Sécuriser son installation Dolibarr : les bonnes pratiques

Cybersécurité · ERP open source      •     

Soyons honnêtes : la sécurité, c'est rarement le sujet qui nous enthousiasme le matin. On préfère envoyer ses devis, suivre ses factures, relancer ses clients. Pourtant, le jour où quelque chose tourne mal — un compte piraté, des données qui disparaissent, un rançongiciel qui chiffre tout — on regrette amèrement de ne pas y avoir consacré une petite journée.

Et le problème, avec un logiciel comme Dolibarr, c'est qu'il concentre absolument tout ce qui compte dans votre activité : vos clients, vos factures, votre comptabilité, parfois vos données RH. C'est le coffre-fort numérique de votre entreprise. Sauf que, par défaut, ce coffre-fort n'est pas verrouillé à double tour. C'est à vous de le faire.

La bonne nouvelle ? Vous n'avez pas besoin d'être expert en cybersécurité. La majorité des mesures vraiment efficaces tiennent en quelques réglages de bon sens, que je vais vous détailler une par une. À la fin de cet article, vous aurez une feuille de route claire pour sécuriser votre installation Dolibarr, que vous l'hébergiez sur un mutualisé, un VPS ou votre propre serveur.

Installez-vous confortablement, on attaque.

Pourquoi on ne devrait jamais bâcler la sécurité de son ERP

Avant de plonger dans le concret, prenons trente secondes pour bien mesurer l'enjeu. Parce que tant qu'on n'a pas compris ce qu'on risque, on a tendance à remettre les choses à plus tard.

Un site vitrine qui se fait pirater, c'est embêtant. Un ERP qui se fait pirater, c'est une autre histoire. Pensez à tout ce que contient votre Dolibarr : les coordonnées et l'historique de vos clients, vos montants de factures, vos marges, vos conditions fournisseurs, peut-être les fiches de vos salariés. Bref, des données personnelles et stratégiques qui, entre de mauvaises mains, peuvent vous coûter très cher — financièrement, mais aussi en termes de réputation et de conformité au RGPD.

Et les attaques, contrairement à ce qu'on imagine, ne visent presque jamais « vous » personnellement. Ce sont des robots qui scannent le web à longueur de journée, à la recherche de la moindre faille : une page de connexion sans protection, un logiciel pas à jour, un fichier de configuration laissé accessible. Si votre installation traîne une de ces faiblesses, ce n'est qu'une question de temps avant qu'elle ne soit trouvée.

Tout commence par le serveur

On a tendance à se précipiter sur les réglages de Dolibarr lui-même. Erreur. Si la machine qui héberge votre ERP est une passoire, tous vos efforts applicatifs ne serviront à rien. C'est comme installer une porte blindée sur une maison aux fenêtres grandes ouvertes.

Choisir le bon hébergement

Votre marge de manœuvre dépend largement de là où tourne Dolibarr. Sur un hébergement mutualisé, vous déléguez une grande partie de la maintenance à votre prestataire, mais vous avez peu la main sur la configuration fine. Sur un VPS ou un serveur dédié, c'est l'inverse : contrôle total, mais responsabilité totale aussi. Quel que soit votre choix, privilégiez un hébergeur sérieux qui propose des certificats SSL gratuits, des sauvegardes automatiques et, idéalement, un pare-feu applicatif.

Tout garder à jour, religieusement

Je ne le répéterai jamais assez : la plupart des piratages exploitent des failles déjà corrigées, sur des serveurs que personne n'avait pris la peine de mettre à jour. Le système d'exploitation, le serveur web, PHP, la base de données : tout doit rester à jour. Sur un serveur Linux Debian ou Ubuntu, c'est l'affaire d'une commande à passer régulièrement :

Vérifiez aussi que vous tournez sur une version de PHP encore maintenue. Une version trop ancienne ne reçoit plus de correctifs et peut même vous empêcher de mettre Dolibarr à jour — un comble.

Quelques réglages PHP qui changent tout

Dernier point côté serveur : pensez à désactiver l'affichage des erreurs en production. Une erreur PHP affichée à l'écran, c'est une mine d'informations offerte à un attaquant. Dans votre fichier php.ini, les réglages de base ressemblent à ceci :

Vous loguez les erreurs pour pouvoir les diagnostiquer, mais sans jamais les exposer publiquement. Et tant qu'à faire, on masque aussi la version de PHP.

Verrouiller Dolibarr : les réflexes à ne pas oublier

Le serveur est solide ? Parfait, passons à l'application elle-même. Quelques gestes spécifiques à Dolibarr font une vraie différence, et ils prennent à peine quelques minutes.

Protéger le fichier de configuration

Le fichier conf.php, rangé dans htdocs/conf/, contient les identifiants d'accès à votre base de données. Autant dire que c'est le fichier le plus sensible de toute l'installation. Il doit être lisible uniquement par l'utilisateur qui fait tourner le serveur web, et par personne d'autre :

Ne jamais laisser le script d'installation accessible

Voilà une erreur classique. Après l'installation (ou une mise à jour), le dossier install/ doit être verrouillé. Sinon, n'importe qui pourrait relancer l'assistant et reprendre le contrôle de votre Dolibarr. Heureusement, le logiciel prévoit un garde-fou : un simple fichier de verrouillage.

Tant que ce fichier existe, l'accès à l'installateur est bloqué. Prenez l'habitude de vérifier sa présence après chaque mise à jour. Les plus prudents supprimeront carrément le dossier d'installation une fois la procédure terminée.

Mettre les documents à l'abri des regards

Dolibarr stocke vos pièces jointes et fichiers générés dans un répertoire de données. L'idéal est de placer ce dossier en dehors de la racine web, pour qu'on ne puisse pas y accéder en devinant une URL dans le navigateur. Vérifiez le paramètre $dolibarr_main_data_root dans votre configuration : il devrait pointer vers un emplacement non public.

HTTPS : le strict minimum aujourd'hui

On est en 2026, et il n'y a tout simplement plus aucune excuse pour faire transiter des mots de passe en clair sur le réseau. Sans HTTPS, n'importe qui sur le même réseau Wi-Fi que votre collaborateur peut intercepter ses identifiants. C'est aussi simple — et aussi grave — que ça.

La mise en place d'un certificat est aujourd'hui gratuite et quasi automatique grâce à Let's Encrypt. Sur la plupart des serveurs, l'outil Certbot installe le certificat et le renouvelle tout seul, sans que vous ayez à y penser.

Mais attention : installer un certificat ne suffit pas. Il faut aussi forcer toutes les connexions à passer par HTTPS, sinon une partie du trafic continuera de circuler en clair. On configure pour cela une redirection automatique de HTTP vers HTTPS, et Dolibarr propose même un réglage interne, MAIN_FORCE_HTTPS, qui impose le chiffrement au niveau de l'application. Activez-le, ainsi que les cookies sécurisés.

Des mots de passe et une authentification à toute épreuve

La page de connexion, c'est la grande porte d'entrée. C'est là que se concentrent la majorité des attaques automatisées. La renforcer, c'est probablement le meilleur rapport effort/résultat de tout cet article.

Oubliez les mots de passe faibles, pour de bon

Dolibarr intègre une politique de mots de passe que vous pouvez configurer dans l'administration : longueur minimale, majuscules, chiffres, caractères spéciaux. Activez-la sans hésiter. Un bon mot de passe fait au moins douze caractères et ne reprend aucune information devinable comme une date de naissance ou le nom de l'entreprise.

•      Bannissez les mots de passe par défaut et ceux réutilisés sur d'autres services.

•      Encouragez vos utilisateurs à adopter un gestionnaire de mots de passe — c'est un changement d'habitude qui règle 90 % du problème.

•      Changez le mot de passe administrateur dès la fin de l'installation, sans exception.

Renommez le compte « admin »

Les robots qui tentent de forcer une connexion essaient en priorité les identifiants les plus courants, et « admin » arrive tout en haut de la liste. En donnant à votre compte administrateur un nom unique, vous leur compliquez sérieusement la tâche. Un geste tout bête, mais redoutablement efficace.

Activez la double authentification

Si vous ne deviez retenir qu'une seule mesure forte, ce serait celle-ci. L'authentification à deux facteurs (2FA) fait que, même si un mot de passe fuite, l'attaquant reste à la porte : il lui manque le second code, généré sur votre téléphone. Dolibarr la prend en charge via des modules compatibles avec les applications d'authentification standard. Activez-la au moins pour tous les comptes administrateurs.

Coupez court aux attaques par force brute

Limitez le nombre de tentatives de connexion ratées avant un blocage temporaire. Au niveau du serveur, un outil comme Fail2ban surveille les journaux et bannit automatiquement les adresses IP qui s'acharnent. Et si votre interface d'administration n'a besoin d'être accessible que depuis quelques adresses connues, restreignez-y l'accès : c'est encore plus efficace.

Donner à chacun les bons droits, ni plus ni moins

Une fois la porte d'entrée verrouillée, il reste à organiser ce qui se passe à l'intérieur. Le principe est simple et porte un nom : le moindre privilège. Chaque utilisateur ne devrait avoir accès qu'à ce dont il a réellement besoin pour son travail.

Concrètement, votre commercial n'a aucune raison d'accéder à la comptabilité, et votre comptable n'a pas à toucher à la configuration des modules. Plus un compte a de pouvoir, plus sa compromission est dangereuse — alors on évite de distribuer les droits d'administrateur comme des bonbons.

Pour vous simplifier la vie, appuyez-vous sur les groupes d'utilisateurs. Plutôt que de régler les permissions personne par personne, vous définissez des rôles (commercial, comptable, support…) et vous rattachez chaque utilisateur au bon groupe. C'est plus cohérent, et nettement moins source d'erreurs.

Protéger le cœur du réacteur : la base de données

Tout ce que contient Dolibarr vit dans sa base de données. Si elle tombe, tout tombe. Quelques précautions suffisent pourtant à la mettre largement à l'abri :

•      Utilisez un compte de base de données dédié à Dolibarr, avec des droits limités à sa seule base. Jamais le compte « root », sous aucun prétexte.

•      Choisissez un mot de passe long et aléatoire pour ce compte, différent de tous vos autres.

•      Si la base et l'application sont sur la même machine, n'autorisez que les connexions locales.

•      Si la base est distante, chiffrez la connexion et restreignez les adresses IP autorisées à s'y connecter.

En cloisonnant ainsi les accès, vous faites en sorte qu'une éventuelle compromission de l'application ne se transforme pas en catastrophe généralisée. L'attaquant reste enfermé dans une seule pièce.

Garder Dolibarr à jour, sans procrastiner

C'est sans doute la mesure la plus importante de toutes… et celle qu'on néglige le plus. Chaque nouvelle version de Dolibarr corrige des failles découvertes dans les précédentes. Rester sur une vieille version, c'est laisser ces failles grandes ouvertes.

Abonnez-vous aux annonces de sécurité officielles du projet. Quand une faille est rendue publique, elle est exploitée à grande échelle dans les jours qui suivent : la réactivité fait toute la différence.

Une recommandation tout de même : avant d'appliquer une mise à jour majeure en production, testez-la sur une copie de votre installation. Vous éviterez les mauvaises surprises liées à un module incompatible. Et, évidemment, faites une sauvegarde complète juste avant — ce qui nous amène, justement, au point suivant.

Pensez enfin à vos modules complémentaires. Ils étendent les possibilités de Dolibarr, mais chaque module ajouté est une porte supplémentaire. N'installez que ceux qui viennent de sources fiables, maintenez-les à jour, et désinstallez ceux que vous n'utilisez plus. Un module abandonné par son auteur devient un risque silencieux.

Les sauvegardes : votre assurance vie numérique

Disons-le clairement : aucune sécurité n'est parfaite. Un jour ou l'autre, quelque chose peut mal tourner — une intrusion, un rançongiciel, un disque qui lâche, ou tout simplement une fausse manipulation. Ce jour-là, votre seule planche de salut, c'est une sauvegarde fiable.

Attention au piège : une vraie sauvegarde de Dolibarr comprend deux choses indissociables — le contenu de la base de données ET le répertoire des documents. Sauvegarder l'un sans l'autre, c'est se retrouver avec une restauration bancale. Pour exporter la base en ligne de commande, c'est aussi simple que :

Gardez en tête la fameuse règle 3-2-1 : trois copies de vos données, sur deux supports différents, dont une stockée hors site. Comme ça, même un incendie ou un rançongiciel qui chiffre votre serveur ne vous fait pas tout perdre.

Garder un œil sur ce qui se passe

Dernière couche, souvent zappée : la surveillance. Parce qu'une intrusion peut très bien passer inaperçue pendant des semaines si personne ne regarde les bons signaux. Sans journalisation, vous êtes aveugle.

•      Activez la journalisation des connexions et des actions sensibles dans Dolibarr.

•      Surveillez les journaux du serveur web et de la base pour repérer les tentatives d'accès suspectes.

•      Mettez en place des alertes en cas de pic de connexions échouées ou d'accès depuis des adresses inhabituelles.

•      Conservez ces journaux assez longtemps pour pouvoir enquêter en cas d'incident — tout en respectant le RGPD.

Des outils de supervision peuvent automatiser tout ça et vous prévenir en temps réel. Vous n'avez pas à passer vos journées à éplucher des logs : vous mettez le système en place une fois, et il vous alerte quand quelque chose cloche.

Votre checklist sécurité Dolibarr, en un coup d'œil

On a couvert beaucoup de terrain. Voici de quoi garder le cap : imprimez cette liste, gardez-la sous la main, et cochez les cases au fur et à mesure.

✓    Système, PHP, serveur web et base de données maintenus à jour.

✓    Affichage des erreurs désactivé et versions logicielles masquées.

✓    Dossier d'installation verrouillé (fichier install.lock).

✓    Fichier conf.php protégé et répertoire de documents hors racine web.

✓    Certificat SSL installé et HTTPS forcé partout.

✓    Mots de passe robustes, compte admin renommé et 2FA activée.

✓    Protection contre la force brute (limitation des tentatives, Fail2ban).

✓    Moindre privilège appliqué et comptes inutiles désactivés.

✓    Compte de base de données dédié à droits limités.

✓    Sauvegardes régulières (base + documents), testées et suivant la règle 3-2-1.

✓    Journalisation et alertes en place.

Les questions qu'on me pose souvent

Dolibarr est-il sécurisé par défaut ?

Oui et non. Dolibarr est développé avec de bonnes pratiques et reçoit des correctifs réguliers, donc la base est saine. Mais une installation par défaut n'est pas optimalement protégée : c'est à vous de verrouiller le script d'installation, d'imposer le HTTPS, de configurer les permissions et de gérer les accès. La sécurité dépend surtout de la façon dont vous configurez votre environnement.

À quelle fréquence faut-il mettre Dolibarr à jour ?

Appliquez les correctifs de sécurité dès leur sortie, et planifiez les montées de version mineures régulièrement. Pour les versions majeures, testez d'abord sur une copie. L'essentiel est de suivre les annonces officielles pour réagir vite aux failles critiques.

Mutualisé ou serveur dédié pour héberger Dolibarr ?

Le mutualisé convient aux petites structures et délègue une partie de la maintenance, mais limite votre contrôle. Un VPS ou un dédié offre une maîtrise complète au prix d'une responsabilité accrue. Tout dépend de vos compétences techniques et de vos exigences. Si vous débutez, un bon hébergeur mutualisé spécialisé reste un choix raisonnable.

Que faire si mon Dolibarr est piraté ?

Coupez immédiatement l'accès réseau au serveur, changez tous les mots de passe, analysez les journaux pour comprendre par où l'attaque est passée, puis restaurez une sauvegarde saine antérieure à l'intrusion. Appliquez ensuite tous les correctifs et renforcez les points faibles identifiés. Et n'oubliez pas vos obligations légales de notification en cas de fuite de données personnelles.

Pour finir : la sécurité, c'est une habitude

Si vous deviez ne retenir qu'une chose, ce serait celle-ci : sécuriser Dolibarr n'est pas une case à cocher une bonne fois pour toutes, mais une habitude à entretenir. Le serveur durci, le HTTPS forcé, la 2FA activée, les droits bien répartis, les sauvegardes testées, les mises à jour appliquées : chaque couche que vous ajoutez rend la vie plus difficile aux attaquants et vous laisse une chance de réagir.

Le mieux ? N'essayez pas de tout faire en une journée. Reprenez la checklist plus haut, commencez par les deux ou trois mesures les plus impactantes — les mises à jour, le HTTPS et la double authentification — puis avancez à votre rythme. En vous y mettant dès aujourd'hui, vous protégez votre entreprise, vos données, et la confiance que vos clients vous accordent.

Et vous, où en êtes-vous ? Faites le tour de votre installation ce week-end, checklist en main. Vous serez peut-être surpris de voir le chemin parcouru en une seule séance — et soulagé d'avoir comblé les trous avant que quelqu'un d'autre ne les trouve.