Sécurité Dolibarr : planning FAQ en 30 jours

La sécurité de votre ERP/CRM Dolibarr n’est pas une option, mais une nécessité absolue pour protéger vos données clients, financières et opérationnelles. Ce guide en 30 jours, structuré sous forme de FAQ, vous propose une feuille de route pratique et progressive pour renforcer significativement la sécurité de votre installation Dolibarr, que vous soyez administrateur ou responsable IT dans une TPE/PME.

Semaine 1 : Audit et Fondations (Jour 1-7)

Q1 : Pourquoi commencer par un audit plutôt que par des actions directes ?
R : Parce qu’on ne sécurise pas ce qu’on ne connaît pas. Un audit initial identifie les vulnérabilités critiques (comptes par défaut, extensions non-maintenues, droits excessifs) et définit un état des lieux précis. C’est votre point de départ objectif.

Actions concrètes :

  • Jour 1-2 : Listez toutes les extensions (modules) installés. Vérifiez leur source ( Official Dolibarr Store uniquement) et leur dernière mise à jour.

  • Jour 3-4 : Auditez les comptes utilisateurs. Supprimez les comptes inactifs, les comptes "admin" redondants et vérifiez les rôles (profils) attribués.

  • Jour 5-7 : Documentez votre environnement : version Dolibarr, version PHP, hébergement (mutualisé/dédié/cloud), chemins d’accès (URL), procédures de sauvegarde existantes.

Q2 : Quelle est la première action urgente après l’audit ?
R : Mettre à jour Dolibarr et toutes ses extensions vers les dernières versions stables. C’est la mesure la plus efficace contre les vulnérabilités connues (exploits). Testez préalablement sur une copie de test si possible.

Semaine 2 : Contrôle d’Accès et Authentification (Jour 8-14)

Q3 : Comment gérer efficacement les comptes administrateurs ?
R : Appliquez le principe du moindre privilège.

  • Ayez un seul compte administrateur principal (pas "admin" comme nom !).

  • Créez des comptes administratifs secondaires avec des droits restreints (ex: gestion des utilisateurs seulement, pas des modules).

  • Utilisez un mot de passe unique, long et complexe pour le compte principal (gestionnaire de mots de passe obligatoire).

Q4 : L’authentification à deux facteurs (2FA) est-elle realisable sur Dolibarr ?
R : Oui, via des modules externes (comme "Dolibarr Two Factor Authentication" sur le store). C’est une fortification majeure. Priorisez son activation pour tous les comptes à privilèges (admin, RH, Finance). La semaine 2 est le moment idéal pour l’installer et la configurer.

Q5 : Faut-il revoir tous les profils (rôles) utilisateurs ?
R : Absolument. Examinez chaque profil (ex: "Commercial", "Comptable", "Stagiaire"). Désactivez les permissions inutiles, surtout :

  • Accès à la configuration technique (/admin/).

  • Droits d’import/export massif de données.

  • Accès à des modules sensibles non nécessaires (ex: gestion des salaires pour un commercial).

Semaine 3 : Infrastructure et Configurations Serveur (Jour 15-21)

Q6 : Mon hébergement mutualisé est-il assez sécurisé ?
R : C’est souvent le maillon faible. Vérifiez auprès de votre hébergeur :

  • Isoler votre base de données (accès restreint à l’IP de votre serveur web).

  • Disposer d’un certificat SSL/TLS valide (HTTPS obligatoire, jamais en HTTP).

  • Activer les protections basiques du serveur (pare-feu, mod_security si Apache).

Q7 : Quelles configurations PHP critiques dois-je vérifier ?
R : Dans votre fichier php.ini ou via l’interface de votre hébergeur, assurez-vous que :

  • expose_php = Off

  • display_errors = Off (en production)

  • allow_url_fopen = Off (sauf besoin spécifique et sécurisé)

  • Les fonctions dangereuses sont désactivées (exec, passthru, shell_exec, etc.) si non utilisées par Dolibarr.

Q8 : Comment sécuriser les dossiers et fichiers de Dolibarr ?
R : Les droits sur le serveur (CHMOD) sont cruciaux.

  • Le dossier doc/ (documents uploadés) doit être en écriture par le serveur web, mais pas en exécution (755).

  • Les dossiers de configuration (conf/, install/) doivent être en lecture seule pour le serveur web après installation (755 ou 644 pour les fichiers).

  • Supprimez ou renommez le dossier install/ une fois l’installation terminée. C’est une Faille de sécurité classique.

Semaine 4 : Surveillance, Sauvegarde et Culture (Jour 22-30)

Q9 : Quels logs doivent être activés et surveillés ?
R : Activez et consultez régulièrement :

  1. Logs Dolibarr (/dolibarr/htdocs/var/logs/) : connexions, actions critiques, erreurs.

  2. Logs serveur web (Apache/Nginx) : pour détecter des requêtes suspectes.

  3. Logs PHP.
    Mettez en place une rotation des logs et une alerte simple (ex: par email) en cas d’échec de connexion répété.

Q10 : Ma stratégie de sauvegarde est-elle suffisante ?
R : Testez-la ! Une sauvegarde qui ne peut être restaurée ne sert à rien.

  • Règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors-site (ex: cloud sécurisé).

  • Sauvegardez la base de données ET les fichiers (documents uploadés, logos, etc.).

  • Restaurer un fichier et une table aléatoire avant la fin des 30 jours pour valider le processus.

Q11 : Comment impliquer les utilisateurs finaux dans la sécurité ?
R : La sécurité technique est inutile sans la vigilance des utilisateurs.

  • Formez-les à la détection des phishings (emails frauduleux).

  • Sensibilisez-les à la politique de mots de passe (pas de réutilisation, pas de partage).

  • Encouragez-les à signaler tout comportement anormal (messages d’erreur étranges, pop-ups suspects, lenteurs inexpliquées).

FAQ Express : Questions Courantes

  • "Dois-je mettre à jour Dolibarr chaque mois ?" -> Oui, dès qu’une nouvelle version de sécurité est publiée (suivez les annonces officielles). Planifiez une fenêtre de maintenance mensuelle.

  • "Puis-je utiliser le même mot de passe pour Dolibarr et ma messagerie ?" -> Jamais. Un compte est un point d’entrée. Utilisez un gestionnaire de mots de passe (Bitwarden, KeePass, etc.).

  • "Les extensions payantes sont-elles plus sûres ?" -> Pas automatiquement. Vérifiez les avis, la fréquence des mises à jour et la réputation du développeur. Une extension gratuite bien maintenue peut être plus sûre qu’une extension payante obsolète.

  • "Que faire si je soupçonne une intrusion ?" -> 1) Isolez le système (mode maintenance). 2) Changez tous les mots de passe (admin, base de données, FTP). 3) Analysez les logs. 4) Envisagez une restauration propre depuis une sauvegarde saine antérieure. 5) Consultez un expert en sécurité.

Checklist de fin des 30 jours : Votre Système est-il Sécurisé ?

  • [ ] Dolibarr et toutes les extensions sont à jour.

  • [ ] Un seul compte admin principal, avec 2FA activé.

  • [ ] Tous les comptes inutiles sont supprimés.

  • [ ] Les profils utilisateurs sont revus sur le principe du moindre privilège.

  • [ ] Le dossier /install/ est inaccessible ou supprimé.

  • [ ] Le site fonctionne exclusivement en HTTPS (redirection automatique).

  • [ ] Les dossiers doc/ et conf/ ont les bons droits.

  • [ ] Une sauvegarde complète (BDD+fichiers) a été testée avec succès.

  • [ ] Les logs sont activés et une surveillance basique est en place.

  • [ ] Une note de sensibilisation a été envoyée aux utilisateurs.

Conclusion : La sécurité est un processus, pas un événement.
Ces 30 jours vous ont permis de construire une base solide. Maintenant, incorporez ces vérifications dans votre cyclité opérationnelle :

  • Mensuellement : Vérifiez les mises à jour, auditez les nouveaux comptes.

  • Trimestriellement : Testez une restauration de sauvegarde, révisez les profils.

  • Annuellement : Faites un audit de sécurité plus poussé (test d’intrusion, revue de code si possible).

En suivant ce planning, vous transformez la sécurité de votre Dolibarr d’une préoccupation abstraite en une routine organisationnelle robuste, protégeant ainsi l’actif le plus précieux de votre entreprise : ses données.

Cet article fournit des recommandations générales. Pour un environnement critique, consultez un professionnel de la sécurité informatique pour un audit personnalisé.

Publications similaires