Version 1.0 – Novembre 2025
1. Introduction
Dolibarr ERP/CRM est une solution open‑source très répandée pour la gestion comptable, commerciale et de production. Son adoption croît rapidement dans les PME, les associations et même dans certaines structures publiques.
Cependant, comme tout logiciel, il expose des surfaces d’attaque : accès non‑authentifié, injection SQL,Cross‑Site Scripting (XSS), mauvaise gestion des droits, exposition d’informations sensibles, etc.
Le présent playbook de sécurité orienté conformité a pour objectif de fournir aux responsables sécurité, DSI et équipes de contrôle interne une méthode opérationnelle, documentée et reproductible pour :
- identifier les exigences légales et normatives applicables,
- mettre en place les contrôles de sécurité technique et organisationnels,
- vérifier et tester leur mise en œuvre,
- assurer la continuité de la conformité dans le temps.
Le playbook s’appuie sur les référentiels les plus pertinents en France et en Europe :
| Référentiel | Domaine | Référence principale |
|---|---|---|
| RGPD | Protection des données à caractère personnel | EU Regulation 2016/679 |
| ISO 27001 | Système de management de la sécurité de l’information | ISO/IEC 27001 :2022 |
| ISO 27701 | Extension RGPD du SMSI | ISO/IEC 27701 :2019 |
| PCI‑DSS | Sécurité des données de cartes de paiement (si paiement en ligne) | PCI‑DSS v4.0 |
| NIST 800‑53 Rev. 5 | Contrôles de sécurité fédéraux (utile pour les acteurs publics) | NIST 800‑53 Rev‑5 |
| OWASP Top 10 | Bonnes pratiques de développement web | OWASP 2023 |
2. Analyse de risque et exigences de conformité
| Niveau | Domaine | Exigence normative | Questions de conformité | Action recommandée |
|---|---|---|---|---|
| 1 | Gouvernance | Déclaration du DPO (RGPD) | Le DPO a‑t-il été nommé ? | Nomination officielle, description de missions, reporting au comité de direction. |
| 2 | Accès | Précision des droits (ISO 27001 A.9) | Les comptes sont‑ils limités au « least privilege » ? | Implémentation de rôles granulaires dans Dolibarr, revue trimestrielle. |
| 3 | Données | Conservation & traçabilité (RGPD Art 5‑1 c) | Les logs d’audit sont‑ils conservés 12 mois ? | Activer le journal d’audit dans Dolibarr, export vers SIEM. |
| 4 | Transmission | Chiffrement TLS 1.3 (PCI‑DSS 3.3) | La connexion utilise‑t‑elle TLS 1.2+ ? | Forcer HTTPS, désactiver TLS 1.0/1.1. |
| 5 | Développement | Sécurité du code (OWASP A5‑Injection) | Des tests d’intrusion applicative sont‑ils réalisés ? | CI/CD avec SonarQube, OWASP ZAP, tests automatisés. |
| 6 | Gestion des incidents | Déclaration à la CNIL sous 72 h (RGPD 33) | Existe‑t‑il un playbook de réponse ? | Scénarios d’incident, procédure d’escalade, tableau de bord d’incidents. |
| 7 | Continuité d’activité | Plan de continuité (ISO 27031) | Le DR (Disaster Recovery) est‑il testé annuellement ? | Tests de basculement sur serveur secondaire, RTO/RPO définis. |
3. Playbook opérationnel
3.1 Phase de pré‑déploiement
| # | Action | Responsable | Livrable | Vérification |
|---|---|---|---|---|
| 1 | Cartographie des flux (données entrantes/sortantes) | Analyste sécurité | Diagramme de flux | Validation par le business |
| 2 | Mapping des exigences légales (RGPD, PCI‑DSS, etc.) | DPO / Compliance | Matrice de conformité | Checklist signée |
| 3 | Modélisation des menaces (STRIDE) | R&D sécurité | Rapport de risques | Revue par le comité de pilotage |
| 4 | Choix du mode d’hébergement (on‑prem, cloud, hybride) | Infra | Document d’architecture | Audit de sécurité cloud (si applicable) |
| 5 | Définition du périmètre de conformité | Responsable conformité | Scope document | Validation par la direction |
3.2 Phase de déploiement | # | Action | Détails techniques | Contrôle |
|—|——–|——————-|———-|
| 1 | Installation sécurisée | – OS minimalisé
– Packages à jour (APT)
– Utilisateur non‑root dédié (dolibarr) | Scans de vulnérabilités (OpenVAS) – Rapports OK |
| 2 | Configuration HTTPS | – Certificat SSL/TLS provenant d’une CA reconnue (Let’s Encrypt ou privé)
– HSTS, CSP, Strict‑Transport‑Security | Test SSL Labs – Note A+ |
| 3 | Gestion des droits | – Création des groupes (compta, sales, admin)
– Attribution de profils Dolibarr avec rights= correspondants | Revue des droits via requêtes SQL SELECT * FROM llx_user; |
| 4 | Journalisation & archivage | – Activation de CONFIG_FULL_HTTP_LOGGING
– Rotation des logs (logrotate)
– Envoi vers SIEM (ELK, Splunk) | Vérification de la présence d’évènements « login_success » etc. |
| 5 | Chiffrement au repos | – Chiffrement du répertoire documentation/ via LUKS / BitLocker (selon OS)
– Sauvegarde chiffrée (restic, borgbackup) | Test de déchiffrement hors‑ligne |
| 6 | Sauvegarde | – Backup complet quotidien + incrémental
– Lancement via cron avec mysqldump + compression | Test de restauration hors‑site chaque mois |
| 7 | Gestion des extensions | – Désactivation des modules non utilisés (ex. evidences, expense)
– Validation des dépendances via Composer | Scan de dépendances OWASP Dependency‑Check |
3.3 Phase de exploitation & monitoring
| KPI | Cible | Méthode de mesure |
|---|---|---|
| Taux de connexion sécurisée | ≥ 99,9 % | % de requêtes HTTPS sur le total |
| Nombre d’erreurs d’accès | < 5 / mois | Logs d’authentification (failed login) |
| Délai de mise à jour des dépendances | ≤ 7 jours après publication d’une CVE | Tracking via composer outdated |
| Temps moyen de résolution d’incident | ≤ 4 h | Ticketing (Jira/Redmine) |
| Conformité du DPO | Déclaration annuelle à la CNIL | Vérif. du registre des traitements |
Utilisation d’un dashboard (Grafana) avec sources :
- Prometheus (exporter Apache & PHP‑FPM) – ELK (logs d’audit)
- Microsoft Defender for Cloud (si hébergement Azure) —
4. Scénarios de test de conformité ### 4.1 Test d’intrusion applicative (OWASP Top 10)
| Vecteur | Technique | Outil | Résultat attendu |
|---|---|---|---|
| A1 – Injection SQL | Poison‑SQL via champ « client » | sqlmap – –level=5 | Aucune réponse 500 ou donnée brute ; logs d’attaque enregistrés |
| A2 – XSS | Script injecté via champ « objet » d’une facture | OWASP ZAP | Le script est sanitized, retour 400 (Bad Request) |
| A5 – Mauvais contrôle d’accès | Tentative d’accès à la page admin sans token | curl – cookie auth=… | Redirection vers login, code 403 |
| A7 – XSS via CSV export | Export CSV d’une liste client | Burp Suite | Le CSV ne contient pas de balises HTML |
| A9 – Gestion des erreurs | Trigger d’erreur serveur spéciale | Postman | Message d’erreur générique, pas de trace interne |
4.2 Audit de configuration RGPD
| Item | Vérification | Conclusion attendue |
|---|---|---|
| Registre des traitements | Existe‑t‑il un registre complet ? | Registre signé et versionné |
| Droit à l’effacement | Procédure appliquée sur un enregistrement test | Donnée supprimée et preuve d’effacement (hash) |
| Droit à la portabilité | Export CSV d’un client | Export correct, format conforme au RGPD |
| Consentement | Capture du consentement lors de la création d’un tiers | Champ « consent » obligatoire, non‑modifiable a posteriori |
| Notification | En cas de fuite, procédure déclenchée en < 72 h | Exemple de processus documenté |
5. Gestion des tiers et chaîne d’approvisionnement
| Type de tiers | Exigence de conformité | Action spécifique |
|---|---|---|
| Fournisseur d’hébergement | ISO 27001 A.15.2 (Continuité), PCI‑DSS 12.3 (Sécurité du réseau) | Clause contractuelle de sécurité, audit SOC‑2 ou ISO 27001 du fournisseur |
| Partenaires de paiement | PCI‑DSS 3.2 (Cryptage des données de carte) | Utilisation d’un PSP certifié PCI, tokenisation des PAN |
| Fournisseurs d’extensions | OWASP A10 (Sécurité du code) | Revue de code source, signature des packages, tests automatisés avant intégration |
| Prestataires de support | Niveau de service (SLA) incluant la disponibilité des logs | Ticketing avec escalade garantissant la rétention de logs 12 mois |
6. Formation & sensibilisation
| Public cible | Module | Durée | Méthodes | Suivi |
|---|---|---|---|---|
| Utilisateurs Dolibarr | Gestion des droits et bonnes pratiques de mot‑de‑passe | 1 h | E‑learning, quiz 80 % de réussite requis | Tableau de bord de complétion |
| Équipes IT | Sécurisation de l’infrastructure (TLS, backups, patch management) | 2 h | Ateliers pratiques, exercice de restauration | Audit mensuel |
| DPO / Compliance | Cartographie RGPD & gestion des DPO obligations | 1,5 h | Webinaire, étude de cas | Validation du registre annuel |
| Chefs de projet | Intégration sécurisée d’extensions (revue de code, dépendances) | 2 h | Revue de PR (pull‑request), utilisation de SonarQube | Check‑list de sortie de release |
7. Amélioration continue
- Revue trimestrielle du playbook – mise à jour des exigences légales (RGPD 2024, ISO 27001 2023, etc.).
- Tableau de bord de conformité – KPI consolidés et escalade aux comités de direction.
- Tests de pénétration externes – au moins une fois par an, par un cabinet accrédité.
- Plan d’action correctif – délais définis (30 j pour haute criticité, 90 j pour moyenne).
- Communication des incidents – rapport d’incident produit et partagé avec le DPO et le responsable de la conformité.
8. Checklist de conformité « Ready‑to‑Deploy »
| ✅ | Item | Statut | Responsable | Date cible |
|---|---|---|---|---|
| 1 | HTTPS forcé (TLS 1.3) | Infra | 15/12/2025 | |
| 2 | DPO désigné & registre RGPD à jour | Compliance | 20/12/2025 | |
| 3 | Droits d’accès revus (least‑privilege) | Sécurité | 05/01/2026 | |
| 4 | Journalisation envoyée vers SIEM | Ops | 10/01/2026 | |
| 5 | Stratégie de sauvegarde testée (restore < 4 h) | Backup | 12/01/2026 | |
| 6 | Extension non utilisée désactivée | Dev | 20/01/2026 | |
| 7 | Scans de vulnérabilités & correctifs appliqués (CVE 2024‑XXXXX) | Ops | 30/01/2026 | |
| 8 | Procédure d’incident Documentée & testée | PMO | 15/02/2026 | |
| 9 | Formation des utilisateurs terminée (> 80 % de réussite) | RH | 28/02/2026 | |
| 10 | Contrats fournisseurs contenant clauses de sécurité signés | Legal | 01/03/2026 |
9. Conclusion
Le playbook de sécurité orienté conformité pour Dolibarr constitue une feuille de route détaillée permettant d’aligner les pratiques opérationnelles avec les exigences légales et normatives (RGPD, ISO 27001, PCI‑DSS, OWASP, etc.). En suivant ses étapes :
- de la cartographie des flux et des risques,
- à la mise en œuvre technique (HTTPS, droits, journalisation, sauvegarde), * jusqu’au monitoring continu et aux tests de conformité,
les organisations peuvent non seulement protéger leurs données sensibles, mais aussi démontrer de façon tracée et auditée que les obligations réglementaires sont respectées.
La clé de la réussite réside dans la gouvernance partagée : chaque acteur (Direction, DPO, équipes IT, développeurs, prestataires) doit porter la responsabilité d’un ou plusieurs maillons de la chaîne, et les revues périodiques garantir que le niveau de conformité ne décroît jamais.
En adoptant ce playbook, Dolibarr passe d’un simple outil de gestion à une plateforme fiable, sécurisée et conforme, prête à soutenir la croissance de l’entreprise tout en limitant les risques juridiques et opérationnels.
Annexes (liens utiles) | Ressource | URL |
|———–|—–|
| Dolibarr Official Documentation | https://www.dolibarr.org/docs/ |
| OWASP Top 10 2023 | https://owasp.org/www-project-top-ten/ |
| CNIL – Guide RGPD pour les ERP | https://www.cnil.fr/fr/guide-rgpd-erp |
| ISO/IEC 27001 :2022 (preview) | https://www.iso.org/standard/75652.html |
| PCI‑DSS v4.0 – Official Site | https://www.pcisecuritystandards.org/ |
| NIST 800‑53 Rev 5 – Control Catalog | https://csrc.nist.gov/projects/security-controls |
| Docker‑Compose template for Dolibarr (secure) | https://github.com/yourorg/dolibarr-secure‑stack |
| SonarQube – Security Gate | https://www.sonarqube.org/security-gate/ |
| Restic – Backup tool | https://restic.net/ |
| Grafana Loki & Prometheus setup | https://grafana.com/docs/loki/latest/ |
Document interne – version 1.0 – Novembre 2025
Pour toute question détaillée sur un point spécifique du playbook (ex. configuration des droits, rédaction du registre RGPD, etc.), n’hésitez pas à nous contacter.