Logiciel ERP et cybersécurité

Les systèmes ERP de nombreuses entreprises sont encore trop vulnérables, alors qu'ils abritent leurs données les plus précieuses. Que se passerait-il si votre système ERP était attaqué ? Pour de nombreuses entreprises, les conséquences seraient dévastatrices.

Les logiciels ERP sont particulièrement concernés par la cybersécurité

Les systèmes ERP contiennent les données essentiels de l'entreprise : sur les clients, le niveau des stock, les entrées de commandes, les plans de production, les données contractuelles de la GED, les chantiers si c'est un logiciel de gestion de travaux. Par ailleurs ils gèrent également des processus financiers essentiels tels que la prévision financière, le pilotage de la trésorerie, les paiements fournisseurs et les règlements clients.

Alors que les cyberattaques continuent d'être au cœur des préoccupations des dirigeants d'entreprise, nombre d'entre eux ne mesurent pas pleinement la vulnérabilité de leurs systèmes de gestion à de telles attaques. Quand on connaît la signification d'un ERP, on comprend que cela pourrait devenir un problème important à mesure que s'accumulent les menaces visant les outils de gestion. Les pirates s'attaquent à la chaîne d'approvisionnement, aux systèmes de contrôle industriel (ICS) et aux technologies opérationnelles (OT).

Les pirates informatiques deviennent plus systémiques et plus perspicaces dans leurs attaques, passant des attaques par déni de service distribué (DDoS) et du cryptage des bases de données à la perturbation des systèmes de production. Le paysage des menaces va probablement encore évoluer, comme quoi avoir su éviter de commettre une erreur en projet ERP pour tomber dans un soucis de cybersécurité est assea rageant.

Les rapports s'accumulent en provenance de cabinet conseil en cybersécurité soulignant l'évolution prononcée de la cybermenace, qui passe du vol de données à la perturbation des systèmes. De l'autre côté de l'Atlantique, le ministère américain de la sécurité intérieure a émis de multiples avertissements contre les cyberattaques visant les systèmes de gestion d'entreprise. A mon sens, tout consultant ERP devrait se sentir concerné dans sa pratique professionnelle, gestion des mots de passe etc.

Face à l'augmentation du niveau de menace, les éditeurs des principaux ERP ont investi dans le renforcement et la protection de leurs systèmes. Mais les entreprises peuvent encore être vulnérables en raison d'un manque d'attention dans le recrutement ERP, de ressources suffisantes ou de manque de compréhension de la meilleure façon d'aborder les problèmes à la frontière entre ERP et cybersécurité.

Certaines entreprises, par exemple, ont mis l'accent sur la logique entre logiciel ERP et retour sur investissement sans se soucier des mises à niveau nécessaires de leur système de gestion, y compris les migrations vers le cloud pour améliorer la sécurité. Certains investissements laissent moins de ressources disponibles pour se concentrer sur la sécurité autour de l'ERP. Parallèlement, les compétences en matière d'ERP sont des ressources rares, allez recruter un chef de projet ERP par les temps qui courent et vous allez comprendre. 😉

J'ai vu de nombreuses entreprises réduire leurs investissements dans la maintenance et le support de leur système ERP existant, y compris les cyberprotections qui font partie du périmètre de l'administrateur système. La migration vers le cloud reste l'option première pour se protéger des attaques, mais le sujet est polémique. Pour les entreprises qui souhaitent choisir un ERP ou mettre à jour leur système legacy, c'est peut-être le moment de revoir la politique de cybersécurité et éventuellement remettre en réflexion la possibilité d'une migration vers le cloud pour contrer les cyberattaques.

La protection des systèmes ERP contre les cyberattaques présente des défis particuliers pour les administrateurs système. L'une des raisons pour lesquelles les entreprises n'ont pas sécurisé leurs progiciels de gestion de manière aussi approfondie qu'elles le devraient est que l'ampleur et la complexité de la tâche sont écrasantes. On a en tête la (mauvaise) expérience de Lidl avec SAP. 🤓

Bref les ERP sont constitués d'un large éventail d'éléments, notamment des processus et des flux de travail, des bases de données, une infrastructure informatique sous-jacente (parfois défaillante), un vaste réseau de stockage de données, ainsi que des dizaines, voire des centaines, d'interfaces et de points d'intégration (API) avec d'autres applications informatiques internes et externes à l'entreprise. Je ne suis pas en train de décrire l'ERP SAP, mais potentiellement tout système de gestion conséquent.😊

Cette complexité est exacerbée par le fait que les entreprises n'ont souvent pas de transparence globale sur ce qui se passe réellement dans leurs systèmes ERP, le consultant fonctionnel n'a pas toujours une vue globale, qu'il s'agisse des données qui transitent par l'ERP ou des interfaces et/ ou connecteurs avec d'autres systèmes comme les SIRH par exemple pour les progiciels qui ne gèrent pas la paye et doivent se brancher sur Quadratus ou SILAE.

Si vous évoluez comme moi dans l'univers ERP, vous savez qu'aujourd'hui les systèmes ont de plus en plus d'interconnexions entre les applications internes et les sources de données et systèmes externes (l'exemple du SIRH que j'ai donné plus haut, ou bien avec la chaîne d'approvisionnement logistique d'un fournisseur, ou autre outil de gestion de la sous-traitance etc.). Bref il peut être difficile de comprendre les différentes dépendances, ce qui signifie que la protection d'une seule partie du système peut ne pas être très utile si chaque interconnexion constitue une vulnérabilité.

Le problème d'interdépendance / interfaces / connecteurs / API est encore aggravé par le défaut de communication qu'on observe parfois quand le support ERP est séparé du reste des équipes chargées des applications métiers et de l'infrastructure de l'entreprise (administration système). Acquérir un ERP à l'issue d'un processus de sélection et se retrouver avec les soucis d'une entreprise gérée comme un ensemble de silos séparés au sein de l'organisation, avouez que c'est quand même paradoxal.

Outre l'email, mobile, téléphone, Telegram, réseaux sociaux, je vous invite à me retrouver également sur Zoom. Très utile voir indispensable, installé sur mon mobile pour entrer instantanément en réunion. Mon ID de réunion personnel (PMI) est sur la page Contact.

Aix en Provence, le 31 mars 2022

Michel Campillo, consultant d'entreprise
Logiciels de Gestion
☎ 06 89 56 58 18   
✉ contact par email

➽ Les articles d'actualité sur l'informatique sont repris chronologiquement sur la page d'accueil du blog. J'aime assez cet article: « Qu'est-ce que le SAP Learning Hub ?  ».

Ce billet vous a plu? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, Consultation de ressources d'informations disponibles, Vidéos d'actualité numérique, La gestion de chantier évolue grâce à la mobilité, Les bonnes pratiques de gestion des risques dans les projets ERP, Optimiser l'intégration entre les systèmes ERP et les applications tierces, Exigences et résultats attendus d'un projet ERP, Les meilleures pratiques pour gérer le changement lors de l'implémentation d'un ERP, Un logiciel ERP pour l'immobilier, pour quoi faire ?, Le cycle de vie d'un projet ERP, Viva Technology 2023, visiter le salon tech de Paris, La facturation électronique, quel impact sur la productivité?, Les frais liés à la gestion manuelle des factures, La dématérialisation des factures dans l'entreprise, L'IA générative peut-elle aider Salesforce à rebondir?, Leçons tirées de la transformation numérique, L'intelligence artificielle (IA), une opportunité ?, L’IA pourrait-elle remplacer 80 % des emplois?, Comment faire une road map projet ?, Faire une clôture mensuelle en contrôle de gestion, Exemple de projet ERP, Besoin d'un intégrateur ERP ?.
✇ Ce site web est 100% neutre en carbone🌱 depuis 2004🌿

Copyright © 2004-2023 Michel Campillo, tous droits réservés