Selon SwissVR Monitor (1), 45 % des entreprises suisses de 250 collaborateurs ou plus ont déjà été touchées par au moins une cyberattaque, avec des conséquences variables : interruption de l’exploitation, fuite de données, dysfonctionnement des services…Pourtant, seules 2 % des entreprises suisses sont pleinement préparées aux cybermenaces actuelles, alors même que 66 % d’entre elles pensent qu’une cyberattaque affectera leur activité au cours des 12 à 24 prochains mois (2).
Dans ce contexte, les entreprises qui souhaitent déployer un ERP Cloud ne peuvent faire l’économie d’une analyse approfondie des questions relatives à la cybersécurité : gestion internalisée ou externalisation, pérennité et fiabilité de l’éditeur, localisation de l’hébergement, bonnes pratiques et Plan de Reprise d’Activité (PRA) : on fait le point sur les questions cyber à se poser avant de choisir un ERP Cloud.
1. Faut-il externaliser la gestion de la sécurité informatique ?
La cybersécurité est un besoin critique de l’entreprise, a fortiori quand il s’agit de protéger l’ERP. Confier la gestion de la sécurité informatique à un tiers peut donc sembler contre-intuitif, puisque l’entreprise renonce à un contrôle total sur les politiques et les pratiques de sécurité en interne. Et pour cause, elle doit se fier à son prestataire pour la protection de ses données et le maintien en conditions opérationnelles de son logiciel pour exercer son activité. Cette perte de contrôle est d’autant plus difficile à accepter qu’elle entraîne un risque de dépendance vis-à-vis du prestataire, ce qui interroge sur les conséquences d’une défaillance de ce dernier.
De plus, l’externalisation de la cybersécurité pose question en termes d’intégration des solutions de sécurité entre l’ERP et les autres systèmes qui composent le SI. La compatibilité est primordiale pour garantir la performance du SI dans son ensemble et éviter des surcoûts.
Toutefois, externaliser la cybersécurité peut s’avérer extrêmement judicieux, notamment lorsque l’éditeur d’un ERP Cloud intègre des prestations de MSSP (Managed Security Service Provider) dans ses offres :
- Accéder aux meilleurs experts : dans un contexte de pénurie de compétences IT, recruter des profils spécialisés en cybersécurité est une tâche chronophage et coûteuse. Les fidéliser s’avère également très difficile compte tenu du marché très concurrentiel. Externaliser la cybersécurité de son ERP Cloud permet de contourner ce problème et d’accéder aux meilleurs spécialistes.
- Réduire les coûts : au-delà des salaires élevés qu’il est nécessaire de mettre sur la table pour recruter et fidéliser des spécialistes en cybersécurité, la gestion en interne implique des coûts matériels et logiciels importants. Les prestataires en cybersécurité mutualisent leurs ressources et industrialisent leurs processus, ce qui leur permet de proposer des tarifs attractifs à leurs clients.
- Disposer des solutions les plus avancées : les prestataires en cybersécurité investissent en continu pour proposer à leurs clients les solutions les plus avancées et constamment à jour : systèmes de détection et de réponse étendus (XDR), pare-feu de nouvelle génération (NGFW), solutions de gestion des identités et des accès (IAM), systèmes de gestion des informations et des événements de sécurité (SIEM), etc.
- Bénéficier d’une grande réactivité en cas d’incident : une attaque informatique ne survient pas nécessairement sur les horaires de bureau. Les MSSP disposent de centres d’opération de sécurité (SOC) qui opèrent 24/7 et sont équipés pour réagir immédiatement aux menaces et incidents de sécurité. La réactivité est un facteur clé pour limiter la portée des incidents de sécurité. C’est un élément important à approfondir dans le cadre d’une recherche de logiciel Cloud.
Face à la hausse continue des cybermenaces et à la pénurie de spécialistes en cybersécurité, l’externalisation présente de nombreux avantages et permet aux entreprises de se concentrer sur le cœur d’activité. Le choix d’un éditeur ERP Cloud doit donc intégrer cette composante.
2. Comment s'assurer de la fiabilité d'un éditeur d'ERP Cloud ?
Le choix d’un système ERP Cloud n’est pas seulement technique ; c’est avant tout un partenariat de long terme avec un éditeur. Il est donc primordial de s’assurer de sa fiabilité en analysant plusieurs aspects :
- Stabilité financière et croissance : la solidité d’un éditeur se vérifie dans ses rapports financiers, sa dynamique sur le marché, mais aussi sa capacité à investir dans la R&D pour rester à la pointe de son industrie.
- Réputation dans l’industrie : les témoignages clients, les études de cas et autres retours d’expérience sont essentiels pour réellement connaître la fiabilité d’un éditeur. Ces informations ont encore plus de valeur lorsqu’elles sont émises par une entreprise évoluant dans un contexte similaire au vôtre.
- Capacités techniques et conformité : la fiabilité se traduit par des certifications de sécurité (SOC 2, PCI DSS, ISO/IEC 27001, 27017 et 27018…), des engagements sur la conformité réglementaire (notamment le RGPD), des infrastructures et technologies de pointe, ou encore une gestion proactive des mises à jour et patchs de sécurité, etc.
- Engagements contractuels et SLA : pour que votre ERP Cloud soit parfaitement adapté à vos besoins, vous devez vous assurer des capacités de l’éditeur à personnaliser le système. De plus, les accords de niveau de service (SLA) en matière de cybersécurité et la qualité du support technique sont des facteurs clé pour la réussite du partenariat. Identifier et comparer ces éléments dans les différentes offres est particulièrement critique ! La cyberattaque vécue par Winbiz Cloud démontre qu’un hébergement local en Suisse se doit d’être particulièrement robuste.
3. Mes données seront-elles bien hébergées en Suisse ?
Bien que la nouvelle loi sur la protection des données (nLPD) n’interdise pas aux entreprises d’héberger leurs données à l’étranger, il est plus judicieux de choisir un éditeur d’ERP qui héberge les données en Suisse. En effet, choisir un prestataire qui héberge vos données localement vous assure de la conformité des traitements de données. En cas de litige, la loi suisse s’applique et les tribunaux suisses sont compétents, ce qui simplifie et réduit les coûts de la procédure. En toute hypothèse, si l’éditeur d’ERP Cloud doit réaliser un “transfert temporaire” des données à l’étranger, ce transfert doit être conforme à la nLPD, voire au RGPD.
4. Quelles sont les bonnes pratiques de cybersécurité prises en charge par l’éditeur ?
Choisir un ERP Cloud intégrant des fonctionnalités de cybersécurité consiste à confier à un tiers (en l’occurrence l’éditeur) des missions telles que la maintenance des infrastructures, les mises à jour de sécurité et la gestion des patchs, ou encore les sauvegardes régulières. Mais qu’en est-il des autres bonnes pratiques de cybersécurité ? Celles-ci sont parfois fournies par les éditeurs d’ERP, mais ce n’est pas toujours le cas :
- Gestion et contrôle des accès : chaque utilisateur doit posséder des identifiants uniques pour que les actions effectuées sur le système ERP puissent être tracées. L’authentification multifacteur (MFA) permet de renforcer la sécurité en requérant des utilisateurs qu’ils fournissent deux preuves d’identité pour se connecter. De plus, les droits d’accès doivent être strictement définis en fonction des rôles de chaque utilisateur au sein de l’organisation, en appliquant le principe du moindre privilège (PoLP) : les utilisateurs n’ont accès qu’aux ressources nécessaires à leur mission.
- Chiffrement des données : les éditeurs peuvent offrir des options de chiffrement pour protéger les données de l’ERP. En cas de vol de données, celles-ci seront inutilisables, permettant ainsi de limiter les conséquences pour l’entreprise, ses partenaires et ses clients. Les solutions mises en place doivent couvrir les données au repos (avec le standard AES 256 bits) et en transit.
- Sensibiliser et former les utilisateurs : plus de 50 % des incidents de sécurité sont dus à des erreurs humaines, c’est pourquoi la sécurité d’un ERP Cloud passe par des actions de sensibilisation et de formation des utilisateurs aux risques cyber, par exemple à travers des campagnes de phishing, des ateliers, des jeux ou encore des vidéos explicatives. L’objectif est de responsabiliser les utilisateurs pour qu’ils contribuent à la sécurité de l’ERP, et donc de l’ensemble du SI.
5. Quel plan de reprise après incident adopter pour un ERP Cloud ?
La question n’étant pas de savoir si, mais quand votre entreprise subira une cyberattaque, il est essentiel d’élaborer un plan de reprise après incident (PRA). Votre ERP Cloud étant la colonne vertébrale de votre SI, le PRA doit le prioriser afin de minimiser l’impact de l’incident de sécurité sur les activités de l’entreprise. Voici quelques points essentiels pour élaborer votre PRA :
- État des lieux : 1. identifiez les actifs critiques de votre entreprise (données, processus, etc.) ; 2. analysez les risques spécifiques à votre ERP Cloud et les scénarios d’incidents possibles ; 3. définissez les rôles et responsabilités de chacun en cas d’incident, avec une stratégie spécifique pour chaque scénario.
- Installation informatique : Contrôler la qualité du ou des datacenters qui gèrent votre infrastructure informatique. Il y a-t-il plusieurs sources d’alimentation électrique ? Il y a-t-il une redondance des réseaux de communication ? Les données sont-elles dissociées des applicatifs sur des serveurs distants ? Comment est assurée le monitoring des ressources pour détecter des anomalies et les corriger ? Les bâtiments sont-ils sécurisés ?
- Stratégie de sauvegarde : assurez-vous auprès de votre fournisseur d’ERP Cloud que des sauvegardes complètes sont réalisées régulièrement et que des mécanismes de redondances ont été mis en œuvre.
- Plans et tests réguliers du PRA : développez des procédures détaillées pour la restauration des données et services. Ces procédures doivent être testées régulièrement, notamment dans le cadre de simulations d’incidents. Ces tests doivent être documentés et permettre d’améliorer le plan.
- Communiquer : les équipes IT et les métiers doivent être informés du PRA afin d’adopter les bons gestes en cas d’incident de sécurité. Lorsqu’un incident survient, il faut également tenir les collaborateurs informés, ainsi que les clients et partenaires.
En conclusion, choisir un ERP Cloud sécurisé requiert d’abord de choisir un éditeur en tenant compte de sa fiabilité et de son potentiel à gérer la cybersécurité. La répartition des responsabilités est essentielle et doit être formalisée par des engagements contractuels. En toute hypothèse, il est indispensable de rester proactif sur les questions de cybersécurité en diffusant les bonnes pratiques auprès des collaborateurs, en se préparant à tous les scénarios d’incidents et en s’appuyant sur l’expertise d’un leader de l’ERP Cloud tel que ProConcept.
Sources :