Le consultant ERP prépare des démos en avant-vente pour clôturer des dossiers

Logiciel ERP et cybersécurité

Les systèmes ERP de nombreuses entreprises sont encore trop vulnérables, alors qu'ils abritent leurs données les plus précieuses. Que se passerait-il si votre système ERP était attaqué ? Pour de nombreuses entreprises, les conséquences seraient dévastatrices.

Logiciel ERP et cybersécurité
Les logiciels ERP sont particulièremennt concernés par la cybersécurité

Les systèmes ERP contiennent les données essentiels de l'entreprise : sur les clients, le niveau des stock, les entrées de commandes, les plans de production, les données contractuelles de la GED, les chantiers si c'est un logiciel de gestion de travaux. Par ailleurs ils gèrent également des processus financiers essentiels tels que la prévision financière, le pilotage de la trésorerie, les paiements fournisseurs et les règlements clients.

Alors que les cyberattaques continuent d'être au cœur des préoccupations des dirigeants d'entreprise, nombre d'entre eux ne mesurent pas pleinement la vulnérabilité de leurs systèmes de gestion à de telles attaques. Quand on connaît la signification d'un ERP, on comprend que cela pourrait devenir un problème important à mesure que s'accumulent les menaces visant les outils de gestion. Les pirates s'attaquent à la chaîne d'approvisionnement, aux systèmes de contrôle industriel (ICS) et aux technologies opérationnelles (OT).

Les pirates informatiques deviennent plus systémiques et plus perspicaces dans leurs attaques, passant des attaques par déni de service distribué (DDoS) et du cryptage des bases de données à la perturbation des systèmes de production. Le paysage des menaces va probablement encore évoluer, comme quoi avoir su éviter de commettre une erreur en projet ERP pour tomber dans un soucis de cybersécurité est assea rageant.

Abonnement à la lettre de diffusion

Les rapports s'accumulent en provenance de cabinet conseil en cybersécurité soulignant l'évolution prononcée de la cybermenace, qui passe du vol de données à la perturbation des systèmes. De l'autre côté de l'Atlantique, le ministère américain de la sécurité intérieure a émis de multiples avertissements contre les cyberattaques visant les systèmes de gestion d'entreprise. A mon sens, tout consultant ERP devrait se sentir concerné dans sa pratique professionnelle, gestion des mots de passe etc.

Face à l'augmentation du niveau de menace, les éditeurs des principaux ERP ont investi dans le renforcement et la protection de leurs systèmes. Mais les entreprises peuvent encore être vulnérables en raison d'un manque d'attention dans le recrutement ERP, de ressources suffisantes ou de manque de compréhension de la meilleure façon d'aborder les problèmes à la frontière entre ERP et cybersécurité.

Certaines entreprises, par exemple, ont mis l'accent sur la logique entre logiciel ERP et retour sur investissement sans se soucier des mises à niveau nécessaires de leur système de gestion, y compris les migrations vers le cloud pour améliorer la sécurité. Certains investissements laissent moins de ressources disponibles pour se concentrer sur la sécurité autour de l'ERP. Parallèlement, les compétences en matière d'ERP sont des ressources rares, allez recruter un chef de projet ERP par les temps qui courent et vous allez comprendre. 😉

Nouvelle du moment (✎ Revenez régulièrement sur cette page, les publications sont fréquentes.)

Quel système d'information (SI) dans l'entreprise? 🆕 (Posté le mercredi 20 avril 2022): Pour gérer une réorganisation ou pour prendre en compte un nouvel outil dans l’entreprise, il arrive fréquemment de devoir modifier et/ou restructurer le Système d’Information en place, en particulier le système ERP qui en est au coeur. La question est alors de savoir comment gérer la prise de risques associée à ces opérations et de savoir comment identifier et mettre en oeuvre les changements en toute maîtrise.

J'ai vu de nombreuses entreprises réduire leurs investissements dans la maintenance et le support de leur système ERP existant, y compris les cyberprotections qui font partie du périmètre de l'administrateur système. La migration vers le cloud reste l'option première pour se protéger des attaques, mais le sujet est polémique. Pour les entreprises qui souhaitent choisir un ERP ou mettre à jour leur système legacy, c'est peut-être le moment de revoir la politique de cybersécurité et éventuellement remettre en réflexion la possibilité d'une migration vers le cloud pour contrer les cyberattaques.

La protection des systèmes ERP contre les cyberattaques présente des défis particuliers pour les administrateurs système. L'une des raisons pour lesquelles les entreprises n'ont pas sécurisé leurs progiciels de gestion de manière aussi approfondie qu'elles le devraient est que l'ampleur et la complexité de la tâche sont écrasantes. On a en tête la (mauvaise) expérience de Lidl avec SAP. 🤓

Bref les ERP sont constitués d'un large éventail d'éléments, notamment des processus et des flux de travail, des bases de données, une infrastructure informatique sous-jacente (parfois défaillante), un vaste réseau de stockage de données, ainsi que des dizaines, voire des centaines, d'interfaces et de points d'intégration (API) avec d'autres applications informatiques internes et externes à l'entreprise. Je ne suis pas en train de décrire l'ERP SAP, mais potentiellement tout système de gestion conséquent.😊

Cashback

Cette complexité est exacerbée par le fait que les entreprises n'ont souvent pas de transparence globale sur ce qui se passe réellement dans leurs systèmes ERP, le consultant fonctionnel n'a pas toujours une vue globale, qu'il s'agisse des données qui transitent par l'ERP ou des interfaces et/ ou connecteurs avec d'autres systèmes comme les SIRH par exemple pour les progiciels qui ne gèrent pas la paye et doivent se brancher sur Quadratus ou SILAE.

Si vous évoluez comme moi dans l'univers ERP, vous savez qu'aujourd'hui les systèmes ont de plus en plus d'interconnexions entre les applications internes et les sources de données et systèmes externes (l'exemple du SIRH que j'ai donné plus haut, ou bien avec la chaîne d'approvisionnement logistique d'un fournisseur, ou autre outil de gestion de la sous-traitance etc.). Bref il peut être difficile de comprendre les différentes dépendances, ce qui signifie que la protection d'une seule partie du système peut ne pas être très utile si chaque interconnexion constitue une vulnérabilité.

Le problème d'interdépendance / interfaces / connecteurs / API est encore aggravé par le défaut de communication qu'on observe parfois quand le support ERP est séparé du reste des équipes chargées des applications métiers et de l'infrastructure de l'entreprise (administration système). Acquérir un ERP à l'issue d'un processus de sélection et se retrouver avec les soucis d'une entreprise gérée comme un ensemble de silos séparés au sein de l'organisation, avouez que c'est quand même paradoxal.

ZoomOutre l'email, mobile, téléphone, Telegram, réseaux sociaux, je vous invite à me retrouver également sur Zoom. Très utile voir indispensable, installé sur mon mobile pour entrer instantanément en réunion. Mon ID de réunion personnel (PMI) est sur la page Contact.

Aix en Provence, le 31 mars 2022

Michel Campillo

Michel Campillo Michel Campillo, consultant d'entreprise
Logiciels de Gestion
06 89 56 58 18   
contact par email

➽ Les articles d'actualité sur l'informatique sont repris chronologiquement sur la page d'accueil du blog. J'aime assez cet article: « Le cycle en V a-t-il un avenir ?  ».

Ce billet vous a plu? Alors partagez-le en cliquant sur les boutons ci-dessous:

Facebook Twitter Mastodon LinkedIn

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, 10% de rendement annuel avec Akt.io, Est-il temps de remplacer votre ancien système ERP ?, Sorties et évènements à Aix en Provence, ERP ou logiciels interconnectés, Livres à lire en ce moment, Du matériel de chantier autonome pour le BTP, Quel système d'information (SI) dans l'entreprise?, Une caméra time lapse pour suivi de chantier, vraiment?, Quel prix du bitcoin dans 10 ans ?, Weproc et la gestion des achats, bientôt le jeton Akt.io, qu'est-ce qu'un ERP en informatique.
✇ Site web sur le monde ERP 💻 et BTP 🦺 depuis 2004 🌿

Copyright © 2004-2022 Michel Campillo, tous droits réservés

eXTReMe Tracker