Passer l'ERP au cloud est aujourd'hui le choix évident pour la plupart des PME — coûts prévisibles, mises à jour automatiques, accès de n'importe où. Mais l'avantage vient avec une nouvelle responsabilité : les données de votre entreprise vivent sur un serveur qui n'est pas le vôtre. Si le fournisseur est négligent, c'est votre entreprise qui paye.
Voici les 6 questions de sécurité à poser à tout fournisseur d'ERP cloud avant de signer.
1. Où sont mes données ?
Concrètement : dans quel data center ? Dans quel pays ? Pour une PME opérant en UE, la réponse doit être "dans l'EEE" — à cause du RGPD. Les services dont les serveurs sont aux USA ou en Asie nécessitent des Clauses Contractuelles Types et laissent quand même des zones grises juridiques.
2. Quelle est la politique de sauvegardes ?
N'acceptez pas de réponses vagues. Ce que vous voulez savoir :
- Fréquence : incrémentale toutes les heures ? Quotidienne ? Moins que ça, c'est trop peu pour des données transactionnelles.
- Rétention : 30 jours ? 90 ? 1 an ? La réglementation comptable exige souvent 7 à 10 ans.
- Emplacement : les sauvegardes sont-elles dans le même data center que les données en production ? Si oui, une panne physique emporte les deux.
- Tests de restauration : à quelle fréquence le fournisseur teste-t-il réellement la restauration ? "Nous avons des sauvegardes" et "la restauration fonctionne" sont deux choses différentes.
Transformons cette idée en réalité
Si cet article vous parle, nous pouvons probablement vous aider. Parlez-nous de votre cas en 30 secondes.
3. Qui a accès à mes données ?
Chez le fournisseur, qui peut voir le contenu de votre base ? Idéalement :
- Accès en production limité à une petite équipe avec audit complet (qui, quand, quelles requêtes).
- Données sensibles chiffrées au repos — même un DBA malveillant ne peut pas les lire.
- MFA obligatoire pour tout accès administrateur.
4. Comment est gérée l'authentification de nos utilisateurs ?
Mots de passe stockés avec bcrypt/argon2, pas MD5 ou SHA1. MFA optionnelle pour les utilisateurs et obligatoire pour les admins. Timeouts de session raisonnables et invalidation immédiate au départ d'un collaborateur. Si le fournisseur ne parle pas à ce niveau de détail, c'est un signal.
5. Que se passe-t-il si je pars ?
Clause de portabilité : à tout moment, vous avez droit à un export complet de vos données dans un format standard (CSV ou SQL). Combien de temps après la résiliation le fournisseur supprime-t-il vos données ? 30 jours ? 90 ? Les bons fournisseurs émettent un certificat de destruction.
6. Y a-t-il un historique d'incidents et comment ont-ils été communiqués ?
Aucun fournisseur sérieux ne dit "nous n'avons jamais eu de problèmes". Tous en ont eu. La bonne question : lors d'un incident, ont-ils prévenu les clients ? En combien de temps ? Avec quel niveau de détail ? S'ils esquivent le sujet, passez votre chemin.
Et du côté client ?
La sécurité de votre ERP cloud est une responsabilité partagée. Le fournisseur protège l'infrastructure ; vous protégez les accès. Utilisez le MFA pour les utilisateurs, formez l'équipe au phishing, revoyez les permissions trimestriellement, et préparez un plan de contingence (contact d'urgence du fournisseur, checklist en cas de perte d'accès).
Conclusion
Un ERP cloud fiable est plus sûr que 90 % des serveurs on-premise mal entretenus qu'on voit en PME. Mais "cloud" n'est pas synonyme de "sécurisé" — cela dépend entièrement des pratiques du fournisseur. Poser ces 6 questions et exiger des réponses précises, par écrit, sépare les partenaires sérieux des vendeurs de brochures.