Comment la cybersécurité entre dans votre ERP ?

Pourquoi NIS2 est d’abord un sujet de continuité d’activité pour les industriels

Dans l’industrie, la question n’est plus seulement de “se conformer” ni même de “se protéger”. Elle est plus concrète : comment continuer à produire, arbitrer, tracer et livrer quand l’environnement devient imprévisible ? Hausse des tensions géopolitiques, sous-traitants plus exposés, pression réglementaire, systèmes vieillissants, dépendance accrue aux flux numériques : l’incertitude est devenue la norme. Dans ce contexte, sécuriser les flux dans l’ERP n’est pas un chantier annexe. C’est une condition de continuité. Et c’est précisément là que l’approche combinée de TVH Consulting, de sa BU cybersécurité Fidens et de l’écosystème SAP prend tout son sens.

Le vrai danger, ce n’est pas l’attaque hollywoodienne. C’est la dérive silencieuse.

Dans l’industrie, les fragilités ne s’annoncent pas toujours avec fracas. Elles s’installent au fil des accommodements du quotidien : pour tenir les délais, intégrer un partenaire ou éviter d’interrompre la production.

Un accès externe accordé à un prestataire reste actif plus longtemps que prévu. Un rôle est élargi pour fluidifier une validation urgente. Une interface ancienne entre l’atelier, les stocks et la qualité continue de rendre service, alors même que plus grand monde ne sait vraiment comment elle tient. Pris isolément, cela peut sembler anodin. Dans une entreprise industrielle, cela devient plus sensible dès qu’il faut retrouver rapidement l’origine d’un écart ou reconstituer une chaîne de décisions. Quelques droits mal calibrés suffisent parfois à brouiller les arbitrages au mauvais moment.

Le problème n’est pas que ces situations existent. Dans beaucoup d’entreprises, elles sont le produit d’années de pragmatisme. Le problème, c’est qu’à force, le provisoire devient structurel. Et ce qui devait aider l’organisation finit par la fragiliser.

Or les attaquants capitalisent aujourd’hui sur la complexité des flux des industriels. Non pas en ciblant des failles spectaculaires, mais en exploitant ces petites configurations imparfaites, des accès trop larges, des zones oubliées.

L’analogie avec la pêche n’est pas exagérée : des scans automatisés parcourent en permanence les systèmes exposés, avec l’aide de l’IA, comme autant de filets opportunistes. Ils ne cherchent pas une entreprise en particulier. Ils identifient celles qui laissent une porte entrouverte.

C’est là que NIS2 mérite d’être lue autrement. Pas comme un texte abstrait de plus, mais comme un révélateur. Elle met en lumière une question très simple, presque inconfortable : l’entreprise est-elle encore capable de garder la main quand quelque chose dérape ?

Pour y répondre, l’ANSSI a mis en place ReCyf, le dispositif officiel de transposition de NIS2 en France. Un outil concret pour identifier si votre organisation est concernée, comprendre les exigences qui s’appliquent à vous, et commencer à structurer votre démarche sans attendre que le cadre réglementaire soit figé.

Sous-traitants, accès, obsolescence : les angles morts de l’ERP qui coûtent cher

Il faut lever une ambiguïté d’emblée : parler sécurisation des flux industriels implique aussi d’évoquer l’ERP.

Il est courant de parler de cybersécurité d’un côté, de supply chain de l’autre et de l’ERP dans un troisième temps. En réalité, dans une entreprise industrielle, tout se recroise très vite.

L’applicatif métier est au centre. Commandes, approvisionnements, stocks, ordres de fabrication, qualité, expéditions, finance : c’est dans l’ERP que les flux prennent forme, que les validations s’enchaînent, que les arbitrages s’inscrivent, que les droits s’exercent.

Autrement dit, est-ce que l’entreprise pilote ses flux… ou dépend-elle d’eux ? C’est aussi là que les erreurs de gouvernance deviennent visibles ou cessent de l’être.

Quand les habilitations ont été empilées au fil des années sans vraie revue, quand les séparations de tâches deviennent floues, quand certains utilisateurs voient plus qu’ils ne devraient, le risque n’est pas seulement informatique. Il devient opérationnel. Une mauvaise lecture d’alerte, une validation trop souple, un compte oublié, et l’organisation perd en lisibilité au moment précis où elle aurait besoin d’en gagner.

Dans l’industrie, le coût d’un incident dépasse très vite le seul périmètre informatique. Il touche la traçabilité, la capacité à isoler un problème, à prioriser les ordres, à arbitrer correctement ; en définitive, à continuer à produire sans perdre la maîtrise. C’est pour cela que, aujourd’hui, la continuité d’activité ne peut plus se penser sans l’ERP.

Ce que la réglementation change vraiment : une extension des responsabilités

Beaucoup d’entreprises regardent encore NIS2 comme un dossier réglementaire qui avance lentement, avec un calendrier français mouvant, des textes qui se précisent, des périmètres parfois mal compris. C’est vrai. Mais la directive bouscule, interroge, car reconnaissons-lui une chose : elle met le doigt où ça fait mal. 

Disons-le, la directive oblige les entreprises à regarder en face des fragilités qui existaient déjà. La gouvernance des accès, les comptes à privilèges, l’obsolescence, la dépendance aux sous-traitants, la capacité à réagir vite, à documenter, à prioriser, à fonctionner en situation dégradée : tout ce que l’on repoussait parfois faute de temps, faute de concertation ou de méthode revient désormais au premier plan.

Et NIS2 n’agit pas seule. Elle s’inscrit dans un mouvement plus large. Le RGPD avait déjà installé une logique de responsabilité autour de la donnée. Le Cyber Resilience Act va plus loin : il introduit l’idée de “security by design”, autrement dit une exigence de sécurité intégrée dès la conception des produits et des systèmes. Et surtout, il étend la responsabilité à l’ensemble de la chaîne.

Pour les industriels, la cybersécurité résonne alors différemment. Il ne s’agit plus seulement de sécuriser son propre périmètre, mais de comprendre à quel point l’entreprise dépend d’un écosystème complet : fournisseurs, partenaires, équipements connectés, logiciels, composants. Les sujets de gouvernance deviennent, de plus en plus, des sujets business.

Et dans ce contexte, l’attentisme devient risqué. Non pas parce que la sanction tomberait demain matin, mais parce que les dépendances se renforcent vite, et qu’il devient ensuite beaucoup plus difficile de reprendre la main.

Le premier chantier n’est donc pas technique. Il est organisationnel. Qui porte le sujet ? Qui arbitre ? Quels flux sont critiques ? Jusqu’où peut-on aller sans perturber la production ? À partir de quand un compromis n’est plus acceptable ?

Dans bien des cas, c’est moins une faille qui déclenche l’action qu’une exigence client, un appel d’offres, une demande de preuve. La sécurité devient alors ce qu’elle est déjà en train de devenir : un critère de crédibilité.

Moderniser sans fragiliser : c’est là que l’ERP cloud change la donne

Dans beaucoup d’entreprises industrielles, l’ERP en place est robuste, mais vieillissant. Il a été adapté, enrichi, parfois contourné. Il fonctionne… mais au prix d’une complexité croissante.

Et cette complexité a un coût : elle rend la sécurité plus difficile à piloter, les mises à jour plus délicates, la visibilité plus limitée.

La modernisation est souvent envisagée, mais repoussée. Trop risquée, trop lourde, trop impactante pour la production.

C’est précisément là qu’une logique cloud autour de SAP change la nature du débat.

SAP Cloud ERP apporte d’abord et avant tout un cadre de sécurité qui, outre la sécurité “by design” de la plateforme, permet une meilleure surveillance de l’identité et des accès, de l’isolation des environnements, ainsi qu’une résilience accrue par ses fonctionnalités de détection et réponse à incidents et par la reprise cloud.

Ce cadre ne “règle” pas la gouvernance à la place de l’entreprise, il fournit avant tout un socle plus homogène pour la traiter sérieusement. L’ERP cloud standard permet de revenir rapidement à un système de gestion mieux maintenu, plus standardisé, donc plus sûr et lisible.

Et dans l’industrie, la lisibilité est une forme de sécurité.

Un flux mieux structuré se surveille mieux. Une habilitation plus claire se révise plus facilement. Une validation mieux cadrée se sécurise plus naturellement. Une historisation fiable aide à comprendre plus vite ce qui s’est passé, où, et avec quel impact.

La plateforme agit alors comme une colonne vertébrale capable de remettre de la cohérence dans des processus que les années ont parfois rendus plus opaques qu’ils ne devraient l’être.

Pour un industriel, cela peut vouloir dire mieux encadrer la circulation entre achats, stocks et production. Pour un acteur de la chimie ou de l’agroalimentaire, retrouver plus vite une lecture fiable entre qualité, matière et fabrication. Pour un fabricant d’équipements, fiabiliser les validations et les droits sur des flux devenus trop dépendants d’arrangements locaux.

Une approche progressive, ancrée dans le réel

Comme nous l’avons vu, pour des industriels qui n’ont pas vocation à développer et maintenir des architectures complexes, l’ERP cloud devient un levier efficace de fiabilisation des flux, de simplification des process et donc de sécurisation.

Mais encore faut-il que cette transition soit menée sans brutalité. Nos consultants experts certifiés par SAP vous accompagnent du conseil à la mise en œuvre, dans le Cloud.

Dans nos projets menés auprès d’industriels, la réussite tient autant de l’expertise technique que de la capacité à avancer dans le réel avec méthode :

• Identifier ce qui doit être traité en priorité, sans chercher à tout transformer d’un coup.

•  Sécuriser les flux critiques, sans bloquer les opérations.

•  Remettre de la gouvernance là où elle s’est diluée.

L’objectif n’est pas de plaquer un modèle théorique mais de faire route avec les industriels. TVH Consulting fait la différence en s’appuyant sur son offre pré-packagée Cadexpress Cloud for Manufacturing, développée sur la base de sa connaissance fine des process industriels avec SAP Cloud ERP pour maximiser le ROI des projets, et sur son offre NIS 2 Secure portée avec Fidens pour relier modernisation des processus, gouvernance et cybersécurité.

Parce que nous ne traitons pas le sujet comme un simple projet ERP, ni comme une surcouche cyber déconnectée du terrain, nous avons construit pour les industriels une trajectoire réaliste, progressive, ancrée dans les flux critiques de l’entreprise.

Les industriels qui décident de sécuriser leurs flux aujourd’hui ne le font pas par peur d’une sanction NIS 2. Ils le font parce qu’ils perçoivent un risque opérationnel… et une opportunité. Celle de retrouver de la lisibilité là où le temps, les urgences et les exceptions ont parfois brouillé les lignes.

Sécuriser leur production.
Rassurer leurs partenaires.
Et, de plus en plus, répondre à des exigences qui deviennent des critères d’entrée sur certains marchés.

L’enjeu n’est pas de devenir experts en cybersécurité.
Il est de ne pas perdre la maîtrise de leur outil de production.

Et dans un environnement où tout s’accélère, c’est déjà beaucoup.

Avec SAP Cloud ERP comme socle de modernisation, et avec TVH Consulting pour accompagner cette mise en ordre, la sécurité redevient ce qu’elle devrait toujours être : une façon de continuer.