Les cybercriminels savent que l’ERP est au cœur des affaires. La sécurité des informations de l’entreprise dépend de la qualité de la protection de l’accès aux dispositifs les plus faibles qui composent le réseau.
De nombreuses entreprises et organisations utilisent des logiciels spécifiques pour gérer leurs processus d’affaires. Ces outils sont connus sous le nom de progiciel de gestion intégré ou plus communément sous l’acronyme ERP. Ce type d’applications permet de gérer un grand nombre de processus critiques pour les organisations telles que : la gestion avec les fournisseurs, le cycle de vie d’un projet ou les opérations réalisées par la Direction des Ressources Humaines ou la Direction Financière, car ce logiciel peut être utilisé à de multiples fins. Les cybercriminels le savent et c’est pourquoi ils ciblent ces outils. La sécurité des informations d’entreprise est essentielle pour qu’elles ne bloquent pas l’accès aux données de l’ERP.
Correctifs de sécurité, mises à jour et mauvaises configurations
Plusieurs facteurs expliquent pourquoi les ERP ne sont généralement pas mis à jour vers la dernière version, ce qui compromet la sécurité de l’information. La complexité de l’outil lui-même, le nombre d’instances à mettre à jour, la crainte d’une erreur dans la mise à jour et que le service cesse de fonctionner ou simplement, par manque de culture de sécurité et la conviction que si quelque chose fonctionne bien, il vaut mieux le laisser tel quel, sont les principales raisons.
Selon des rapports publiés, la sécurité de l’information est une préoccupation pour de nombreuses entreprises. Depuis 2010, le nombre de vulnérabilités découvertes dans les deux ERP les plus utilisés dans le monde n’a cessé d’augmenter. Ceci, ajouté au fait que le nombre d’exploits ou de codes malveillants publics a augmenté, en fait une cible « très juteuse » pour les cybercriminels.
Les recherches menées par Digital Shadows et Onapsis révèlent que les applications critiques gérées par les plus grandes entreprises du monde sont attaquées.
Le rapport fait état d’une augmentation des cyberattaques contre des applications ERP largement répandues telles que SAP et Oracle, qui présentent actuellement un total combiné de 9 000 vulnérabilités connues en matière de sécurité ERP, et souligne également une augmentation des attaques contre ces systèmes par des cybercriminels.
Les attaques contre les applications ERP comprennent l’affaiblissement et le déni de service distribué (DDoS) visant à perturber les opérations commerciales : une convergence des menaces, selon le rapport, qui met des milliers d’organisations et leurs joyaux de la couronne directement en danger d’espionnage, sabotage et fraude financière.
Des kits de logiciels malveillants connus sous le nom de Dridex sont en cours de développement pour voler les informations d’identification des utilisateurs et les données des applications ERP derrière le pare-feu. Des tiers et des employés exposent des informations qui peuvent être d’une grande valeur pour des acteurs sophistiqués, prévient le rapport.
Un autre problème courant qui compromet la sécurité de l’information est de permettre l’accès à l’application à partir d’Internet sans les tentatives nécessaires. Ce n’est pas une mauvaise pratique en soi, mais si l’on considère que de nombreux outils ne disposent pas des dernières mises à jour ou qui permettent une connexion sécurisée via VPN, ils constituent une menace pour les organisations.
Cibler les cybercriminels
Les cybercriminels ont profité et continuent de profiter des vulnérabilités, de l’absence de configuration de l’ERP et de l’absence de sécurité de l’information à des fins diverses.
Vol d’informations confidentielles. De nombreuses organisations utilisent ce type de logiciel pour gérer leurs projets et héberger des informations confidentielles. En cas d’accès non autorisé, la faible sécurité des informations permettrait aux cybercriminels d’avoir accès à ces informations, de les vendre à des concurrents ou de les utiliser à des fins d’extorsion.
Vol de données bancaires. Les numéros de compte ou de carte sont stockés et gérés par l’ERP, de sorte que leur vol peut entraîner des pertes économiques pour l’entreprise ou ses clients, augmentant les dommages causés par le manque de sécurité des informations.
Vol de données personnelles. Il est courant que le département RH d’une organisation stocke dans ce type d’applications des données personnelles telles que les noms et prénoms, coordonnées ou adresses, etc. Tout est stocké et géré à partir des ERP, de sorte que le manque de sécurité de l’information donnera un accès frauduleux qui peut permettre sa filtration avec pour conséquence une perte de réputation et même des implications légales selon les réglementations de protection des données de chaque pays.
Déni de service. Les pratiques qui affectent les services offerts par les entreprises, ce qui peut avoir un impact énorme sur la réputation si elles ne sont pas bien gérées.
Cryptocurrency mining. Les cybercriminels peuvent profiter de la puissance de calcul des ordinateurs qui hébergent ce type de logiciels pour les utiliser à leur avantage en minant des devises cryptographiques. En plus d’augmenter la consommation d’énergie et de causer la détérioration de l’appareil peut rendre le système plus lent, voire le rendre inopérant.
Infections dues à des logiciels malveillants. Infecter les périphériques avec des chevaux de Troie, des enregistreurs de frappe ou même des logiciels de rançon est une autre pratique répandue qui peut mettre en danger la continuité d’une organisation en ne prenant pas les précautions liées à la sécurité des informations.
Meilleures pratiques et mesures de protection
- Afin d’éviter que l’ERP ne soit victime de cybercriminels, l’un des principaux points à suivre est de mettre en place une politique de mise à jour permettant de mettre à jour le logiciel autant de fois que nécessaire pour appliquer les correctifs de sécurité lancés par le développeur avec des garanties de performance, car l’une des principales raisons pour lesquelles les mises à jour ne sont pas appliquées est qu’elles ont un impact négatif sans prendre en compte la sécurité informatique. Comme pour tout système ou service en production, vous devez disposer d’un environnement de développement et/ou de pré-production pour effectuer les mises à jour et vérifier si elles affectent le fonctionnement normal de l’application, en évitant les comportements qui peuvent nuire à la fonctionnalité de l’ERP dans l’environnement de production et en renforçant la sécurité des informations.
- Un autre point important à considérer dans ce type d’outils est de savoir s’il faut permettre l’accès à partir d’Internet. Dans la mesure du possible, leur accès sera limité, sauf si cela est essentiel au fonctionnement de l’entreprise. Dans le cas où des connexions doivent être établies à partir de réseaux externes, elles doivent toujours l’être par l’intermédiaire d’un VPN qui atténuera les fuites d’informations et les accès non autorisés possibles.
- Évitez d’utiliser des mots de passe par défaut ou faibles, car des mesures de sécurité complexes sont souvent mises en œuvre, mais l’utilisation de mots de passe non sécurisés réduit considérablement le niveau de sécurité.
- Vérifiez les privilèges des utilisateurs et n’accordez que ceux qui sont nécessaires à l’exécution du travail.
- Surveiller et enregistrer l’ERP afin qu’en cas d’activité anormale ou d’incident de sécurité, la cause puisse être identifiée dès que possible.
Un ERP est une excellente alternative avec laquelle nous augmentons considérablement l’efficacité de la gestion d’une entreprise, mais nous pouvons aussi la mettre en danger si les mesures de sécurité nécessaires ne sont pas appliquées.