Logiciel ERP et sécurité informatique : quel impact?

b

Le logiciel ERP constituant souvent un nœud central et incontournable du système informatique, ERP et sécurité doivent être des sujets dont il convient de mesurer pleinement l’impact. Les cyberattaques font la une des journaux papiers et numériques. Logique, puisque toutes les études indiquent que les tentatives d’intrusion ou de piratage informatiques se multiplient, en prenant des voies et des apparences multiples.

Faut-il en déduire que les hackers et pirates de toutes espèces sont plus nombreux d’années en années ? Possible, car les générations « digitales natives » ont apporté aussi leur lot de petits « génies » désireux d’en découdre avec leurs homologues malveillants et de démontrer leurs « capacités » (sic).

Mais il faut aussi y voir une conséquence statistique de la digitalisation de l’entreprise et de la société en général. Là où n’existaient autrefois que quelques terminaux ou serveurs sécurisés, tant bien que mal, au sein d’une entreprise, il existe aujourd’hui une multitude de smartphones, portables, tablettes, objets connectés divers. Ils constituent autant de points d’entrée et multiplient les risques potentiels.

ERP et sécurité, d'abord un problème humain

Nous ne le répèterons jamais assez : la principale faille dans un système informatique, vecteur d’intrusions malveillantes, n’est statistiquement pas constituée par l’infrastructure ni par le logiciel, mais plutôt par la négligence humaine.

Ou plutôt, si les hackers parviennent à s’infiltrer dans les systèmes informatiques, et à mettre en danger l’activité voire la survie de certaines entreprises, ils le doivent souvent à de mauvaises pratiques, au non-respect de certaines règles de sécurité, à des comportements non adaptés voire interdits.

Les études estiment que 80% des attaques surviennent suite à une « erreur » ou négligence humaine. Le pentagone estime lui que « …si les mises à jour sont importantes, minimiser l’erreur humaine l’est encore plus. Ce sont ces erreurs commises par les administrateurs réseau et les utilisateurs (incapacité à corriger les vulnérabilités dans les systèmes anciens, mauvaise configuration des paramètres, non-respect des procédures standards) qui ouvrent la porte à l’immense majorité des attaques réussies. » (1)

Si ce conseil est ramené à l’échelle de l’ERP, il faudra donc s’attacher lors de son implantation, et durant toute son activité, à mettre en place des règles simples mais strictes en matière d’ERP et sécurité, et à veiller à leur observation par tous. Cela peut sembler relativement accessible, mais ainsi que nous le signalions en préambule, la difficulté ne provient pas de la solution ERP elle-même, ni de l’infrastructure qui l’héberge (fusse-t-elle dans le Cloud). Le cœur du problème réside dans les multiples portes d’entrée que peuvent constituer les terminaux de consultation, tels que les tablettes, smartphones ou ordinateurs portables.

Et plus encore, par le fait que ce ne sera pas forcément face à de « réelles » attaques impliquant des connaissances étendues en matière de codage. La tendance actuelle en matière de cyber-délinquance voit plutôt le développement des ransomwares, et du phishing.

Il suffit donc qu’un terminal type smartphone soit infecté par un malware pour, par exemple, qu’un pirate soit en capacité de prendre connaissance des codes et de la procédure d’accès à votre ERP, en utilisant la voie quasi « officielle ». Ou encore d’une opération de « phishing » habilement menée pour que l’un de vos collaborateurs internes ou partenaires se laisse prendre, donnant ainsi l’accès à sa machine. Les hackers pourraient alors y trouver là encore les codes, procédures, ou moyens d’accès à vos serveurs : ils n’auront pour cela quasiment pas eu à mettre en œuvre les codes sophistiqués auxquels Hollywood nous a habitués.

ERP et sécurité : Les géants plus vulnérables que les petits ?

Si donc la menace repose avant tout sur l’humain, quelles sont les entreprises les plus vulnérables ? Les TPE et PME ont le désavantage de ne pas forcément avoir les moyens humains d’une politique de sécurisation, mais elles offrent en même temps l’avantage de disposer d’un système plus fermé ou moins étendu, comportant moins de points d’entrée et de consultation.

Les grands comptes mettront sans doute en place des programmes de sensibilisation de vaste envergure, mais devront composer avec des ressources humaines foisonnantes, et de multiples implantations, plus difficiles à contrôler.

Un autre facteur est constitué par la nature même de la solution ERP qui va être utilisée. On pourrait logiquement penser qu’une solution ERP émanant d’un éditeur national, ou sectoriel, sera moins sécurisée faute de moyens plus réduits lors de sa conception. En réalité, tout porte à croire que c’est l’inverse, ERP et sécurité sont des éléments pris en compte dès les premières briques fonctionnelles.

En effet, les éditeurs quels qu’ils soient, s’attachent désormais à sécuriser leur solution. Mais les solutions les plus répandues font face à un problème d’un autre ordre, qui rejoint celui des systèmes d’exploitation tels que Windows ou Android : les failles qui peuvent exister (et tout système est malheureusement susceptible d’en comporter) sont parfois médiatisées voire diffusées par les Hackers au sein de leur communauté. Il devient ainsi plus facile pour ces derniers de s’attaquer à une solution connue, sur des bases déjà mises en œuvre par d’autres. Certains éditeurs de grande envergure en ont déjà fait les frais.

D’une façon générale, l’une des mesures de protection les plus efficaces pour ne pas subir une cyberattaque visant l’ERP de votre entreprise est de bien définir, dès le départ, qui est en charge de la sécurité de cette solution, et dans quelle mesure. La bonne répartition des tâches entre la DSI (si elle existe), les divers responsables informatiques et l’éditeur est essentielle, et contribuera grandement à éviter les problèmes et à les minimiser s’ils surviennent.

(1) voir Facteur humain et cybersécurité : les leçons du Pentagone