Comment sécuriser votre installation Dolibarr : Bonnes pratiques pour 2025
   04/23/2025 00:00:00     Wiki Dolibarr    0 Commentaires
Comment sécuriser votre installation Dolibarr : Bonnes pratiques pour 2025

Dans l’économie numérique actuelle, sécuriser les données de votre entreprise est essentiel—en particulier celles de votre plateforme ERP et CRM. Dolibarr, une solution ERP/CRM open source populaire, est largement adoptée par les PME, les freelances et les associations pour sa simplicité, sa modularité et son coût réduit. Toutefois, cette flexibilité exige de sérieuses responsabilités : sécuriser votre installation Dolibarr n’est pas facultatif—c’est indispensable.

Que vous hébergiez Dolibarr vous-même ou que vous utilisiez une instance cloud, une mauvaise configuration, un système obsolète ou l’absence de politiques de sécurité peuvent engendrer de graves failles. Les cyberattaques ne concernent pas que les grandes entreprises—les petites structures sont souvent des cibles de choix, car perçues comme moins bien protégées.

Ce guide complet présente les meilleures pratiques pour sécuriser efficacement votre instance Dolibarr en 2025. Nous aborderons la sécurité serveur, les réglages applicatifs, la protection réseau, la gestion des accès, la maintenance et la conformité réglementaire.

Pourquoi la sécurité de Dolibarr est cruciale

Dolibarr gère des fonctions critiques comme les données clients, les finances, la gestion de stock et les projets. Une violation ou perte de données peut entraîner :

  • Des responsabilités juridiques en cas de fuite de données personnelles

  • Des pertes financières et une interruption d’activité

  • Des dommages à votre réputation

  • Des amendes pour non-respect de réglementations (RGPD, HIPAA, PCI-DSS)

Une approche proactive de la sécurité vous protège de ces risques et renforce la confiance de vos utilisateurs.

Choisir le bon environnement d’hébergement

1. Utiliser un hébergeur sécurisé

Si vous n’auto-hébergez pas Dolibarr, optez pour un hébergeur fiable proposant :

  • Des VPS ou serveurs dédiés (évitez l’hébergement mutualisé)

  • Des sauvegardes régulières

  • Un pare-feu serveur

  • Une protection DDoS

  • Des audits de sécurité réseau et physique

Des plateformes comme AWS, OVH ou DigitalOcean offrent des options sécurisées pour héberger Dolibarr.

2. Renforcer la sécurité du serveur

Si vous gérez votre propre serveur :

  • Utilisez une distribution Linux sécurisée (Debian, Ubuntu LTS, CentOS Stream)

  • Mettez le système et les paquets à jour régulièrement

  • Désactivez les services inutiles

  • Installez fail2ban pour bloquer les attaques par force brute

  • Utilisez UFW ou iptables pour restreindre les ports ouverts

Le durcissement serveur est une barrière essentielle.

3. Activer le HTTPS sur toutes les connexions

Sécurisez Dolibarr avec un certificat SSL. Let’s Encrypt fournit des certificats gratuits avec renouvellement automatique.

Avantages du HTTPS :

  • Chiffre les données échangées

  • Prévient les détournements de session

  • Renforce le référencement et la confiance

Sécuriser l’application Dolibarr

4. Mettre Dolibarr à jour régulièrement

Installez les dernières versions stables pour bénéficier des correctifs de sécurité. Vérifiez aussi la compatibilité et la maintenance des modules téléchargés sur Dolistore.

5. Modifier les chemins et paramètres par défaut

Après l’installation :

  • Supprimez ou protégez le répertoire /install/

  • Évitez les noms d’utilisateur par défaut

  • Utilisez des mots de passe forts et uniques

Configurez aussi :

  • Un SMTP sécurisé (TLS/SSL)

  • Le fuseau horaire et la langue pour des journaux précis

6. Définir correctement les permissions

Réglez les droits sur les fichiers :

  • Fichiers PHP : 644

  • Dossiers : 755

  • Fichiers sensibles (conf.php) : 600 ou 640

Désactivez le listing de répertoires et utilisez .htaccess pour bloquer les accès directs.

7. Activer les journaux et pistes d’audit

Activez les logs intégrés de Dolibarr pour suivre :

  • Les connexions

  • Les changements de modules

  • Les actions des utilisateurs

Conservez-les sur une durée définie. Utilisez logrotate pour éviter la saturation disque.

Contrôle des accès utilisateurs

8. Appliquer une gestion des droits par rôle (RBAC)

Attribuez les permissions selon le poste : commercial, comptable, stock, etc. Respectez le principe du moindre privilège.

  • Ne donnez l’accès admin qu’aux utilisateurs autorisés

  • Révisez régulièrement les droits

  • Supprimez immédiatement les comptes inutiles

9. Imposer des mots de passe robustes

Dolibarr permet de définir des règles de complexité :

  • 12 caractères minimum

  • Majuscules, minuscules, chiffres, symboles

  • Changement périodique (ex : tous les 90 jours)

Activez l’authentification à deux facteurs (2FA) avec un plugin ou un proxy inverse.

10. Limiter les tentatives de connexion et surveiller les sessions

  • Utilisez fail2ban pour bloquer les échecs répétés

  • Définissez une expiration de session (ex : 15 min)

  • Déconnectez les sessions inactives

Sécuriser la base de données

11. Configuration sécurisée de MySQL/MariaDB

  • Créez un utilisateur dédié à Dolibarr avec permissions limitées

  • Désactivez l’accès root distant

  • Privilégiez localhost ou connexions socket

  • Protégez les accès par mot de passe fort

12. Chiffrer les données sensibles

Dolibarr stocke certaines données en clair. Pensez à chiffrer :

  • Les sauvegardes

  • Les journaux d’emails

  • Les fichiers de configuration

Utilisez un système de fichiers chiffré (LUKS, VeraCrypt).

13. Sauvegarder et tester régulièrement

Automatisez les sauvegardes :

  • Dumps SQL quotidiens

  • Sauvegardes complètes hebdomadaires

  • Stockage distant (S3, Dropbox, FTP)

Effectuez des tests de restauration pour garantir l’intégrité des données.

Sécurité réseau et périmétrique

14. Pare-feu et restriction des ports

N’autorisez que les ports nécessaires :

  • 443 pour HTTPS

  • 22 pour SSH

Bloquez :

  • Les services non utilisés

  • Les pings ICMP (optionnel)

  • L’accès public aux services internes

Utilisez un IDS comme Snort ou Suricata pour aller plus loin.

15. Pare-feu applicatif web (WAF)

Installez un WAF pour filtrer :

  • Les injections SQL

  • Les attaques XSS

  • Les traversées de chemin

Solutions recommandées :

  • ModSecurity avec les règles OWASP

  • Cloudflare WAF (en cloud)

16. Utiliser un proxy inverse

NGINX ou Apache comme proxy inverse permet de :

  • Gérer les connexions SSL

  • Filtrer les requêtes

  • Limiter le nombre de requêtes

Ajoutez un filtrage par pays ou adresse IP.

Sécurité des emails et communications

17. Utiliser un SMTP sécurisé

Évitez PHP mail(). Préférez SMTP avec :

  • Chiffrement TLS/SSL

  • Authentification SMTP

  • SPF, DKIM, DMARC pour valider l’envoi

18. Alertes de sécurité

Reliez Dolibarr à :

  • Des alertes email

  • Slack ou Discord (via webhook)

  • SMS pour les incidents critiques

Vous serez informé immédiatement d’un problème.

Conformité et protection des données

19. Respecter la législation

Assurez-vous que Dolibarr est conforme :

  • RGPD (UE)

  • CCPA (Californie)

  • HIPAA (santé, USA)

Incluez :

  • Consentement utilisateur

  • Collecte minimale de données

  • Droit à l’oubli

20. Documenter une politique de sécurité

Rédigez un document vivant couvrant :

  • Les règles d’accès

  • Les stratégies de sauvegarde

  • Le plan de réponse aux incidents

Formez régulièrement vos équipes à la cybersécurité.

Maintenance et surveillance continue

21. Audits de sécurité planifiés

Effectuez régulièrement :

  • Patches mensuels

  • Scans trimestriels de vulnérabilités

  • Tests de pénétration annuels

Corrigez rapidement les failles détectées.

22. Surveiller l’état du système

Outils utiles :

  • Nagios, Zabbix ou UptimeRobot (disponibilité)

  • Logwatch (analyse de logs)

  • Alertes cron pour tâches échouées

Une bonne visibilité est essentielle.

23. Utiliser un environnement de test

Avant toute mise à jour ou nouveau module, testez dans un environnement de pré-production.

Ne jamais faire de test directement en production.

Conclusion

Sécuriser Dolibarr en 2025 ne se résume pas à un mot de passe fort ou une mise à jour mensuelle. C’est un processus global qui inclut le réseau, la configuration, le contrôle des accès, la protection des données et la sensibilisation des utilisateurs. Dolibarr est puissant et flexible, mais cette ouverture peut devenir un point faible sans bonnes pratiques.

En appliquant ces recommandations, vous garantirez que votre instance Dolibarr reste fiable, conforme et sécurisée au cœur de vos opérations. La sécurité n’est pas une tâche unique—c’est un engagement continu pour protéger ce qui compte le plus : vos données et la confiance de vos utilisateurs.

Commentaires

Connectez-vous ou inscrivez-vous pour poster des commentaires