ERP en cloud et sécurité

Quels risques à utiliser un logiciel de gestion en ligne ?

C'est décidé, que vais travailler dans un nuage !

Mais quels sont les risques à utiliser un logiciel de gestion en ligne ? 

Votre entreprise se développe et les tableaux Excel et les différentes applications plus ou moins gratuites que vous utilisiez jusque là ont atteint leur limite. C'est décidé, vous allez passer le cap et investir dans une solution de gestion qui permettra de gérer toute votre activité. Ce qu'on appelle chez les grandes entreprises un ERP, sigle anglo-saxon pour Enterprise Resource Planning, que nous appellerons plus simplement logiciel de gestion.

Le mot investir est peut-être un peu fort car de nos jours il existe des solutions complètes à des coûts tout à fait raisonnables, de l'ordre de quelques centaines d'euros par an pour une TPE (Très Petite Entreprise). Disons que vous allez plutôt choisir un outil de gestion, et le choix est plutôt vaste. Pour une TPE, la formule des logiciels  dits en SAAS est très attrayante, et souvent plus simple et abordable que les logiciels dits "propriétaire". Pour en savoir plus sur ces deux alternatives, jetez un oeil à notre article Logiciels de gestion: Acheter ou louer ?  

Mais qui dit SAAS dit stockage de données sur un "cloud" et le cloud, dans l'esprit de plus d'un, ça fait peur. Quoi ?! Moi, laisser mes données à ces grands magnats du digital que je ne connais même pas et qui font du beurre sur mon dos ?? Jamais de la vie ! Zafè an mwen sé tan mwen ! Les créolophones comprendront ;-)

Détendons nous et regardons tout ça d'un peu plus près...

Cet article vous est proposé par
Henri KESSELS, Consultant-formateur
Décembre 2022

Quels risques quand on utilise un logiciel en cloud ?

  1. Perte et récupération de données

Pour une entreprise, le plus important en matière de sécurité des données est d'avoir des garanties quant à la perte et à la récupération des données en cas d'incident majeur. Tout le monde garde en mémoire l'incendie du serveur de OVH de Strasbourg en 2020. Son impact pour les clients a finalement été de courte durée et la vie en ligne a rapidement repris son cours. Car les hébergeurs de données en cloud font plusieurs sauvegardes par jour, et sur plusieurs serveurs répartis dans des lieux (et même des pays) différents. Quand il y a le feu, le fournisseur d'accès redirige la connexion vers un autre serveur et c'est reparti. La formule cloud est donc très sûre. Les protocoles de sécurité sont nombreux, et il vous appartient de respecter quelques bonnes pratiques pour malgré tout limiter les risques d'intrusion.

white clouds and blue sky during daytime

Cloud : en français "nuage", indique un serveur de stockage externe qui permet d'enregistrer des informations hors de son propre ordinateur ou serveur pour les rendre accessibles via une connexion Internet.

Il est primordial de bien lire le contrat qui vous lie avec votre fournisseur de services en ce qui concerne la sécurité. Sur quoi s'engage-t-il en cas d'interruption de service ? Quelle durée maximale d'interruption ? Quel volume maximal de perte de données (lié à la fréquence des sauvegardes) ? Le contrat doit prévoir les cas les plus extrêmes et être clair sur les engagements. Il est le seul moyen pour vous de pouvoir prétendre à un recours en justice en cas de préjudice important. Avant de choisir un ERP, pensez donc à consulter les termes du contrat de sécurité comme ici, à titre d'exemple, celui de l'éditeur d'ERP Odoo.

    2. Contrôle des accès

L'accès à votre base de données est soumis à un protocole d'identification, ou "login". Généralement il s'agit de votre adresse email et un mot de passe. Vous et vos collaborateurs utiliserez donc tout simplement vos identifiants respectifs pour vous connecter à la base de données de votre entreprise en tant qu'utilisateur identifié.

Il convient bien sûr d'être très vigilants sur la confidentialité de ces identifiants, tout comme vous le faites pour le code de votre carte de crédit. La double authentification avec un appareil mobile est fortement recommandée. Elle vous permettra, si un tiers veut se connecter depuis un appareil non reconnu, de recevoir un code sur votre mobile, et du coup de vous alerter si vous n'êtes pas à l'origine de la connexion. Et vous empêchez également l'intrus de se connecter puisqu'il a besoin du code pour le faire. Cette fonctionnalité d'authentification à deux facteurs, dite 2FA, peut consister en un SMS envoyé sur votre mobile, ou en l'installation d'une application d'authentification comme Google Authenticator sur votre mobile qui vous délivrera un code qui change chaque minute. Au lieu d'attendre un SMS qui parfois peut mettre du temps, vous ouvrez l'app sur votre téléphone pour avoir le code. 

Il existe encore d'autres protocoles de connexion ou d'approbation, mais ces deux modes d'authentification sont essentiels. 


Quant à la protection des serveurs du cloud, il sont sécurisés comme un coffre fort. Les fournisseurs d'accès ne peuvent pas se permettre de lésiner sur la sécurité des données et du service, et investissent lourd en hommes et en matériel pour se prémunir du moindre risque. Il y a fort à parier que votre serveur sur le cloud serait même bien mieux sécurisé que votre propre serveur géré par l'informaticien qui vous a peut-être été recommandé par le cousin de la soeur de votre voisin.

Pour ce qui est du contrôle d'accès à vos données par vos collaborateurs, c'est là une question de configuration pour que vous donniez à chacun l'accès à ce dont il a besoin pour faire son travail et pas plus. C'est un travail à faire avec attention avec la personne(s) chargée(s) de la configuration du logiciel. Par exemple, autorisez-vous vos commerciaux à exporter des données (fichier clients par exemple) vers un fichier Excel ? Auront-ils accès uniquement à leurs dossiers ou aussi à ceux des autres commerciaux ? De même, la fermeture des accès d'un collaborateur sur le départ ou qui a quitté l'entreprise doit être suivie avec attention. La gestion des accès internes n'est pas une problématique propre au cloud, mais ne doit cependant pas être négligée.

Pour ce qui est de l'accès par des tiers, seules les personnes autorisées ou connaissant leur identifiant individuel pourront accéder à votre base de données. C'est par exemple le cas des clients de votre boutique en ligne qui peuvent avoir un espace client où ils pourront retrouver leurs commandes, factures etc. Ils auront un accès limité aux documents qui les concernent, à moins que des accès supplémentaires leur soient accordés pour leur permettre de suivre l'avancement d'un projet par exemple.

Le service d'assistance de l'éditeur et l'administrateur de votre base de données sont des tiers qui doivent pouvoir y accéder, pour des raisons évidentes d'intervention technique ou de configuration. Ces personnes sont liées par leur contrat de travail ou de prestation à des obligations de confidentialité et de protection des données. Ce facteur humain peut bien entendu constituer une faille dans le système, qu'il soit en cloud ou auto-hébergé. 

    3. Interruption du service pour défaut de paiement

L'utilisation d'un ERP en SAAS fonctionne sur souscription d'un abonnement au service dont le paiement peut-être sur une base mensuelle, annuelle, voire pluriannuelle - et dégressif dans ce cas. Lorsque vous avez un retard de paiement de votre abonnement, l'éditeur peut suspendre vos accès à votre base de données. C'est bien sûr un moyen de pression dont il dispose et qui vous mettrait en grande difficulté. Ces cas sont plutôt rares, et la discussion avec votre gestionnaire de compte chez l'éditeur permet généralement de trouver un accord pour éviter la suspension. Mais ce risque existe bel et bien.

Le mot de la fin

Le risque zéro n'existe pas, et vous n'êtes jamais complètement à l'abri d'un problème technique ou humain. Les serveurs en cloud sont cependant tout à fait fiables en matière de sécurité pour peu qu'on respecte bien entendu les bonnes pratiques en matière de sécurité. Quel que soit votre choix pour une solution auto-hébergée ou en cloud, comparez bien les engagements contractuels des prestataires. Au final c'est là que se trouvera votre recours en cas de problème, en plus d'une stratégie de prévention des risques cyber que vous avez intérêt à prévoir et dont nous parlons dans notre article Cybersécurité : se préparer au pire.



Logiciels de gestion : acheter ou louer ?
Comprendre la différence entre les logiciels en SAAS et auto-hébergés.