Logiciel ERP et cybersécurité

Les systèmes ERP de nombreuses entreprises sont encore trop vulnérables, alors qu'ils abritent leurs données les plus précieuses. Que se passerait-il si votre système était attaqué ? Pour de nombreuses entreprises, les conséquences seraient dévastatrices.

Les logiciels ERP sont particulièrement concernés par la cybersécurité

Les systèmes ERP contiennent les données essentielles de l'entreprise : sur les clients, le niveau des stock, les entrées de commandes, les plans de production, les données contractuelles de la GED, les chantiers si c'est un logiciel de gestion de travaux. Par ailleurs ils gèrent également des processus financiers essentiels tels que la prévision financière, le pilotage de la trésorerie, les paiements fournisseurs et les règlements clients.

Alors que les cyberattaques continuent d'être au cœur des préoccupations des dirigeants d'entreprise, nombre d'entre eux ne mesurent pas pleinement la vulnérabilité de leurs systèmes de gestion à de telles attaques. Quand on connaît la signification d'un ERP, on comprend que cela pourrait devenir un problème important à mesure que s'accumulent les menaces visant les outils de gestion. Les pirates s'attaquent à la chaîne d'approvisionnement, aux systèmes de contrôle industriel (ICS) et aux technologies opérationnelles (OT).

Les pirates informatiques deviennent plus systémiques et plus perspicaces dans leurs attaques, passant des attaques par déni de service distribué (DDoS) et du cryptage des bases de données à la perturbation des systèmes de production. Le paysage des menaces va probablement encore évoluer, comme quoi avoir su éviter de commettre une erreur en projet ERP pour tomber dans un soucis de cybersécurité est assea rageant.

Un échange que j'ai pu avoir comme consultant chef de projet IT avec un cabinet conseil en cybersécurité m'a fait prendre conscience de l'évolution prononcée de la cybermenace. On est passé du vol de données à la perturbation des systèmes. De l'autre côté de l'Atlantique, le ministère américain de la sécurité intérieure a émis de multiples avertissements contre les cyberattaques visant les systèmes de gestion d'entreprise. A mon sens, tout consultant informatique devrait se sentir concerné dans sa pratique professionnelle, gestion des mots de passe etc.

Face à l'augmentation du niveau de menace, les éditeurs des principaux ERP ont investi dans le renforcement et la protection de leurs systèmes. Mais les entreprises peuvent encore être vulnérables en raison d'un manque d'attention dans le recrutement ERP, de ressources suffisantes ou de manque de compréhension de la meilleure façon d'aborder les problèmes à la frontière entre ERP et cybersécurité.

Certaines entreprises, par exemple, ont mis l'accent sur la logique entre logiciel ERP et retour sur investissement sans se soucier des mises à niveau nécessaires de leur système de gestion, y compris les migrations vers le cloud pour améliorer la sécurité. Certains investissements laissent moins de ressources disponibles pour se concentrer sur la sécurité autour de l'ERP. Parallèlement, les compétences en matière d'ERP sont des ressources rares, allez recruter un chef de projet ERP par les temps qui courent et vous allez comprendre. 😉

J'ai vu de nombreuses entreprises réduire leurs investissements dans la maintenance et le support de leur système ERP existant, y compris les cyberprotections qui font partie du périmètre de l'administrateur système. La migration vers le cloud reste l'option première pour se protéger des attaques, mais le sujet est polémique. Pour les entreprises qui souhaitent choisir un ERP ou mettre à jour leur système legacy, c'est peut-être le moment de revoir la politique de cybersécurité et éventuellement remettre en réflexion la possibilité d'une migration vers le cloud pour contrer les cyberattaques.

La protection des systèmes ERP contre les cyberattaques présente des défis particuliers pour les administrateurs système. L'une des raisons pour lesquelles les entreprises n'ont pas sécurisé leurs progiciels de gestion de manière aussi approfondie qu'elles le devraient est que l'ampleur et la complexité de la tâche sont écrasantes. On a en tête la (mauvaise) expérience de Lidl avec SAP. 🤓

Bref les ERP sont constitués d'un large éventail d'éléments, notamment des processus et des flux de travail, des bases de données, une infrastructure informatique sous-jacente (parfois défaillante), un vaste réseau de stockage de données, ainsi que des dizaines, voire des centaines, d'interfaces et de points d'intégration (API) avec d'autres applications informatiques internes et externes à l'entreprise. Je ne suis pas en train de décrire l'ERP SAP, mais potentiellement tout système de gestion conséquent.😊

Cette complexité est exacerbée par le fait que les entreprises n'ont souvent pas de transparence globale sur ce qui se passe réellement dans leurs systèmes ERP, les consultants fonctionnels n'ont pas toujours une vue globale, qu'il s'agisse des données qui transitent par l'ERP ou des interfaces et/ ou connecteurs avec d'autres systèmes comme les SIRH par exemple pour les progiciels qui ne gèrent pas la paye et doivent se brancher sur Quadratus ou SILAE.

Si vous évoluez comme moi dans l'univers ERP, vous savez qu'aujourd'hui les systèmes ont de plus en plus d'interconnexions entre les applications internes et les sources de données et systèmes externes (l'exemple du SIRH que j'ai donné plus haut, ou bien avec la chaîne d'approvisionnement logistique d'un fournisseur, ou autre outil de gestion de la sous-traitance etc.). Bref il peut être difficile de comprendre les différentes dépendances, ce qui signifie que la protection d'une seule partie du système peut ne pas être très utile si chaque interconnexion constitue une vulnérabilité.

Le problème d'interdépendance / interfaces / connecteurs / API est encore aggravé par le défaut de communication qu'on observe parfois quand le support ERP est séparé du reste des équipes chargées des applications métiers et de l'infrastructure de l'entreprise (administration système). Acquérir un ERP à l'issue d'un processus de sélection et se retrouver avec les soucis d'une entreprise gérée comme un ensemble de silos séparés au sein de l'organisation, avouez que c'est quand même paradoxal.

MàJ 17 septembre 2023 : l'an dernier en septembre 2022, la Commission européenne a présenté une proposition de règlement visant à améliorer la résilience face aux cybermenaces, communément appelée le « Cyber Resilience Act ». Cette initiative a pour objectif de renforcer la cybersécurité des produits intégrant des éléments numériques. Pour atteindre cet objectif, elle établit un cadre réglementaire européen unifié en matière de cybersécurité et impose de nouvelles obligations aux fabricants, sans se limiter aux seuls objets connectés.

Outre l'email, mobile, téléphone, Telegram, réseaux sociaux, je vous invite à me retrouver également sur Zoom. Très utile voir indispensable, installé sur mon mobile pour entrer instantanément en réunion. Mon ID de réunion personnel (PMI) est sur la page Contact.

Aix en Provence, le 31 mars 2022

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email

➽ Les articles d'actualité sur l'informatique sont repris chronologiquement sur la page d'accueil du blog. J'aime assez cet article: «