Dolibarr est une solution ERP (Enterprise Resource Planning) et CRM (Customer Relationship Management) open-source largement utilisée par les entreprises pour gérer leurs clients, leur comptabilité, leurs stocks et bien d'autres aspects de leur activité. Cependant, comme tout système de gestion centralisé, il est exposé à des risques de sécurité s’il n’est pas correctement protégé.
Dans cet article, nous allons examiner les bonnes pratiques et recommandations pour renforcer la sécurité de votre instance Dolibarr, protéger vos données sensibles et garantir un fonctionnement fiable et sécurisé de votre ERP.
1. Mettre à jour régulièrement Dolibarr
L’une des erreurs les plus courantes en matière de sécurité est de négliger les mises à jour. Dolibarr évolue régulièrement avec des correctifs de sécurité, des améliorations de performance et de nouvelles fonctionnalités.
Pourquoi est-ce important ?
- Chaque mise à jour corrige des vulnérabilités potentielles.
- Des failles de sécurité connues dans les anciennes versions peuvent être exploitées par des attaquants.
- Les modules et extensions doivent être compatibles avec la dernière version pour éviter les bugs et failles de sécurité.
Bonnes pratiques
- Surveillez les nouvelles versions sur le site officiel de Dolibarr.
- Effectuez des tests sur un environnement de préproduction avant de mettre à jour en production.
- Sauvegardez vos données avant toute mise à jour pour éviter les pertes en cas de problème.
2. Sécuriser l’accès à Dolibarr
Choisir un mot de passe sécurisé
Beaucoup de failles de sécurité sont dues à l’utilisation de mots de passe faibles. Voici quelques recommandations :
- Utiliser un mot de passe long (au moins 12 caractères) et complexe (lettres majuscules et minuscules, chiffres et caractères spéciaux).
- Ne jamais utiliser un mot de passe simple comme "admin123" ou "dolibarr".
- Activer la double authentification (2FA) si possible.
Restreindre l’accès aux fichiers sensibles
Certains fichiers et répertoires de Dolibarr ne doivent pas être accessibles au public. Voici les mesures à prendre :
- Désactivez l’accès au répertoire /install/ après l’installation.
- Protégez le fichier de configuration conf.php en modifiant ses permissions (
chmod 400). - Restreignez l’accès au fichier
.htaccesspour empêcher l'affichage des répertoires sensibles.
Limiter les connexions par adresse IP
Si votre entreprise utilise Dolibarr uniquement en interne, vous pouvez restreindre l’accès à certaines adresses IP spécifiques en configurant le fichier .htaccess ou le pare-feu du serveur.
3. Activer le protocole HTTPS
Un site accessible via HTTP envoie les données en clair sur le réseau, ce qui les rend vulnérables aux attaques de type Man-in-the-Middle (MITM).
Comment sécuriser votre instance avec HTTPS ?
- Installer un certificat SSL sur votre serveur (Let’s Encrypt, Sectigo, etc.).
- Forcer l’utilisation de HTTPS en modifiant le fichier de configuration de Dolibarr (
conf.php) : - Configurer un redirection automatique de HTTP vers HTTPS via le fichier .htaccess :
- Vérifier le certificat SSL via des outils comme SSL Labs pour s’assurer qu’il est bien configuré.
4. Gérer les utilisateurs et leurs permissions
Dolibarr permet de gérer des rôles et des permissions par utilisateur. Il est important de limiter les accès en fonction des besoins de chaque employé.
Bonnes pratiques de gestion des utilisateurs
- Attribuez des permissions minimales : chaque utilisateur ne doit avoir accès qu’aux fonctionnalités nécessaires à son travail.
- Désactivez les comptes inutilisés pour éviter les risques d'accès non autorisé.
- Changez régulièrement les mots de passe des utilisateurs ayant des droits élevés (administrateurs, comptables, etc.).
- Activez les logs d’audit pour surveiller les connexions et activités suspectes.
5. Protéger la base de données
La base de données de Dolibarr contient des informations critiques comme les clients, les factures et les commandes. Un accès non autorisé peut avoir des conséquences graves.
Mesures pour sécuriser la base de données
- Utiliser un mot de passe fort pour l’utilisateur MySQL/MariaDB.
- Éviter d’utiliser l’utilisateur root pour Dolibarr ; créer un utilisateur spécifique avec les droits nécessaires.
- Restreindre l’accès à la base de données aux seules IP autorisées.
- Effectuer des sauvegardes régulières et les stocker en lieu sûr.
6. Effectuer des sauvegardes régulières
Une bonne stratégie de sauvegarde permet de récupérer rapidement les données en cas d’attaque ou de panne serveur.
Bonnes pratiques de sauvegarde
- Planifiez des sauvegardes automatiques de la base de données et des fichiers Dolibarr.
- Stockez les sauvegardes sur un serveur externe ou un cloud sécurisé (Google Drive, AWS, etc.).
- Vérifiez régulièrement l’intégrité des sauvegardes en testant la restauration.
7. Surveiller et détecter les activités suspectes
La mise en place d’un système de surveillance permet d’identifier rapidement les tentatives d’intrusion et autres activités malveillantes.
Outils recommandés
- Fail2Ban : bloque les adresses IP après plusieurs tentatives de connexion échouées.
- Un firewall Web Application (WAF) : protège contre les attaques XSS et SQL Injection.
- Logs d’accès Apache/Nginx : permettent de surveiller les requêtes suspectes.
- Dolibarr Audit Logs : permet d’analyser les actions des utilisateurs et d’identifier les comportements inhabituels.
Conclusion
Sécuriser Dolibarr est une nécessité pour protéger vos données sensibles et éviter les cyberattaques. En appliquant ces bonnes pratiques – mises à jour régulières, configuration HTTPS, gestion des permissions, protection de la base de données et mise en place d’une politique de sauvegarde efficace – vous garantissez un environnement sécurisé et fiable pour votre entreprise.
N’oubliez pas qu’une bonne sécurité informatique repose également sur la formation des utilisateurs : sensibilisez votre équipe aux bonnes pratiques de sécurité, et assurez-vous que chacun applique ces recommandations au quotidien.