aaabbc - Fotolia
ERP : régler les 10 problèmes de cybersécurité les plus courants
Les ERP sont exposés comme jamais aux risques cyber. Voici les défis de sécurité les plus courants auxquels les entreprises sont le plus confrontées avec leur ERP. Et comment les résoudre.
La montée en puissance du travail à distance depuis le début de la pandémie a créé des surfaces d’attaque et des risques jusqu’alors inimaginables. Les ransomwares et autres menaces affectent jusqu’aux organisations les plus résilientes. Ils exposent au passage les ERP comme jamais auparavant.
Pourtant, la plupart de ces problèmes de cybersécurité ne sont pas nouveaux. Ils ont juste connu une explosion. La première étape pour améliorer la sécurité de l’entreprise et de son ERP est donc, d’abord, de reconnaître qu’il y a bien un défi. Et d’admettre aussi qu’il n’est pas honteux d’avoir des lacunes dans ses défenses. Sans cette approche pragmatique empreinte d’humilité, pas de progrès possible.
Pour vous aider dans la sécurisation de votre ERP, voici les défis auxquels les entreprises sont le plus couramment confrontées et les pistes fiables pour les résoudre.
1. Méconnaissance des risques
De nombreuses organisations n’ont pas encore identifié leurs lacunes en matière de sécurité, sans parler de les combler. Le défi de sécurité le plus courant en rapport avec l’ERP est que les responsables IT et ceux chargés de la sécurité « ne savent pas ce qu’ils ne savent pas ».
Les responsables IT doivent donc en premier lieu se former et se renseigner en continu sur les menaces pour en avoir une connaissance approfondie – en particulier celles liées à leur ERP – avant de prendre toute autre mesure.
2. Mises à jour logicielles non appliquées
De trop nombreux postes de travail et serveurs sont exposés faute d’avoir appliqué les mises à jour logicielles nécessaires. Ces omissions concernent aussi bien l’ERP lui-même que les systèmes d’exploitation sous-jacents ou des applications connexes.
L’absence ou le retard de mises à jour peut entraîner des infections par des malwares, des attaques par déni de service ou des accès à distance non authentifiés.
Malgré les désagréments inhérents à l’arrêt ou au ralentissement d’un système critique comme l’ERP, les équipes IT doivent pouvoir mettre à jour les logiciels et appliquer les correctifs et les patchs de sécurité régulièrement.
3. Modalités d’authentification trop faibles
Parce qu’il est un système critique, l’ERP doit bénéficier d’une authentification forte pour s’assurer que seules les bonnes personnes ont accès aux bons outils.
Une authentification défaillante va d’un mot de passe trop simple, au compte utilisateur partagé, en passant par l’absence de mécanisme d’identification à plusieurs facteurs (MFA).
A minima, la connexion à l’ERP doit être au moins aussi forte que celle du domaine interne de l’entreprise. Lorsque le système utilise une identification unique, cette norme n’est généralement pas respectée.
Renforcez les logins si nécessaire pour limiter les problèmes à l’avenir.
4. Vulnérabilités spécifiques aux applications web
Certaines applications web ne sont pas immunisées contre les injections SQL ou contre l’élévation des privilèges. D’autres (voire les mêmes) ont des failles dans les logiques métiers, qui permettent à certains utilisateurs d’accéder et de manipuler des parties du système auxquelles ils ne devraient normalement pas avoir accès ou pouvoir manipuler.
Renseignez-vous et étudiez vos applications web pour tenter de déterminer celles qui sont confrontées à ces problèmes potentiels et permettent ces contournements des règles de sécurité.
5. Des dossiers ERP trop ouverts au réseau
Certains ERP – généralement les plus anciens – imposent que tous les utilisateurs du réseau aient accès aux dossiers de l’ERP. Cette pratique est extrêmement dangereuse – ce qui peut mettre à mal la meilleure des stratégies de défense contre une attaque de ransomwares – et peut conduire à des accès non autorisés.
Si votre ERP actuel impose ces permissions, il est grand temps d’envisager d’en changer
6. Absence de signalement des problèmes
Vos collaborateurs doivent informer immédiatement le service IT ou un service technique lorsque l’ERP rencontre un possible problème de sécurité.
Sensibilisez les employés à l’importance de signaler et de remonter les problèmes afin que l’IT soit au courant avant que le problème potentiel prenne de l’ampleur.
7. Absence de plan de réponse à incidents
La plupart des organisations n’ont pas documenté de plan pour protéger ou restaurer leur ERP lors d’une attaque.
Il faut donc établir un plan de réponse à incidents dès à présent pour éviter de vous retrouver dans une situation désastreuse en cas de crise.
8. Manque de tests de sécurité
Les responsables IT ne peuvent pas résoudre les problèmes de sécurité ERP les plus courants s’ils ne les connaissent pas !
Mettez en place des analyses de vulnérabilité et des tests d’intrusion périodiques et cohérents qui vont au-delà des audits de contrôle informatique.
Ces tests permettront de s’assurer que vos équipes détectent les problèmes potentiels et les corrigent.
9. Des attentes en matière de sécurité pas assez claires pour les employés
De nombreuses organisations ont des politiques de sécurité peu étayées, voire laconiques. Et de nombreux guides internes mentionnent à peine ce que l’on attend des employés – et ce qu’ils sont en droit d’attendre – en matière de technologie. Le travail à distance a encore obscurci ce tableau.
Un comité de sécurité doit collaborer avec le juridique et les RH pour s’assurer que les règles d’utilisation des technologies sont claires et que les employés sont bien formés aux questions de sécurité, pour qu’ils agissent en faveur de la sécurité plutôt que contre elle.
10. Manque de formation continue des équipes techniques
Le personnel technique doit se tenir à jour sur les problèmes de sécurité les plus courants qui touchent leur ERP, car ces problèmes évoluent et changent.
Ils doivent également comprendre les dernières bonnes pratiques en matière de sécurité. Des risques évitables peuvent en effet survenir si une équipe utilise des pratiques obsolètes. La formation continue – ici comme dans beaucoup de domaines de l’IT – reste donc essentielle.
L’auteur
Kevin Beaver, certifié CISSP, est consultant en cybersécurité. Il est l’auteur du best-seller mondial « Hacking For Dummies » (« Le Hacking pour les Nuls »).