Elicthus     Gnu-ERP     Télé-aide     Choisir GNU     Vente ordinateurs     Astuces     Nouvelles
DE SAINT MONT Informatique Accueil Produits Services Philosophie Contact

RÉSISTER AUX ATTAQUES DE SON ERP

La sécurité est la préoccupation numéro un des Français. Cela englobe plutôt la sécurité des données professionnelles, car la prise de conscience sur les données personnelles est très lente. Le vol des données pros est de plus en plus courant et ne se limite plus aux grandes entreprises. À l’heure où nous écrivons cet article (13/12/2018 07:35:24 AM GMT) la France subit 344 403 attaques (https://www.akamai.com/fr/fr/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp) bien devant la Russie ou l’Allemagne. Comment protéger les données de son ERP qui englobe le RH, la compta, les ventes, etc. ? Nous avons posé la question au concepteur sécurité de GnuERP.

Comment expliquez-vous le nombre grandissant des attaques que subissent les serveurs professionnels en France ?
Du point de vue technique, la corrélation est plutôt mondiale : plus vous utilisez Windows et plus vous êtes vulnérable. Plus vous utilisez les Unix (Mac, Linux, Androïde), et plus les attaquants se détournent de vous. Bien entendu plus vous êtes dans les pays économiquement développés et plus vous êtes susceptible d’être attaqué. Plus vous êtes grand et plus vous attirez des attaquants. La France est un grand pays qui attire des convoitises tout en ayant un niveau de sécurité moyen. Bien entendu on a des super-sécurités bancaires et à la fois presque la moitié des PME utilise encore massivement Windows.

Qui doit protéger ses données pros contre les attaques ?
Tous les professionnels, du maçon à l’industriel, car aujourd’hui personne n’est à l’abri. La plupart des attaques se centralisent sur les grandes entreprises où la quantité de données dérobées est plus importante (rappelez-vous 1,3 millions d’utilisateurs d’Orange dépouillés de leurs données). Cependant il est moins coûteux parfois d’attaquer plusieurs PME qu’une seule grande entreprise. Tout est question de temps et d’argent. Il est souvent plus facile de dévaliser une centaine de TPE avec une sécurité quasi inexistante qu’un seul serveur de grande entreprise avec des sécurités accrues.

Quels sont des protections à adapter ?
C’est comme les banques, le risque zéro n’existe pas. Cependant plus vous compliquez la vie des attaquants est plus ils vont se détourner de vous. S’ils doivent avoir autant de difficultés à attaquer une PME avec un petit millier de comptes clients qu’une GE avec un million de compte, ils préféreront s’attaquer aux plus gros. C’est la politique du détournement d’attention.

Concrètement que conseillez-vous aux PME ?
La plupart de données sensibles étant stockées dans vos ERP-CRM, il faut commencer par sécuriser votre ERP. Tout d’abord l’utilisation des systèmes : pas de serveurs Windows (trop vulnérables), mais même parmi les serveurs Linux il y a qui sont plus tournés côté sécurité que les autres. Pour les TPE, éviter la location des serveurs partagés et investissez dans la location des serveurs dédiés pour diminuer le volume des données. Les serveurs doivent être chiffrés. Les bases de données protégées (ce qui n’est pas toujours le cas) et bien entendu l’accès contrôlé. C’est ainsi que nous avons pris en compte tous ces points de sécurité dans la conception de Gnu-ERP : serveur Linux exclusivement, disques chiffrés, accès ssh par clés protégées par la phrase de passe, l’accès aux bases par les mots de passes anonymisés, etc.


Peut-on aller plus loin dans la sécurisation des ERP ?
Bien entendu, nous avons par exemple prévu pour notre Gnu-ERP l’installation sécurité plus qui permet le contrôle des machines qui accèdent et le type d’accès, le changement régulier des mots de passe des utilisateurs, la protection des postes des utilisateurs, etc. Certains autres ERP proposent des sécurités semblables, mais ils demandent souvent la réinstallation complète du serveur, d’où la nécessité de confier la maintenance et la gestion de votre serveur aux intégrateurs agréés.

Et si on n’a pas qu’un progiciel, mais trois ou quatre logiciels pour chaque aspect d’ERP ?
Chaque logiciel est un point de pénétration possible. Plus vous en avez plus difficile est de tout surveiller. L’utilisation des logiciels dans le cloud public est à réserver à l’usage personnel. Installez votre propre cloud sur une serveur dédié. C’est toujours le même principe : il n’y a que vos données, c’est moins attrayant que les serveurs publics avec des millions de comptes. Quand votre ERP est hébergé par la marque, c’est le plus souvent sur un serveur partagé avec d’autres entreprises, donc c’est plus intéressant d’attaquer un tel serveur, car il contient plusieurs comptes. Dans certains cas cela peut être justifié : vous êtes une association, un autoentrepreneur, c’est plus économique. Mais si vous êtes une PME, choisissez un serveur dédié et de préférence tiers, car chacun son métier : aux créateur des logiciels la sécurité des logiciels, aux loueurs des serveurs la sécurité des machines.

Et dans le choix d’un ERP ?
Il faut privilégier des progiciels qui intègrent tous les composants de la gestion de votre entreprise. Voyez s’il propose une installation sécurité plus que vous pourrez choisir. Contrôlez si la maintenance est continue, car certains ERP demandent le reformatage des bases pour passer d’une version à l’autre. Enfin le choix d’un Open Source est la garantie que vous pourrez profiter de toutes les options en continu.

© 2015-2019 DE SAINT MONT. Elicthus est une marque de DE SAINT MONT.
DE SAINT MONT
Produits
Services
Philosophie
 Contact
Elicthus
GnuERP
 Télé-aide
Choisir GNU
Ordinateurs
 SUIVEZ-NOUS
Notre entreprise sur Linked In
Elicthus & GnuERP sur Diaspora
Elicthus sur Mastodon
Nouvelles d'Open Source
 MENTIONS
Mentions légales