ERP SaaS et sécurité : peut-on vraiment avoir confiance ?

En 2018, l’ERP SaaS a atteint son point culminant. D’après le rapport 2018 sur l’ERP du cabinet américain Panorama Consulting Solutions, l’adoption du SaaS au sein des entreprises a grimpé à 64 %, contre 27 % l’année dernière ! Cet essor fulgurant montre que les entreprises sont de plus en plus prêtes à faire confiance aux solutions SaaS, malgré la méfiance dont la plupart faisaient preuve il y a encore un an.

Principal facteur de ce changement d’attitude : la sécurité des données. Jusqu’à présent, la sécurité était l’un des principaux freins à l’adoption d’un logiciel ERP en ligne. Aujourd’hui, la perception des entreprises sur ce point a complètement changé, et on vous explique pourquoi.  

La sécurité : ultime frein à l’adoption du SaaS

Si les entreprises ont été longues à adopter le mode SaaS pour la gestion de leurs données, c’est d’abord pour des raisons de sécurité. La même étude de PCS sur l’ERP en 2017avait montré que parmi les entreprises encore réticentes à adopter l’ERP dans le Cloud, 72 % redoutaient une perte de données et 12 % une violation de la sécurité de leurs données. Des craintes légitimes compte tenu de l’environnement actuel : la récente découverte de la faille de sécurité Google + est un exemple qui peut en refroidir plus d’un à passer au full web.

Nous sommes en octobre 2018, Google annonce timidement avoir découvert en mars une faille de sécurité inscrite dans le code de développement de Google+, son réseau social créé en 2011 ! La faille aurait touché près de 500 000 comptes Google+ en deux semaines, exposant leurs données personnelles aux applications utilisant l’API Google+. Le fait que Google ait attendu d’avoir corrigé la faille pour communiquer dessus, mais aussi le fait que la faille était restée en ligne pendant 3 ans sans que le géant du web s’en rende compte, ont créé un scandale à l’échelle mondiale.

Fait marquant : de nombreuses études ont souligné que les entreprises sont plus longues à adopter des solutions de gestion en ligne de type logiciels ERP ou logiciels de comptabilité, que des logiciels de productivité ou de veille en SaaS. Preuve directe de cette méfiance à l’égard des solution ERP en SaaS qui administrent des données sensibles et notamment des données financières. Les entreprises ont longtemps été très réticentes à s’exposer aux risques de fuites pour ce type de données. Opter pour un ERP en mode SaaS implique de céder le “contrôle” de ses données à un fournisseur. Les solutions ERP brassent un grand nombre de données dites “sensibles”, au sens RGPD du terme : informations d’identification personnelle, données de facturation, données fournisseurs, données clients etc. Sortir ces informations du champ de contrôle de l’entreprise pour les stocker sur le nuage provoque nécessairement des réticences.

Autre crainte non négligeable des utilisateurs d’ERP : l’architecture multi-tenant, souvent utilisée par les éditeurs de logiciels de gestion SaaS, multiplie les possibilités de cyberattaques du fait de la proximité des données des différentes entreprises utilisatrices.

 

La sécurité est devenue la priorité n°1 des éditeurs

Mais alors, comment expliquer une telle hausse dans l’adoption des solutions ERP en SaaS ? Cette rupture vient du changement de perception des entreprises sur ce point clé qu’est la sécurité des données.

Pour commencer, un grand nombre d’entreprises n’ont pas les ressources humaines, matérielles et financières nécessaires à l’implémentation des mesures de sécurité nécessaires. Pour se protéger efficacement des cyberattaques, il existe un grand nombre de procédés : VPN, sonde de sécurité, double authentification, cryptographie, filtrage antispam, et même cyber-assurance. Or chaque outil a un coût, humain et financier, qui dépasse largement ce qu’une entreprise lambda peut raisonnablement investir. Par exemple, installer une sonde de sécurité peut rapidement atteindre les 100 000 euros ! Le fait que l’éditeur d’ERP SaaS prenne totalement en charge les coûts de cyber-sécurité est donc une aubaine pour un grand nombre d’entreprises.

La sécurité est devenu la priorité n°1 des éditeurs d’ERP en SaaS et conséquence directe, le marché de la sécurité bat son plein : +8% de croissance pour la cybersécurité en 2018 selon Gartner. Les éditeurs sont bien conscients des risques que présente le stockage des données dans le Cloud et ne lésinent pas sur les investissements. Flexibles et évolutifs, les ERP en SaaS en particulier peuvent intégrer rapidement toutes les dernières technologies en matière de protection des données : protocole de cryptage SSL par exemple ou encore système de blocage et de détection d’attaque PSAD. Compte tenu de ces efforts, les solutions ERP distribuées en ligne sont donc aujourd’hui faiblement exposés à certains types de menaces (logiciels malveillants et réseaux de robots, par exemple), contrairement aux ERP « installés ».

 

Les mesures de sécurité minimales à attendre d’un ERP en SaaS

Les ERP en SaaS déploient un grand nombre de mesures pour assurer la sécurité des utilisateurs. Voici une liste des procédures élémentaires qui doivent être en place :

• Un protocole d’authentification des utilisateurs encodé et sécurisé : de nombreux éditeurs s’appuient par exemple sur le protocole LDAP (Lightweight Directory Access Protocol), qui va accéder à des bases d’informations sur les utilisateurs du réseau en s’appuyant sur un système d’annuaires ;
• Une sécurisation des sauvegardes : Par exemple, le service de sauvegarde pour applications SaaS Spanning assure la sauvegarde illimitée des données de Google Apps et de Salesforce, pour respectivement 40$ et 48$ par an et par utilisateur ;
• Un protocole de sécurité pour protéger les données clients en transit au moment de la connexion au service, comme Secure Socket Layer (SSL) et Secure Shell (SSH) ;
• Un firewall ou “pare-feu”, qui va filtrer les échanges de données entre l’ordinateur de l’utilisateur et Internet, définissant ainsi quels sont les types de communications autorisés sur le réseau. Le firewall le plus répandu à ce jour reste IPTABLES ;
• Des outils de détection et de blocage des cyberattaques, qui vont scanner sans arrêt en temps réel les menaces, intrusions et comportements suspects. L’outil Failban, par exemple, va bannir les adresses IP au bout d’un certain nombre de requêtes en échec. Le NIDS (Network Intrusion Detection System) Snort, disponible en open source, est également très utilisé par les utilisateurs de Windows ou Linux pour détecter les tentatives d’intrusion et réagir rapidement.

De leur côté, les utilisateurs sont encouragés à utiliser un mot de passe unique, à niveau de sécurité élevé (plus de 12 caractères, incluant des chiffres et caractères spéciaux), et à le modifier régulièrement.

 

Quels sont les véritables risques de sécurité d’un ERP en mode SaaS ?

Face à toutes ces mesures déployées par les éditeurs de logiciels ERP en ligne, on peut se demander si le risque d’une faille de sécurité subsiste ? Malheureusement, il existe toujours des risques, même si les mesures de sécurité sont solides.

Le point le plus délicat est l’authentification. Quelle que soient les mesures mis en place, le risque d’accès tiers indésirable demeure toujours, et même si la plupart des solutions ERP SaaS sont capables de bloquer les tentatives de connexions suspectes, une petite fraction réussit à passer entre les mailles du filet. L’intrusion peut également provenir d’ailleurs : les logiciels ERP en SaaS permettent d’interfacer la solution avec de nombreuses applications tierces grâce aux APIs, et il suffit d’une faille dans le système de sécurité de ces applications pour avoir des répercussions sur le logiciel SaaS. Revenons à notre exemple du début : c’est via l’API de Google+ que les données de plus de 500 000 comptes Google+ ont pu être exposés à des applications tierces !

Un mauvais mot de passe constitue également un risque pour la sécurité des entreprises. Si l’utilisateur se sert d’un mot de passe déjà utilisé pour accéder à son compte sur l’ERP, et que ses identifiants de connexion sont récupérés par un autre moyen, alors les données contenues dans l’ERP sont exposées.

 

Comment savoir si un ERP en mode SaaS est bien sécurisé ?

Rappelons d’abord que dans le cadre d’un service SaaS, c’est bien le fournisseur du service qui est responsable de la sécurité du logiciel : en général, c’est le prestataire responsable de l’hébergement qui offre une grande partie des mesures de protection nécessaires en même temps que l’hébergement.

Dans tous les cas, il est indispensable de poser les bonnes questions à l’éditeur du progiciel lors de la phase de sélection et d’étude des outils ERP en ligne.

Les premières questions à poser concerne son utilisation de vos données : Combien de temps vos données seront-elles conservées ? L’éditeur prévoit-il des sauvegardes de données sécurisées ?

En Europe, tout fournisseur SaaS doit se conformer au RGPD, entré en vigueur le 25 mai 2018, et doit donc garantir la protection des données personnelles de chaque utilisateur grâce notamment au cryptage des données. Les fournisseurs SaaS doivent également respecter les droits des utilisateurs : droit à l’oubli, droit à la portabilité des données, droit de modification et droit de revenir sur son consentement. Ainsi, un ERP SaaS sécurisé doit vous permettre d’exercer vos droits fondamentaux sur vos données tels qu’exposés dans le Règlement général sur la protection des données (RGPD):  vous devez avoir le droit de demander un export de vos données à tout moment et dans un format lisible, ainsi que de demander leur suppression définitive.

D’un autre côté, l’entreprise cliente a également un rôle à jouer dans la sécurité des données traitées par sa solution ERP. Elle doit notamment lire attentivement l’accord de service SaaS et la politique de protection des données proposés pour s’assurer que les mesures de sécurité offertes par l’éditeur d’ERP couvrent son besoin. Elle doit également contrôler les niveaux d’accès de chaque utilisateur aux données sensibles (facturation, données personnelles des collaborateurs, contacts clients et fournisseurs, etc.). Le modèle de distribution en SaaS repose finalement sur une responsabilité partagée entre le fournisseur et l’utilisateur concernant la protection des données personnelles.

Il est indispensable également de se renseigner sur ce qui est prévu en cas de panne, de sinistre, ou autre problème : quelles sont les conditions de notification des utilisateurs ? Quel est le délai de traitement des problèmes techniques ? Quelles sont les interruptions réseau maximales par mois ? Ces informations sont la plupart du temps comprises dans l’accord de SLA (Service-Level Agreement). En outre, les éditeurs d’ERP SaaS s’engagent en général sur un certain taux de disponibilité de service : plus il est proche de 100 %, moins le système sera susceptible de tomber en panne !

 

Les éditeurs d’ERP en mode SaaS sont conscients des risques possibles du Cloud Computing et en ont fait leur priorité n°1. Si bien qu’en 2019, préparez-vous à entendre les éditeurs vous rassurer : “vos données sont bien plus sécurisées dans le Cloud que sur votre propre serveur” !