webleads-tracker

Editeur et Intégrateur ERP

Votre ERP est-il la porte d’entrée que vous n’avez pas sécurisée ?

L’ERP n’est pas un système comme les autres

 

 

Quand une PME industrielle réfléchit à sa cybersécurité, elle pense généralement à son réseau, à ses postes de travail, à ses sauvegardes. Rarement à son ERP en premier. C’est précisément là que réside le problème.

 

L’ERP concentre en un seul système l’ensemble des données qui font fonctionner l’entreprise : commandes clients, stocks, facturation, paie, ordres de fabrication, traçabilité, données fournisseurs. Compromettez un poste de travail, vous perdez un poste. Compromettez l’ERP, vous perdez potentiellement tout, y compris la capacité à produire.

 

Et pourtant, c’est souvent le système le moins régulièrement audité sur le plan de la sécurité. Parce qu’il tourne bien. Parce qu’il a toujours tourné bien. Parce que personne n’imagine vraiment qu’il puisse être une cible.

 

 

 

Ce que les attaquants cherchent vraiment en 2025

 

 

 

Le Panorama de la cybermenace 2025 de l’ANSSI met en évidence une évolution majeure dans les modes opératoires : les attaquants changent de stratégie. Plutôt que de chiffrer un système et exiger une rançon, ils préfèrent de plus en plus voler les données et les monétiser autrement. En 2025, les incidents liés à des exfiltrations de données ont progressé de 51 % par rapport à l’année précédente, avec 196 cas portés à la connaissance de l’ANSSI.

 

Pour une PME industrielle, cela signifie que la menace ne se limite plus à l’arrêt de production. C’est aussi le vol de fichiers clients, de devis, de plans industriels, de données RH, de coordonnées bancaires fournisseurs. Toutes ces données vivent dans l’ERP.

 

 

 

Les quatre vulnérabilités spécifiques à l’ERP industriel

 

 

1. Les comptes sans authentification multifactorielle

 

C’est le vecteur d’attaque le plus utilisé en 2025. Selon les données de Rapid7 issues du premier trimestre 2025, les comptes valides sans MFA représentent 56 % des vecteurs d’accès initiaux utilisés par les attaquants. Autrement dit, dans plus d’un cas sur deux, l’attaquant n’a pas eu à forcer quoi que ce soit. Il a utilisé des identifiants légitimes, souvent obtenus par phishing ou achetés sur le dark web.

 

 

Dans un ERP, les comptes utilisateurs métier sont rarement soumis à une politique d’authentification renforcée. Un comptable, un acheteur, un responsable logistique : leurs accès à l’ERP ne sont protégés que par un mot de passe. C’est suffisant jusqu’au jour où ça ne l’est plus.

 

 

L’ANSSI dans son Référentiel Cyber France (ReCyF) publié en mars 2026 place le déploiement du MFA en mesure prioritaire absolue. Ce n’est pas un conseil. C’est la première ligne de défense.

 

 

 

2. Les accès prestataires non révoqués

 

 

Le Panorama de la cybermenace 2025 de l’ANSSI confirme une tendance structurelle : le prestataire est devenu un vecteur majeur de compromission. L’Agence décrit des cas où un attaquant a compromis un prestataire informatique et s’en est servi pour se latéraliser vers ses clients, accéder à leurs systèmes, et dans certains cas déployer un rançongiciel qui a paralysé l’accès à l’application fournie pour l’ensemble des clients concernés.

 

Dans une PME industrielle, les prestataires ont souvent accès à l’ERP pour des opérations de maintenance, de paramétrage ou de support. Ces accès sont rarement révoqués à la fin de la mission. Ils restent actifs, parfois pendant des années, sans que personne n’en soit conscient. Ce sont des comptes avec des droits étendus, dont personne ne surveille les connexions.

 

La règle est simple mais rarement appliquée : tout accès prestataire doit être créé avec une date d’expiration, révoqué le jour de fin de mission, et tracé dans le journal d’audit du système.

 

 

 

3. Les interfaces non sécurisées avec les systèmes tiers

 

 

Un ERP industriel en 2026 n’est jamais isolé. Il est connecté au CRM, à la BI, aux plateformes EDI fournisseurs, aux outils de dématérialisation de factures, parfois à des portails clients ou à des systèmes de production. Chacune de ces interfaces est une surface d’attaque potentielle.

 

Les accès inter-systèmes reposent souvent sur des comptes techniques avec des droits larges, des mots de passe définis lors du déploiement initial et jamais modifiés depuis, et des flux non chiffrés ou peu surveillés. Lors des audits de sécurité, ces interfaces sont fréquemment identifiées comme les points d’entrée les plus accessibles du système d’information.

 

Documenter, auditer et encadrer ces connexions est une étape indispensable de la sécurisation de l’ERP. L’ANSSI le rappelle dans ses recommandations sur la gestion des accès et la sécurité des systèmes industriels : les interfaces entre systèmes doivent faire l’objet d’une analyse de risque spécifique et d’une supervision active.

 

 

 

4. Les journaux d’audit non exploités

 

 

La plupart des ERP produisent nativement des données de traçabilité : qui s’est connecté, à quelle heure, depuis quel poste, quelles données ont été consultées ou modifiées, quelles tentatives d’accès ont échoué. C’est une mine d’informations pour détecter un comportement anormal avant qu’il ne devienne un incident.

 

Le problème est que ces journaux ne sont pas exploités. Soit parce qu’ils ne sont pas activés. Soit parce qu’ils sont stockés sans être analysés. Soit parce qu’ils sont écrasés trop rapidement.

 

En cas d’incident, c’est précisément cette traçabilité qui permet de répondre aux exigences de NIS2 : notifier à l’ANSSI dans les 24 heures, fournir un rapport détaillé sous 72 heures, prouver ce qui s’est passé sous un mois. Sans journaux structurés et conservés, cette démonstration est impossible.

 

Le cas IBMi : avantages natifs et angles morts réels

 

 

Les PME industrielles qui opèrent sur IBMi bénéficient d’une architecture qui offre des capacités natives de journalisation et de gestion des droits que peu de systèmes peuvent égaler. La plateforme enregistre nativement les connexions, les accès aux objets, les modifications de données. Ces fonctionnalités sont disponibles dès le départ.

 

Mais elles doivent être activées, configurées et maintenues dans le temps. Les configurations par défaut d’un IBM i déployé il y a dix ou quinze ans ne correspondent plus aux bonnes pratiques actuelles. Les règles de journalisation ont peut-être été définies lors du déploiement initial sans jamais être révisées. Les profils utilisateurs créés pour des prestataires ou des anciens salariés sont peut-être encore actifs.

 

La robustesse de l’IBMi est réelle. Elle n’est pas automatique. Elle requiert une attention régulière, des audits périodiques et une supervision active pour rester effective face aux menaces contemporaines.

 

 

 

Ce que NIS2 exige spécifiquement pour les outils de gestion

 

 

Les dix mesures obligatoires définies à l’article 21 de la directive NIS2 s’appliquent directement aux outils de gestion des PME industrielles concernées. Parmi elles, quatre touchent spécifiquement l’ERP :

 

 

  • La sécurisation des accès : authentification forte, révocation des comptes inactifs, gestion des droits selon le principe du moindre privilège.

 

  • La gestion des incidents : capacité à détecter, qualifier et notifier un incident dans les délais imposés. Ce qui suppose une traçabilité fonctionnelle et exploitable en permanence.

 

  • La sécurité de la chaîne d’approvisionnement : encadrement des accès prestataires, audit des interfaces avec les systèmes tiers, contractualisation des exigences de sécurité.

 

  • La continuité d’activité : sauvegardes testées, plan de reprise documenté, capacité à redémarrer l’activité dans des délais acceptables après un incident.

 

 

Ces quatre axes décrivent très précisément les vulnérabilités les plus fréquentes d’un ERP industriel. NIS2 ne crée pas de nouvelles contraintes arbitraires. Il formalise ce que la sécurité d’un système de gestion devrait être depuis longtemps.

 

 

 

Checklist : dix questions pour évaluer la sécurité de votre ERP

 

 

Ces questions ne nécessitent pas de compétence technique pour y répondre. Elles permettent d’identifier rapidement les priorités d’action.

 

 

  • Les accès à l’ERP sont-ils protégés par une authentification multifactorielle ?

 

  • Savez-vous combien de comptes prestataires sont actuellement actifs dans votre système ?

 

  • Les journaux d’audit de l’ERP sont-ils activés, conservés et analysés régulièrement ?

 

  • Avez-vous cartographié toutes les interfaces entre votre ERP et les systèmes tiers ?

 

  • Les mots de passe des comptes de service ont-ils été modifiés depuis le déploiement initial ?

 

  • Vos sauvegardes sont-elles déconnectées du réseau principal et testées périodiquement ?

 

  • Disposez-vous d’un plan de réponse aux incidents documenté et connu des équipes ?

 

  • Les droits d’accès de vos utilisateurs ont-ils été revus au cours des douze derniers mois ?

 

  • Un ancien salarié ou prestataire pourrait-il encore accéder à votre ERP aujourd’hui ?

 

  • Êtes-vous en mesure de produire un historique complet des accès à vos données en cas de contrôle ?

 

 

Si plusieurs réponses sont négatives ou incertaines, votre ERP présente des vulnérabilités concrètes et actionnables à traiter en priorité.

 

 

Conclusion

 

La cybersécurité de l’ERP n’est pas une question de budget. C’est une question de méthode. Les quatre vulnérabilités décrites dans cet article ne nécessitent pas de solutions complexes ou coûteuses. Elles nécessitent de l’attention, de la rigueur et une révision régulière des pratiques.

 

L’ERP est au cœur de votre activité. Il mérite d’être traité comme tel sur le plan de la sécurité.

 

 

 

Contactez notre équipe 

 

 

Sources officielles :

Je prends contact

Illustration d’un combiné de téléphone blanc avec des ondes, représentant un appel téléphonique. Être rappelé
Icône de documents multiples Plaquettes
ChatGPT a dit : Voici ma proposition pour ton image journal-1.png : Titre : Icône de journal d’actualités Texte alternatif (alt) : Newsletter