Introduction

Dolibarr ERP & CRM s’est imposé comme l’une des plateformes de gestion d’entreprise open source les plus populaires, appréciée pour sa flexibilité, sa structure modulaire et son accessibilité.
Que vous soyez propriétaire d’une petite entreprise, une grande société ou un prestataire de services IT, déployer Dolibarr offre un immense potentiel pour rationaliser vos opérations commerciales, financières, RH et relation client.

Cependant, avec un tel pouvoir vient une grande responsabilité.
Puisque Dolibarr gère des données sensibles — informations clients, documents financiers, stocks, processus internes — sécuriser votre instance Dolibarr est absolument essentiel.
Les violations de sécurité peuvent entraîner des pertes financières, des atteintes à la réputation et des sanctions légales.

Dans ce guide, nous allons couvrir toutes les meilleures pratiques et recommandations pour sécuriser votre Dolibarr : de la configuration serveur à la gestion des utilisateurs, en passant par le durcissement applicatif, les sauvegardes et la surveillance continue.
Protégez votre entreprise et assurez la fiabilité de votre système Dolibarr !

Pourquoi la sécurité est-elle essentielle pour Dolibarr ?

Avant de passer aux mesures techniques, il est important de comprendre les risques d’une instance Dolibarr mal sécurisée :

• Fuites de données : accès non autorisé aux données clients, factures, documents internes.

• Pertes financières : falsification ou vol de données comptables.

• Atteinte à la réputation : perte de confiance des clients et partenaires.

• Sanctions réglementaires : non-respect de lois comme le RGPD peut entraîner de lourdes amendes.

• Blocage d’activité : attaques de type ransomware pouvant paralyser votre système.

Comme Dolibarr est souvent exposé sur internet, la sécurisation proactive n’est pas une option, mais une nécessité.

Sécurité au niveau du serveur pour Dolibarr

1. Environnement d'hébergement sécurisé

Choisissez un hébergeur fiable :

• VPS, serveur dédié ou cloud privé (évitez l’hébergement mutualisé en production).

• Datacenters certifiés (ISO 27001, SOC 2, etc.).

• Protection anti-DDoS et pare-feu inclus.

Veillez également à maintenir le système d’exploitation (Linux Ubuntu, Debian, CentOS…) régulièrement à jour.

2. Utiliser uniquement HTTPS

N’exposez jamais votre Dolibarr sur HTTP :

• Installez un certificat SSL/TLS valide (Let's Encrypt ou fournisseur payant).

• Redirigez automatiquement tout trafic HTTP vers HTTPS.

• Utilisez des suites cryptographiques fortes.

Le chiffrement HTTPS protège vos échanges contre l’interception.

3. Configuration du pare-feu

Mettez en place un pare-feu solide :

• Pare-feu système (UFW sous Ubuntu, Firewalld sous CentOS).

• Pare-feu cloud de votre fournisseur d’hébergement.

• N’ouvrez que les ports nécessaires (80, 443, 22…).

• Limitez l’accès SSH aux IP de confiance si possible.

Réduire votre surface d’exposition est une défense majeure contre les attaques.

4. Maintenir à jour tous les logiciels systèmes

Appliquez régulièrement les mises à jour sur :

• L’OS du serveur.

• PHP, MySQL/MariaDB, Nginx/Apache.

• Tous les packages installés.

Un système obsolète est une cible facile pour les pirates.

Durcissement spécifique de Dolibarr

1. Garder Dolibarr à jour

Chaque version de Dolibarr corrige des failles :

• Appliquez rapidement les mises à jour disponibles.

• Sauvegardez votre base de données et vos fichiers avant toute mise à jour.

Les nouvelles versions apportent souvent aussi des améliorations de sécurité internes.

2. Sécuriser le répertoire /documents

Dolibarr stocke les documents (factures, contrats) dans /documents :

• Placez ce répertoire hors du dossier web si possible.

• Sinon, configurez .htaccess ou Nginx pour :

  • Interdire l'accès direct.

  • Bloquer l’exécution de fichiers uploadés.

Cela empêche l’exécution potentielle de scripts malveillants.

3. Imposer une politique stricte de mots de passe

• Exiger des mots de passe forts (12+ caractères, majuscules, minuscules, chiffres, symboles).

• Changer immédiatement les identifiants administrateurs par défaut.

• Imposer un renouvellement périodique des mots de passe.

• Activer l’authentification à deux facteurs (2FA) avec des plugins.

Les mots de passe forts restent la première ligne de défense.

4. Limiter les accès administratifs

• Donnez des droits administrateurs uniquement à ceux qui en ont besoin.

• Désactivez les comptes inutilisés.

• Appliquez le principe du moindre privilège.

Moins il y a d'administrateurs, plus le système est sûr.

5. Configurer correctement les sessions

• Réduisez la durée des sessions inactives.

• Activez la régénération d’ID de session après connexion.

• Protégez les cookies (Secure, HttpOnly, SameSite).

De bonnes pratiques de gestion de session empêchent le vol de session.

Sécurité de la base de données Dolibarr

1. Sécuriser l’accès à la base de données

• Utilisez des mots de passe robustes.

• Évitez que Dolibarr se connecte avec un compte root MySQL.

• Créez un utilisateur dédié avec des droits limités.

Limiter les permissions réduit les dégâts en cas de faille.

2. Limiter les connexions extérieures

• Faites écouter MySQL uniquement sur localhost si Dolibarr est sur le même serveur.

• Sinon, utilisez des pare-feu pour filtrer les accès.

Moins de points d’entrée = plus de sécurité.

3. Chiffrer les données sensibles

• Les mots de passe sont hashés par défaut.

• Envisagez de chiffrer les champs critiques personnalisés.

Un chiffrement supplémentaire protège vos données en cas de vol.

Stratégie de sauvegarde et de restauration

1. Sauvegardes automatisées

• Sauvegardez quotidiennement la base de données.

• Sauvegardez également les fichiers critiques (/documents, modules personnalisés).

Automatiser les sauvegardes est une assurance indispensable.

2. Stockage de sauvegarde hors site

• Stockez vos sauvegardes sur un autre serveur ou dans le cloud.

• Chiffrez vos sauvegardes.

En cas de compromission du serveur principal, vous pourrez restaurer rapidement.

3. Tester les sauvegardes

• Testez régulièrement vos procédures de restauration.

• Vérifiez l’intégrité des fichiers de sauvegarde.

Une sauvegarde inutile est celle que l'on ne peut pas restaurer !

Surveillance et détection d’intrusion

1. Monitoring serveur

Utilisez des outils pour surveiller :

• Charge CPU, mémoire, espace disque.

• Disponibilité du serveur web.

Zabbix, Grafana, ou même des outils plus simples peuvent vous alerter en cas d’anomalie.

2. Systèmes de détection d’intrusion (IDS)

Installez :

• OSSEC (IDS open source).

• Fail2Ban (bannir les IP après trop d'échecs d'authentification).

Un IDS limite les risques de brute-force et d’exploitations d'erreurs système.

3. Gestion des logs

• Centralisez vos journaux d'accès web, logs Dolibarr, logs système.

• Analysez-les pour détecter toute activité suspecte.

Les logs sont essentiels pour investiguer après une attaque.

Renforcements supplémentaires côté application

1. Limiter les types de fichiers uploadés

• Autorisez uniquement les extensions sûres (PDF, DOCX, JPEG…).

• Vérifiez les types MIME et la taille maximale des fichiers.

Contrôler les uploads réduit considérablement les risques.

2. Utiliser uniquement des modules fiables

• Installez uniquement des modules officiels ou de développeurs reconnus.

• Mettez à jour vos modules régulièrement.

Un module mal codé peut devenir une porte d'entrée pour les pirates.

3. Gérer les permissions de fichiers et dossiers

• Fichiers : permissions 644.

• Dossiers : permissions 755.

• Fichiers sensibles comme conf.php : permissions 600.

De bonnes permissions empêchent la modification non autorisée des fichiers critiques.

Bonnes pratiques de sécurité pour les utilisateurs

1. Sensibiliser les équipes

• Former vos utilisateurs aux risques de phishing et de social engineering.

• Promouvoir l'utilisation de gestionnaires de mots de passe.

La sécurité commence souvent par le facteur humain.

2. Audits de sécurité réguliers

• Effectuez des revues de sécurité périodiques.

• Faites appel à des experts externes pour des tests d'intrusion.

Un œil extérieur est souvent plus critique et efficace.

3. Activer l’audit des accès

• Journalisez les connexions.

• Suivez les actions sensibles (modifications de factures, création de comptes).

La traçabilité renforce la détection rapide d'incidents.

Conclusion

La sécurisation de votre instance Dolibarr n’est pas une tâche unique, mais un processus continu impliquant durcissement serveur, configuration applicative, gestion utilisateur, surveillance et plans de secours.
En appliquant ces meilleures pratiques, vous protégez vos données, vos clients, votre réputation et assurez la pérennité de votre système ERP/CRM.

Rappelez-vous : investir dans la sécurité aujourd'hui vous épargnera des pertes, du stress et des coûts considérables demain.