foodtruck et Korus Ticket : l'innovation startup en France, Les nouveaux visages de la tech française, innovation et rigueur, Implémentation d'un logiciel : les différentes phases, Sauvegardes BDD automatisées avec CRON, Logiciels TMS : optimiser la logistique et la gestion humaine du transport.
⛅ L'automne est arrivé, un temps propice au travail non? ☂️

Copyright © 2004-2025 Michel Campillo, tous droits réservés