ERP Cloud et règlement DORA : conformité, sécurité et sérénité pour les entreprises

Les entreprises hésitant entre ERP on-premise et solutions cloud doivent désormais intégrer un facteur clé : la résilience face aux cyberattaques et le poids des conformités. Tandis que l’IA amplifie l’ingéniosité des menaces et que les attaques ciblant les systèmes ERP se multiplient, le règlement DORA impose de nouvelles normes de cybersécurité aux fournisseurs TIC. Une évolution qui redéfinit les standards et renforce l’attrait des ERP Cloud pour une gestion sécurisée des infrastructures critiques.

Par Guido Herres, vice-président, Solution Consulting, Infor.

Le marché des logiciels SaaS devrait connaître une croissance proche d’un cinquième pour atteindre pratiquement 11 milliards de dollars (10,6 milliards d’euros) en valeur d’ici à la fin de l’année. Mais pour de nombreuses entreprises attirées par le supplément de flexibilité, d’évolutivité et d’agilité qu’offrent les logiciels de cloud, la sécurité demeure une préoccupation majeure et constitue un frein persistant à leur adoption.

En réalité, les entreprises pourraient être davantage exposées en voulant conserver sur site des systèmes importants pour leurs activités, tels que les ERP on-premise, autrement dit, hébergés en interne. Avec l’apparition de nouvelles menaces et des budgets sécurité en berne, ainsi que les compétences qui devraient y être associées, les fournisseurs de solutions dans le cloud offrent pourtant un havre de sécurité pour les systèmes ERP. Grâce aux nouvelles dispositions DORA (Règlement sur la résilience opérationnelle numérique) instaurées en Europe, les fournisseurs de solutions SaaS qui œuvrent auprès des services financiers doivent se conformer à un nouveau panel d’exigences rigoureuses en matière de sécurité.

Quand l’IA facilite l’émergence des menaces

À l’instar de leurs homologues dans le monde, les responsables de la sécurité des systèmes d’information (RSSI) en France se trouvent de plus en plus souvent confrontés à des adversaires numériques opiniâtres et déterminés. Selon le CESIN, (Club des experts de la sécurité de l’information et du Numérique), près de la moitié (47 %) des entreprises françaises ont subi au moins une cyber attaque sérieuse au cours de l’année 2024. Les ransomwares et les vols de données restent en tête de liste, et 37 % des entreprises considèrent que le cyber espionnage constitue un risque majeur. 

Les systèmes ERP sont donc clairement dans la ligne de mire. Même s’ils ne sont pas directement ciblés pour accéder de prime abord aux données, les applications peuvent être pillées afin de s’approprier des données sensibles pour le métier, qui sont ensuite détenues et utilisées comme monnaie d’échange par les racketteurs en ligne. Une étude récente indique que les systèmes ERP ont été impactés par 89 % des demandes de rançon au cours de l’année écoulée.

Mauvaise nouvelle pour les entreprises : grâce à l’IA et à l’innovation constante dans l’éventail des menaces, ces attaques risquent plus que jamais de s’avérer payantes. Un rapport récent  montre que l’IA générative (GenAI) aide les cyber-attaquants à exploiter plus efficacement la vulnérabilité des sites et à accroître leurs chances de succès avec l’ingénierie sociale et le choix des cibles. Ces prédateurs passent en effet de plus en plus rapidement de la séquence initiale d’accès aux données à celle des « lateral movement » – 48 minutes, en moyenne. 

Pourquoi la sécurité on-premise est faillible

Dans ce contexte, certains peuvent considérer que garder les systèmes ERP on-premise (sur site) reste la meilleure option. L’étude du CESIN souligne également des inquiétudes persistantes chez les professionnels de la sécurité IT à propos de l’opacité des supply chains chez les fournisseurs de solutions basées dans le cloud, de la difficulté à tester leurs infrastructures et à contrôler l’accès administrateur. Pour autant, les exigences très strictes que le règlement DORA impose désormais aux fournisseurs TIC devraient réduire ces inquiétudes. Et l’alternative pourrait être bien pire.

De nombreuses entreprises n’ont ni le temps ni les ressources nécessaires à consacrer à la cyber sécurité. Selon une estimation récente il manquait l’année dernière en France plus de 69 000 professionnels de la cyber sécurité, avec une hausse annuelle de 17 %. Dans le même temps, alors que les acteurs malveillants continuent d’innover et d’accroître leur capacité de nuisance, les défenseurs des réseaux s’efforcent de gérer les risques cyber au sein d’un périmètre d’attaque de plus en plus large.

Les raisons du succès des ERP Cloud

Après avoir subi une attaque sérieuse, il peut être tentant pour l’entreprise de restaurer les systèmes dans la même configuration sur site que celle qui existait précédemment. Peu d’entreprises estiment que la migration dans le cloud peut être une alternative pérenne nettement plus sûre. Comme l’a montré la firme allemande DBK, une solution ERP Cloud peut être mise en œuvre et totalement opérationnelle en l’espace de trois mois après une sérieuse attaque.

Plusieurs raisons expliquent pourquoi l’option SaaS peut être une alternative plus sûre aux ERP on-premise. Le client externalise en effet la gestion de ses infrastructures IT, avec le développement et l’hébergement de ses applications, à une tierce partie experte dans ce domaine, gage d’efficacité. Il est bien sûr dans l’intérêt du fournisseur de veiller à offrir une sécurité à l’état de l’art afin de réduire le risque cyber dans cet environnement.

Il convient de considérer les capacités qu’offre le chiffrement avancé des données durant leur transfert et leur stockage, et les patchs informatiques complets choisis en fonction des risques encourus, mais aussi les programmes adaptés à la gestion de la vulnérabilité. Il faut également mettre en place des contrôles de gestion de l’identité et de l’accès, robustes et alignés sur le modèle Zero Trust, de même que des capacités continues de supervision et de détection des menaces pilotées par l’IA, afin de détecter et de contenir la menace que fait peser tout adversaire qui parviendrait à franchir les défenses du périmètre concerné. Les technologies de segmentation des réseaux permettent quant à elles d’isoler et de sécuriser les environnements multi-locataires. La conformité aux normes ISO 27001, SOC 2, et autres standards des meilleures pratiques, offre également une solide assurance de qualité.

Le SaaS gage de tranquillité d’esprit

Il semble donc difficile pour la plupart des entreprises – les plus importantes mises à part –, d’égaler les capacités avancées en matière de sécurité que nombre de fournisseurs de services sont en mesure de proposer. Et l’entrée en vigueur du règlement DORA devrait permettre de placer encore plus haut la barre des standards applicables, en contraignant les fournisseurs TIC à démontrer une gestion robuste des risques cyber, assortie d’essais de résilience et de notifications appropriées des incidents.

Mais les systèmes ERP Cloud ont un autre atout dans leur manche. Contrairement aux solutions hébergées en interne, qui s’appuient sur des capacités de sauvegarde relativement limitées, les fournisseurs de services SaaS stockent et répliquent les données dans des lieux géographiquement dispersés. Dans un temps où les entreprises sont confrontées à une réelle incertitude économique, ces modalités offrent précisément la tranquillité d’esprit que recherchent leurs instances dirigeantes afin de pouvoir planifier l’avenir avec plus de confiance.

À LIRE AUSSI :

Gouvernance

La cyber, un arsenal réglementaire qui demande de l’organisation

Alain Clapaud

4 Mar

À LIRE AUSSI :

Secu

Comment se protéger efficacement : le rôle clé de la connaissance de son entreprise

La rédaction

27 Fév

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !