Se rendre au contenu

Cyberattaque en PME : votre ERP est-il protégé ?

par
Pierre

Une cyberattaque ne vise plus seulement les grands groupes : en France, les PME concentrent aujourd'hui l'essentiel des attaques réussies, et votre ERP — qui regroupe vos clients, vos factures, vos stocks et votre comptabilité — en est la cible la plus précieuse. La question n'est donc plus « est-ce que ça peut m'arriver ? », mais « combien de temps mon entreprise tiendrait-elle si je perdais l'accès à toutes mes données demain matin ? ». Ce guide explique, en langage de dirigeant, comment évaluer le risque, le chiffrer, et mettre en place les protections qui comptent vraiment — sans jargon technique inutile.

Ce que vous allez apprendre

  • Pourquoi votre ERP est la cible n°1 d'une cyberattaque, et ce que cela change pour vous.
  • Les principales menaces qui pèsent réellement sur une PME (et celles qu'on sous-estime).
  • Combien coûte une attaque, entre coûts directs et arrêt d'activité.
  • Cloud ou serveur interne : où vos données sont-elles le mieux protégées ?
  • Comment gérer les droits d'accès, les sauvegardes et un plan de continuité.
  • Vos obligations RGPD, les erreurs les plus fréquentes, et quoi faire en cas d'attaque.

Pourquoi votre ERP est-il la cible numéro un d'une cyberattaque ?

Réponse en bref : parce qu'il concentre, au même endroit, l'intégralité de la valeur informationnelle de votre entreprise. Un attaquant qui prend le contrôle de votre ERP n'obtient pas un fichier isolé : il met la main sur votre fichier clients, vos tarifs, vos marges, vos factures, vos coordonnées bancaires et celles de vos fournisseurs.

Pendant des années, le pirate « rentable » s'attaquait aux grandes entreprises. Le calcul a changé : les grands groupes ont massivement investi en sécurité, tandis que des centaines de milliers de PME ont digitalisé leur gestion sans muscler leur défense. La PME est devenue la cible idéale — assez équipée pour payer, trop peu protégée pour résister. Et au cœur de cet équipement se trouve l'ERP, parce qu'il est le système le plus connecté de l'entreprise : il dialogue avec votre banque, votre site e-commerce, votre expert-comptable, vos transporteurs. Chaque connexion est une porte ; chaque porte mal fermée est un risque.

Le réflexe du dirigeant n'est pas de devenir expert en sécurité, mais de comprendre une chose simple : protéger son ERP, c'est protéger la continuité de son activité. Ce n'est pas une dépense informatique, c'est une assurance sur le chiffre d'affaires.

Quelles sont les principales menaces qui pèsent sur une PME ?

Réponse en bref : le rançongiciel, le phishing et l'erreur humaine représentent la grande majorité des incidents — et aucun n'exige un pirate génial, juste une faille de vigilance.

Contrairement à l'image du hacker encapuchonné, les attaques qui touchent les PME sont rarement sophistiquées. Elles exploitent des automatismes humains et des négligences d'organisation. Voici les menaces qu'un dirigeant doit avoir en tête :

MenaceComment ça arriveConséquence sur l'ERP
Rançongiciel (ransomware)Un salarié ouvre une pièce jointe piégée ; le programme chiffre les fichiers et la base.ERP inaccessible, données prises en otage contre paiement.
Hameçonnage (phishing)Un faux e-mail imite votre banque ou un fournisseur pour voler des identifiants.Accès frauduleux au compte d'un utilisateur, vol de données.
Fraude au virement (FOVI)Un faux « dirigeant » ou « fournisseur » réclame un changement d'IBAN.Détournement de paiements via les coordonnées stockées dans l'ERP.
Erreur humaineSuppression accidentelle, mauvaise manipulation, mot de passe partagé.Perte ou corruption de données, parfois irréversible sans sauvegarde.
Départ d'un salariéUn accès non révoqué, un export de la base avant de partir.Fuite du fichier clients vers un concurrent.
Fournisseur ou intégrateur compromisUne connexion tierce mal sécurisée sert de point d'entrée.Compromission « par ricochet » de votre ERP.

Le point commun de cette liste : l'humain et l'organisation pèsent autant que la technique. C'est une bonne nouvelle pour un dirigeant, car ce sont des leviers sur lesquels il a directement la main, sans être ingénieur.

Combien coûte vraiment une cyberattaque pour une PME ?

Réponse en bref : bien plus que la rançon. Le coût réel se mesure surtout en jours d'arrêt d'activité, en clients perdus et en temps de remise en route.

Un dirigeant pense souvent au montant de la rançon. C'est l'arbre qui cache la forêt. Prenons un exemple illustratif d'une PME de 25 personnes paralysée pendant une semaine :

Poste de coûtEstimation illustrative
Arrêt d'activité (production, ventes bloquées pendant 5 jours)40 000 € à 120 000 €
Intervention d'urgence (prestataires, restauration des systèmes)10 000 € à 40 000 €
Heures internes mobilisées sur la crise5 000 € à 20 000 €
Perte de clients et de confiance (effet durable)Difficile à chiffrer, souvent le plus lourd
Sanctions RGPD éventuelles en cas de fuite de donnéesVariable selon la gravité

On comprend vite pourquoi une partie significative des PME victimes d'une attaque majeure ne s'en remettent pas dans les mois qui suivent. À l'inverse, le coût d'une bonne hygiène de sécurité — sauvegardes testées, droits d'accès propres, sensibilisation des équipes — se compte en quelques milliers d'euros par an. Le ratio coût de protection / coût d'un sinistre est l'un des plus favorables qu'un dirigeant puisse trouver. C'est le même raisonnement que pour un calcul de ROI d'un ERP : on ne compare pas une dépense à zéro, on la compare au coût de ne rien faire.

Votre ERP dans le cloud est-il plus sûr qu'un serveur interne ?

Réponse en bref : dans la grande majorité des cas oui, car un hébergeur professionnel applique un niveau de sécurité qu'une PME ne peut pas reproduire seule — à condition de bien configurer les accès de votre côté.

Beaucoup de dirigeants pensent, par intuition, qu'un serveur « chez soi » est plus sûr parce qu'il est « sous la main ». C'est souvent l'inverse. Un serveur interne dépend de la mise à jour, de la surveillance et de la sauvegarde que vous assurez — ou que personne n'assure vraiment. Un hébergement cloud sérieux mutualise des moyens de sécurité hors de portée d'une PME.

CritèreServeur interneCloud professionnel
Mises à jour de sécuritéÀ votre charge, souvent oubliéesGérées et automatisées
SauvegardesÀ configurer et tester soi-mêmeIncluses, redondées, géographiquement réparties
Surveillance 24/7Rarement en place dans une PMEStandard chez les hébergeurs sérieux
Résilience matérielleUn seul lieu = un seul point de défaillanceInfrastructure redondée
Responsabilité100 % vousPartagée (hébergeur + vos accès)

Attention : le cloud sécurise l'infrastructure, pas vos mots de passe. La majorité des intrusions passent par un identifiant volé, pas par une faille du data center. Le choix d'hébergement compte, et c'est un sujet à part entière que nous détaillons dans notre guide sur où héberger son Odoo. Mais quel que soit l'hébergement, votre première ligne de défense reste l'organisation des accès.

Comment bien gérer les droits d'accès dans votre ERP ?

Réponse en bref : appliquez le principe du « moindre privilège » — chaque collaborateur n'accède qu'à ce dont il a besoin pour son métier, ni plus.

Dans beaucoup de PME, tout le monde a accès à tout « pour aller plus vite ». C'est confortable au quotidien et catastrophique le jour d'un incident : un seul compte compromis donne alors les clés de toute l'entreprise. Quelques règles simples, applicables par un dirigeant sans compétence technique :

  • Des profils par métier : un commercial voit le CRM et les devis, pas la paie ni les marges fournisseurs.
  • Pas de comptes partagés : chaque utilisateur a son identifiant, pour savoir qui a fait quoi.
  • La double authentification (2FA) sur les comptes sensibles : un mot de passe volé ne suffit alors plus à entrer.
  • Une revue régulière des accès : on retire immédiatement les droits d'un salarié qui part.
  • Des accès administrateur limités à deux ou trois personnes de confiance.

Ces règles ne coûtent rien d'autre qu'un peu de discipline, et elles bloquent à elles seules une grande partie des scénarios d'attaque. Elles rejoignent une question plus large que tout dirigeant devrait se poser : à qui appartiennent réellement vos données et qui peut y accéder ?

Vos sauvegardes vous protègent-elles vraiment d'un sinistre ?

Réponse en bref : une sauvegarde qui n'a jamais été restaurée pour de vrai n'est pas une sauvegarde, c'est une supposition.

La sauvegarde est la dernière ligne de défense : si tout le reste échoue, c'est elle qui vous permet de redémarrer sans payer de rançon. Encore faut-il qu'elle soit fiable. La règle de référence, simple à retenir, est dite « 3-2-1 » :

  1. 3 copies de vos données.
  2. 2 supports différents (par exemple le cloud et un disque externe).
  3. 1 copie hors site, déconnectée du réseau — c'est elle qui survit à un rançongiciel, car le pirate ne peut pas la chiffrer.

Le piège classique : croire que l'on est protégé alors que la sauvegarde tourne dans le vide depuis des mois, ou qu'elle est connectée au même réseau et donc chiffrée en même temps que le reste. Le seul test valable est de restaurer réellement une sauvegarde, au moins une fois par an, et de chronométrer combien de temps cela prend. Cette logique de récupération sans perte rejoint les bonnes pratiques d'une donnée fiable et maîtrisée : on ne pilote bien que ce que l'on peut restaurer intact.

Qu'est-ce qu'un plan de continuité et pourquoi en avoir un ?

Réponse en bref : c'est le mode d'emploi écrit qui répond à la question « que fait-on, dans quel ordre et avec qui, si l'ERP tombe demain ? ». Sans lui, on improvise dans la panique.

Le plan de continuité d'activité (PCA) n'est pas un document de grand groupe. Pour une PME, deux notions suffisent à le rendre concret :

  • Combien de temps puis-je rester arrêté ? (le délai acceptable de remise en route). Si la réponse est « quelques heures », votre dispositif de sauvegarde et de redémarrage doit être à la hauteur.
  • Combien de données puis-je me permettre de perdre ? (l'ancienneté maximale acceptable de la dernière sauvegarde). Si la réponse est « une journée maximum », une sauvegarde hebdomadaire ne suffit pas.

À partir de ces deux réponses, vous dimensionnez vos protections et vous écrivez la marche à suivre : qui prévenir, qui appelle l'hébergeur, qui communique aux clients, où se trouve la sauvegarde, comment on redémarre. Un PCA tient parfois sur deux pages — mais ces deux pages, lues à froid, valent de l'or le jour d'une crise.

Cybersécurité et RGPD : quelles sont vos obligations de dirigeant ?

Réponse en bref : protéger les données personnelles que contient votre ERP n'est pas une option, c'est une obligation légale dont le dirigeant est responsable.

Votre ERP stocke des données personnelles : clients, prospects, salariés. Le RGPD vous impose de les protéger par des mesures « appropriées » et, en cas de fuite, de notifier l'incident dans des délais courts. Concrètement, pour un dirigeant, cela signifie tenir trois lignes : sécuriser les accès, savoir où sont stockées les données, et être capable de réagir et notifier en cas de violation. La sécurité et la conformité ne sont pas deux chantiers séparés : les mêmes mesures (droits d'accès, sauvegardes, traçabilité) servent les deux. Nous détaillons les implications concrètes dans notre article dédié au RGPD et l'ERP côté dirigeant. À retenir : en cas de manquement, la responsabilité remonte à l'entreprise et à sa direction, pas au prestataire informatique.

Quelles erreurs de sécurité les PME commettent-elles le plus souvent ?

Réponse en bref : ce ne sont presque jamais des failles techniques pointues, mais des négligences d'organisation que l'on corrige sans budget.

  • Mots de passe faibles ou réutilisés sur plusieurs services.
  • Aucune double authentification sur les comptes administrateurs.
  • Des accès jamais révoqués après le départ d'un collaborateur.
  • Des sauvegardes jamais testées, donc inutilisables le jour J.
  • Aucune sensibilisation des équipes au phishing, alors qu'elles sont la première porte d'entrée.
  • Des logiciels et systèmes non mis à jour, laissant des failles connues ouvertes.
  • La conviction que « ça n'arrive qu'aux autres », qui retarde toute action.

Bonne nouvelle : corriger ces sept points ne demande ni gros budget ni recrutement, mais une décision de dirigeant et un peu de méthode. C'est exactement la philosophie que nous appliquons aussi pour sécuriser un Odoo en production : la rigueur d'exploitation prime sur la sophistication.

Que faire dans les premières heures après une cyberattaque ?

Réponse en bref : isoler, ne pas payer dans la précipitation, documenter et faire appel à des professionnels — la panique aggrave toujours la facture.

  1. Isoler les systèmes touchés du réseau pour stopper la propagation, sans tout éteindre brutalement (cela peut détruire des preuves utiles).
  2. Ne pas payer la rançon dans la précipitation : rien ne garantit la récupération des données, et cela finance l'attaque suivante.
  3. Activer votre plan de continuité et restaurer depuis la sauvegarde hors ligne.
  4. Documenter l'incident (captures, horaires, e-mails suspects) pour les experts et l'assurance.
  5. Déposer plainte et, si des données personnelles sont touchées, préparer la notification réglementaire.
  6. Faire appel à des professionnels de la réponse à incident plutôt que d'improviser en interne.

Tout cela est infiniment plus simple si les décisions ont été prises avant : c'est tout l'intérêt du plan de continuité évoqué plus haut.

Comment AldenSync sécurise vos intégrations et vos données ?

Réponse en bref : parce que la majorité des risques se nichent dans les connexions entre logiciels, nous traitons la fiabilité et la sécurité des intégrations comme un sujet de premier ordre, pas comme un détail technique.

Un ERP moderne ne vit pas seul : il échange en permanence avec le site e-commerce, la banque, l'expert-comptable, les transporteurs. Chacune de ces connexions est à la fois un gain de productivité et un risque si elle est mal conçue. Notre différenciation tient là : des intégrations propres, traçables et fiables, où chaque échange de données est maîtrisé, journalisé et réversible. Une donnée juste, qui circule de façon sécurisée entre vos outils, c'est moins de double saisie, moins d'erreurs — et surtout moins de portes ouvertes aux attaquants. C'est aussi ce qui vous évite d'être prisonnier de votre éditeur et de garder, en toutes circonstances, le contrôle de vos propres données.

Questions fréquentes

Une PME est-elle vraiment une cible pour les pirates ?

Oui, et de plus en plus. Les PME sont devenues les cibles privilégiées car elles sont suffisamment digitalisées pour avoir de la valeur à voler, mais souvent moins bien protégées que les grands groupes. La majorité des cyberattaques réussies visent désormais des organisations de taille petite ou moyenne.

Faut-il payer la rançon en cas de rançongiciel ?

Ce n'est pas recommandé. Payer ne garantit pas de récupérer ses données, encourage de nouvelles attaques et peut poser des problèmes juridiques. La meilleure réponse est une sauvegarde hors ligne testée, qui permet de redémarrer sans céder au chantage.

Le cloud protège-t-il automatiquement mes données ?

Il protège l'infrastructure, pas vos accès. Un hébergeur sérieux assure les mises à jour, la surveillance et la redondance, mais la sécurité de vos identifiants, de vos droits d'accès et de la double authentification reste de votre responsabilité.

Combien une PME doit-elle investir en cybersécurité ?

L'essentiel des protections de base — sauvegardes testées, gestion des droits, double authentification, sensibilisation — se compte en quelques milliers d'euros par an, à comparer aux dizaines de milliers d'euros que coûte un seul jour d'arrêt d'activité.

Mon intégrateur est-il responsable en cas d'attaque ?

La responsabilité finale des données de l'entreprise incombe à l'entreprise et à sa direction. Un bon intégrateur vous aide à sécuriser et à configurer correctement, mais la gouvernance des accès et la politique de sauvegarde restent une décision de dirigeant.

Par où commencer si je n'ai rien mis en place ?

Commencez par trois actions à fort impact et faible coût : activez la double authentification sur les comptes sensibles, vérifiez que vos sauvegardes sont récentes et restaurables, et faites le ménage dans les droits d'accès. Vous aurez déjà éliminé une grande partie du risque.

En résumé : les points clés à retenir

  • Votre ERP est la cible n°1 car il concentre toutes les données critiques de l'entreprise.
  • Les menaces majeures (rançongiciel, phishing, erreur humaine) exploitent l'organisation, pas seulement la technique.
  • Le vrai coût d'une attaque, c'est l'arrêt d'activité et la perte de clients, bien plus que la rançon.
  • Un cloud professionnel sécurise l'infrastructure, mais vos accès restent votre responsabilité.
  • Trois protections décisives et peu coûteuses : droits d'accès au plus juste, sauvegardes testées (règle 3-2-1), double authentification.
  • Un plan de continuité de deux pages vaut de l'or le jour d'une crise.
  • La sécurité et le RGPD se renforcent avec les mêmes mesures, sous la responsabilité du dirigeant.

La cybersécurité de votre PME n'est pas un sujet d'informaticien : c'est une décision de dirigeant qui protège votre chiffre d'affaires et la confiance de vos clients. Chez AldenSync, nous concevons des intégrations Odoo fiables, traçables et sécurisées, pour que vos données circulent sans devenir une faille. Contactez nos experts pour évaluer la sécurité de votre ERP et bâtir un dispositif à la hauteur de vos enjeux.