Fermer

juin 20, 2022

La sécurité ERP dans un monde de cybercriminalité


1. Logiciel obsolète

Les meilleurs fournisseurs d’ERP luttent sans relâche contre les risques de sécurité nouveaux et émergents. Chaque fois qu’un tel risque est identifié, un correctif de sécurité est développé et distribué aux clients. Dans le passé, certaines entreprises ont ignoré ou retardé la mise en œuvre de ces mises à jour pendant de longues périodes, laissant leurs systèmes vulnérables. Cela est particulièrement vrai dans le cas d’anciens ERP qui ont subi de nombreuses personnalisations et solutions de contournement, ce qui rend la mise en œuvre des correctifs plus difficile à gérer.

Réparer: Des mises à jour et des correctifs de sécurité doivent être mis en œuvre régulièrement – ​​malgré le risque de pannes et de temps d’arrêt – car de nouvelles menaces émergent en permanence. L’application de correctifs et de mises à jour pour l’ERP sur site nécessite une approche basée sur les risques pour hiérarchiser ceux qui ont le plus d’implications en matière de sécurité et, bien qu’il ne s’agisse pas d’un processus facile ou non perturbateur, il est essentiel pour atténuer les risques. Cela est également vrai pour les entreprises qui ont un paysage ERP hybride.

Avec le logiciel ERP cloud, la distribution et la mise en œuvre des correctifs sont un processus transparent qui se déroule en coulisses par le fournisseur de services sans aucune interruption de l’activité. De plus, un patch automatisé La gestion qui accompagne un déploiement d’ERP cloud peut aider à garantir le respect des règles de conformité et de gouvernance en constante évolution.

2. Problèmes d’autorisation

Dans le climat commercial actuel, les responsables des ressources humaines, de l’informatique et d’autres équipes sont contraints de faire en sorte que les nouveaux utilisateurs soient opérationnels le plus rapidement possible, ce qui peut entraîner un manque de rigueur lors de la délivrance des autorisations ERP, voire leur désactivation lorsque les employés quittent l’entreprise. . Les systèmes ERP hérités sont souvent plus exposés à cette situation en raison de capacités d’authentification obsolètes et du manque de flux de travail automatisés prenant en charge l’autorisation.

Réparer: Les systèmes ERP modernes sont conçus en tenant compte des risques, y compris des capacités de provisionnement et d’authentification inhérentes et un flux de travail sophistiqué mais simple à utiliser. De plus, les entreprises peuvent mettre en œuvre une sécurité de bout en bout plus large en utilisant outils de gouvernance des identités et des accès.

3. Formation à la sécurité inadéquate

Faire circuler une note de formation avec votre politique officielle de phishing n’est pas la même chose que coordonner des sessions d’apprentissage régulières et interactives avec toutes vos équipes. En effet, dans un récent sondage, 78 % des organisations qui estimaient que leurs méthodes de formation étaient suffisantes pour éliminer les risques de phishing – ont été surpris de constater que 31 % de leurs employés échouaient à un test de base de phishing. Des mots de passe faibles, un manque de connaissances en matière de phishing et des protocoles de sécurité mal compris signifient que même vos employés les plus fidèles et les plus diligents peuvent mettre involontairement votre entreprise en danger.

Réparer: De nombreux employés ne sont tout simplement pas conscients de la manière dont leurs actions innocentes peuvent entraîner des risques ou des dommages. Ne laissez pas la formation à la cybersécurité aux mauvaises personnes et ne la mettez pas au second plan de l’ordre du jour par rapport à d’autres priorités. Travaillez avec un professionnel pour effectuer un audit des risques dans votre entreprise afin de découvrir où se cachent les maillons de sécurité les plus faibles. Travaillez avec vos chefs d’équipe pour élaborer des plans de formation réguliers qui répondent à leurs besoins particuliers. Mettez en place des calendriers automatisés pour chaque service, avec des dates de test, des renouvellements de certificats et des cours de formation de recyclage.

4. Pénurie de personnel de sécurité ERP expérimenté

Pour les entreprises qui utilisent des logiciels ERP hérités, les équipes informatiques doivent parfaitement comprendre leurs risques de sécurité ERP spécifiques et innombrables – et être en mesure d’exécuter et de mettre en œuvre les meilleures pratiques de sécurité. Cela comprend l’identification des menaces, la réalisation d’analyses de vulnérabilité et de tests de pénétration, la création de plans de réponse aux incidents et l’intégration des derniers outils de surveillance de la cybersécurité dans des systèmes obsolètes. Dans le climat actuel, non seulement il est difficile de trouver et de retenir des professionnels qualifiés, mais il est également coûteux et chronophage d’intégrer le nombre croissant de sessions de formation nécessaires pour maintenir les équipes informatiques au courant du rythme fulgurant des développements de la sécurité numérique.

Réparer: Cloud ERP apporte un énorme soulagement à cette préoccupation croissante. Les fonctions de sécurité lourdes telles que la surveillance 24h/24 et 7j/7 et la reprise après sinistre sont toutes gérées par le fournisseur, de manière transparente, dans le cloud. De plus, les tâches informatiques quotidiennes et chronophages telles que la gestion des correctifs, les tests et les mises à niveau peuvent également être automatisées dans le cloud et se dérouler sans aucune interruption perceptible.

5. Non-respect des normes de sécurité et de gouvernance

À mesure que les systèmes ERP sont intégrés dans de plus en plus de départements, la portée des données vulnérables se diversifie de plus en plus, y compris des éléments tels que les informations sécurisées sur les produits, les dossiers médicaux ou la propriété intellectuelle. Plus les données sont sensibles (financières, médicales ou juridiques par exemple), plus elles sont susceptibles d’avoir leurs propres protocoles de sécurité et de stockage uniques. Le non-respect – ou la non-conscience – de ces protocoles peut entraîner non seulement des violations potentielles de ces données, mais également des sanctions et même des répercussions juridiques en cas de non-conformité.

Réparer: Aujourd’hui, les meilleurs ERP – avec des bases de données modernes – peuvent faciliter l’automatisation et le contrôle centralisés d’une gamme de protocoles de conformité pour une grande variété de types de données. Cela signifie que les équipes informatiques peuvent travailler avec des spécialistes de l’ensemble de l’entreprise pour déterminer initialement les normes de sécurité appropriées, puis automatiser les systèmes et les tableaux de bord des utilisateurs pour s’assurer que les protocoles appropriés sont respectés à l’avenir.

6. Authentification à un facteur

Un facteur (un seul mot de passe ou mot de passe) ne suffit tout simplement pas. Alors que de nos jours, la plupart des entreprises sont conscientes de ce fait, plus de 40% des organisations n’arrivent toujours pas à utiliser l’authentification en deux étapes sur tous les points d’entrée potentiels de l’ERP. En d’autres termes, il ne sert à rien de protéger vos données les plus cruciales avec une authentification à deux facteurs (2FA) si d’autres objets connectés comme les appareils IoT ou les applications départementales sont laissés vulnérables avec des mots de passe en une étape.

Réparer: Il est essentiel pour les entreprises de toutes tailles de immédiatement mettre en œuvre des protocoles 2FA (y compris des jetons de sécurité ou des scans biométriques) sur tous les points d’entrée ERP potentiels. Il s’agit d’une solution simple et peu coûteuse qui est extrêmement importante.

7. Exportation de données

Malgré les protocoles officiels, les utilisateurs aiment mettre les choses dans des feuilles de calcul ou les enregistrer dans d’autres formats et les risques d’exportation de données restent un problème pour les entreprises.

Réparer: Les entreprises peuvent contrôler quelque peu cela en bloquant les téléchargements Excel ou en suivant les actions des utilisateurs dans la base de données. Mais en fin de compte, la meilleure façon de se protéger contre l’exportation de données est de limiter le nombre de personnes ayant accès aux données vulnérables. Avec un ERP moderne, les chefs de service peuvent facilement déterminer et définir non seulement qui peut voir quoi, mais aussi à quels éléments d’un ensemble de données ils peuvent accéder et visualiser. Et contrairement aux systèmes hérités, les ERP cloud ont des fonctionnalités de sécurité intégrées qui peuvent être automatisées pour envoyer des notifications et empêcher les commandes non autorisées, telles que les téléchargements ou les exportations de données.




Source link