Dernièrement, nous discutions du futur de l’ERP. En imaginant cet avenir, que disait-on ? Simplement qu’il y avait des chances de voir de nombreux services connectés entre eux. Chacun remplissant parfaitement sa mission à la manière d’un vrai professionnel. Ceci étant, quant à l’utilisation d’applications cloud, à quels impacts doit-on s’attendre en matière de sécurité des environnements numériques ?
Il y très très longtemps, au siècle dernier avant même l’invention d’Internet, le cloud computing n’existait pas. Chaque entreprise avait son infrastructure hébergée dans ses locaux et tous les outils étaient installés sur les serveurs. Au début de l’ère l’informatique, la cybersécurité n’était pas le sujet le plus important. Du moins pas dans tous les esprits comme il l’est aujourd’hui. Au fil du temps, des châteaux forts et des fortifications se sont bâtis autour de nos systèmes. Les informaticiens ont réveillé le Vauban numérique qui sommeillait en eux pour inventer des systèmes de protection qui ne manquaient pourtant pas de génie.
Châteaux faibles
Ainsi les DMZ ont elles vu le jour. Ce sont les fameuses zones démilitarisées correspondant à des passages obligés pour accéder aux outils informatiques de l’entreprise. C’est dans ces zones qui ressemblent à des checkpoints que se font les contrôles pour empêcher les virus de passer. De même, les Honeypots ou pot de miel apparaissent aussi comme des techniques de défense active pour leurrer les hackers, les identifier et éventuellement les éliminer. Également, aux côtés des firewalls, cryptage et autres identifiants à un, deux ou trois facteurs sont venus prêter main forte. En parallèle, des plans de reprise de l’activité (PRA) avec des copies des infrastructures sur d’autres sites ont été aussi mises en place. Pour autant, force est de le constater, les hackers réussissent à passer. Aucun mur ne semble pouvoir les arrêter. Il arrive même qu’ils soient invités à briser les défenses et là, pas de quartier. Plus personne ne peut s’échapper face à un attaquant sans pitié sur son terrain de jeu de massacre favori. Pour mémoire, en 2019, 67% des entreprises françaises ont subi des attaques. Désormais cibles prioritaires : les ETI entre 50 et 249 salariés. En d’autres mots, les entreprises qui ont le moins les moyens de gérer la sécurité sur des serveurs internes.
Sécurité sans nuage
Mais est-ce que le cloud change la donne ? Heureusement. Pour toutes les entreprises utilisant une multitude de services cloud connectés, le hacker ne peut plus accéder au château fort. Tout simplement parce qu’il n’y a plus de château ! La situation a changé et le paysage aussi. Désormais, il faut s’imaginer à la campagne, avec des petites maisons éparpillées, discrètes, bien plus difficiles à cibler. Concrètement, sur les vingt outils informatiques qu’utilise l’entreprise, le hacker va peut-être accéder à un outil et le casser. Mais dix-neuf restent actifs ! Aussi, quand un ERP Microsoft Dynamics 365 For Operations and Finance en mode cloud est déployé, ce sont des équipes sécurités complètes et dédiées qui passent leur temps à mettre en place des solutions complexes. Certes Microsoft devient une cible de choix. Mais là où une entreprise n’était qu’un petit poisson, les hackers gagnent surement plus à remplir une bourriche pleine de petits que d’un seul gros …
Défense à 540°
De son côté, FiveForty n’a aucun serveur interne et utilise pour son SI au bas mot 15 outils informatiques cloud complètement interdépendants. Interdépendants mais connectés. Bien entendu, chaque individu comme chaque organisation doivent mettre en place des règles et s’y tenir. Car avoir le même mot de passe à faible protection ou même écrit sur un Post It collé à l’écran sera toujours un risque. Trop important par ses conséquences pour être pris à la légère. Pour FiveForty, la sécurité est aussi au cœur de son métier. L’ERP Microsoft Dynamics 365 For Operations and Finance est en la preuve. En plus d’une connexion par mot de passe, qu’un hacker peut obtenir il est possible de paramétrer un second niveau de sécurité pour la mise à jour de certaines données sensibles. Par exemple pour la validation d’ordre de fabrication ou de comptes bancaires fournisseurs. Si le hacker a réussi à passer le premier barrage du seul mot de passe, il sera bloqué pour l’ordre de production ou le détournement du règlement du fournisseur sur son propre compte. Dans D365FO, cette fonctionnalité se nomme Electronic Signature. Et la cybersécurité, c’est aussi une signature de FiveForty !
Jonathan Lascaux, fondateur de FiveForty°
2 comments