Warakorn - stock.adobe.com
Sécurité : pourquoi placer son ERP en tête de ses priorités
Que votre ERP soit sur site ou en Cloud, il peut être vulnérable à toutes sortes d’attaques. Compte tenu de la valeur des données qu’il recèle, il est nécessaire de prendre les mesures appropriées pour le sécuriser.
Votre ERP renferme d’importantes quantités de données de grande valeur. Des pirates pourraient d’ailleurs bien être déjà en pleine préparation d’une cyberattaque le visant. C’est pour cela que vos équipes de sécurité et d’investigation numérique doivent comprendre les difficultés associées à la sécurisation d’un ERP et les pratiques de référence en la matière.
Un ERP est susceptible de contenir à la fois de la propriété intellectuelle de l'entreprise et des informations personnelles identifiables des employés et des clients. Autant de données dont il est essentiel de préserver la sécurité. Mais ce n'est pas facile.
L'environnement ERP typique est une cible facile. Il comprend de multiples composants, dont certains personnalisés qui peuvent rendre délicate l’application de correctifs. Et c’est sans compter avec les éventuels défauts de configuration.
Les problèmes de sécurité classiques des ERP
Les hôtes et les logiciels associés à votre système ERP sont vulnérables aux exploits de sécurité courants, ce qui peut créer de sérieux problèmes si vous ne les traitez pas. Que votre système soit sur site ou en Cloud, vous devez vérifier les problèmes de sécurité ERP courants. Voici les six principaux :
- les correctifs logiciels manquants au niveau du système d'exploitation, des applications et des bases de données, qui peuvent faciliter la prise de contrôle à distance, les infections par des logiciels malveillants ou les attaques en déni de service ;
- les failles dans le mécanisme d'authentification du système ;
- la possibilité d’injection SQL causée par un manque de filtrage des entrées ;
- une mauvaise gestion des utilisateurs ou des vulnérabilités permettant une élévation de privilèges qui entraînent des failles dans le contrôle d'accès ;
- des faiblesses dans la sauvegarde des données qui laissent les systèmes vulnérables aux infections par ransomware ; et
- une mauvaise visibilité sur le réseau qui limite la gestion et la réponse aux incidents de sécurité.
La taille de l'entreprise ou le secteur d'activité n'a pas d'importance – ces vulnérabilités touchent toutes les entreprises.
La sécurité des ERP est souvent négligée
Les équipes d'audit interne ou externe régissent généralement les systèmes ERP. La surveillance de la sécurité s'arrête souvent là, mais ce n'est pas suffisant pour garantir à l’ERP un niveau de sécurité raisonnable. Comme pour toute approche de type audit de contrôle de la gestion des risques liés à l'information, la sécurité des ERP fait souvent défaut en termes de vulnérabilités techniques et de tests d’intrusion.
Cette négligence peut conduire à ces incidents que les mesures de sécurité de base tentent de prévenir. Il est également fréquent que les systèmes ERP ne soient pas spécifiquement inclus dans les plans généraux de réponse aux incidents et de continuité des activités de l'organisation.
Les dirigeants de votre entreprise doivent comprendre que la sécurité des ERP est une priorité essentielle, et non une simple fonction informatique. Ils doivent créer des indicateurs et prendre des décisions au sein d'un groupe transverse comprenant les départements informatique, sécurité, production, finances et juridique.
La nécessité de tester la sécurité des ERP
Vos équipes IT et infosec ont des obligations courantes. Dans le cadre des pratiques de référence pour la sécurité des ERP, il convient d’examiner minutieusement la journalisation et les alertes, l'authentification et la prévention des pertes de données, sans oublier le cas échéant la passerelle d’accès Cloud sécurisé (CASB). La même règle s'applique aux tests de sécurité continus.
Au minimum, les membres désignés des équipes informatiques ou de cybersécurité doivent effectuer des analyses de vulnérabilité spécifiques à l'aide de scanners de vulnérabilité réseau, tels que Qualys et Nessus, et de scanners de vulnérabilité web, tels qu’Acunetix et Invicti. Des outils de test dédiés aux ERP, tels que ERPScan, peuvent s'avérer utiles.
Ces analyses doivent également s'assurer que les tests d’intrusion et des analyses manuelles accompagnent les analyses automatisées. Il est également possible d’envisager des analyses de la vulnérabilité des bases de données à l'aide d'outils tels que Scuba, des analyses du code source à l'aide d'outils tels que Veracode, et même des analyses de l'architecture du réseau et de la configuration du pare-feu pour s'assurer que seules les personnes en ayant un besoin professionnel peuvent accéder à l'environnement.
Vos équipes de sécurité informatique doivent effectuer des tests de sécurité sur l’environnement ERP de manière régulière et consistante – au moins une fois par an. Elles ne seront peut-être pas en mesure de superviser et de tester le système ERP à ces niveaux si elles utilisent un système tiers basé sur le cloud. Dans ce cas, l'équipe doit examiner périodiquement le rapport d'audit du centre des opérations de sécurité et demander à voir une copie du rapport le plus récent sur les tests de vulnérabilité et d’intrusion. Pour ce dernier, un résumé peut être tout ce que vous pouvez obtenir, ce qui est généralement suffisant.
Faire preuve de bon sens et exercer une surveillance constante sont deux pratiques essentielles – et souvent négligées – en matière de sécurité des ERP. La dernière chose dont vous avez besoin est que les joyaux de votre entreprise soient exposés à cause d'une faiblesse évitable. Quelles que soient les décisions que vous prenez (ou ne prenez pas), réfléchissez bien et assurez-vous que tous vos choix sont défendables.