Sécurité Dolibarr : multi-société Roadmap pour réduire les erreurs

Lorsqu’une organisation utilise Dolibarr ERP/CRM pour gérer plusieurs entités juridiques (filiales, succursales, marques, projets distincts), la sécurisation des données et la prévention des erreurs critiques deviennent un défi majeur. Une mauvaise manipulation peut entraîner des mixages financiers, des erreurs comptables irrécupérables ou des fuites de données sensibles. Voici une feuille de route structurée pour verrouiller votre installation multi-sociétés.

1. Comprendre le Risque : Pourquoi le Multi-Société est un Point Faible

Dans Dolibarr, une "société" est une entité juridique distincte au sein de la même base de données. Par défaut, rien ou presque ne sépare physiquement les données entre ces entités. Un utilisateur avec des droits étendus peut, par erreur ou malice :

  • Saisir une facture pour la mauvaise société.

  • Transférer des fonds entre comptes bancaires de sociétés différentes.

  • Accéder aux données commerciales confidentielles d’une autre entité.

  • Exporter des listes mélangeant des sociétés.

La clé est de considérer que Dolibarr multi-société fonctionne sur un principe de "cloisonnement logique", pas physique. La sécurité repose donc entièrement sur la configuration et les processus.

2. Roadmap en 5 Étapes pour une Gestion Sûre

Étape 1 : Audit et Cartographie (Pré-Configuration)

Objectif : Identifier tous les flux et sensibilités.

  • Répertoriez chaque société : Code juridique, devise, plan comptable spécifique ?

  • Cartographiez les utilisateurs : Qui doit accéder à quelle(s) société(s) ? (Ex: un commercial ne doit voir que sa société, un directeur général toutes).

  • Listez les points critiques : Ventes, achats, trésorerie, stocks, ressources humaines. Quelles données doivent absolument rester isolées ?

  • Documentez les règles métier : "Un bon de commande client ne peut être validé que par un utilisateur de la société émettrice."

Étape 2 : Configuration Fondamentale de Dolibarr

Objectif : Appliquer le principe de moindre privilège.

  1. Définissez les sociétés avec rigueur :

    • Admin -> Paramètres -> Sociétés : Remplissez tous les champs (code comptable, devise, TVA, etc.). C’est la base de tout.

    • Ne jamais utiliser la société "0" ou par défaut pour des opérations réelles. Réservez-la aux tests.

  2. Gérez les utilisateurs avec une extrême précision :

    • Pour chaque utilisateur, dans sa fiche (Admin -> Utilisateurs), définissez explicitement la ou les sociétés autorisées dans le champ "Société(s) autorisée(s)".

    • Évitez absolument de laisser ce champ vide ou sur "Toutes". C’est la faille principale.

    • Utilisez les groupes d’utilisateurs pour simplifier la gestion par profil (ex: Groupe "Comptabilité", Groupe "Ventes FR").

  3. Activez et paramétrez le module "Sociétés" :

    • Assurez-vous qu’il est activé (Admin -> Modules).

    • Dans Admin -> Paramètres -> Société, vérifiez que l’option "Verrouiller la société par défaut pour les objets" (ou équivalent selon votre version) est ACTIVÉE. Cela force la sélection d’une société lors de la création de tout élément (facture, commande, etc.).

Étape 3 : Contrôles et Validations Croisées (Processus Métier)

Objectif : Ajouter une couche de contrôle humain ou système.

  • Mettez en place des validateurs dédiés par société : Dans le workflow de validation des documents (factures, commandes), assignez des validateurs qui sont des employés de cette même société. Un validateur d’une société A ne doit pas pouvoir valider un document de la société B.

  • Utilisez les champs personnalisés et les catégories : Créez un champ obligatoire "Code Société" ou "Entité Juridique" sur les formulaires clés si besoin d’une double vérification visuelle.

  • Séparation physique des flux bancaires : Ne partagez jamais un compte bancaire Dolibarr entre plusieurs sociétés, sauf à avoir un mécanisme de traitement ultra-rigoureux (et risqué). Chaque société doit avoir son propre jeu de comptes bancaires dans Dolibarr.

Étape 4 : Supervision et Audit Continu

Objectif : Détecter les anomalies en temps réel ou a posteriori.

  1. Activez et consultez régulièrement les journaux (Logs) :

    • Admin -> Logs : Filtrez par type d’action ("Création de facture", "Modification") et par utilisateur. Surveillez les actions菘» les sociétés par des utilisateurs non autorisés.

  2. Générez des rapports d’activité par société :

    • Utilisez les états prédéfinis (Liste des factures, ventes par produit) en filtrant systématiquement par société. Automatisez ces rapports si possible.

  3. Réalisez des audits internes mensuels/trimestriels :

    • Vérifiez un échantillon de transactions dans chaque société.

    • Confirmez que tous les créateurs/valideurs sont bien rattachés à la bonne entité.

    • Comparez les soldes des comptes comptables avec les relevés bancaires réels société par société.

Étape 5 : Formation et Documentation des Utilisateurs

Objectif : Éviter l’erreur humaine, principale source de problèmes.

  • Formez spécifiquement à la logique multi-sociétés : Un utilisateur doit savoir qu’il travaille dans un "cadre" (sa société) et ne jamais le quitter.

  • Créez un guide visuel simple : Une capture d’écran avec un entouré rouge sur le sélecteur de société dans l’interface Dolibarr. Insistez : "Vérifiez TOUJOURS ce champ avant toute action."

  • Incorporez la vérification de la société dans les procédures : Ex: "Avant de valider une facture, confirmez visuellement que le logo et le nom de la société en haut à droite correspondent au client concerné."

3. Solutions Avancées et Pièges à Éviter

  • Modules externes : Certains modules (comme "Advanced Multi-company" ou "Company Restriction") peuvent renforcer le cloisonnement. Testez-les en pré-production et évaluez si la complexité ajoutée vaut le bénéfice.

  • Ne pas confondre avec les "Contacts/Tiers" : Un client peut être commun à plusieurs sociétés (ex: un siège social et ses filiales). C’est un cas valide. La séparation se fait au niveau des documents (factures/commandes), qui, eux, doivent être rattachés à une société unique.

  • La base de données unique est un choix : Certains préfèrent une base par société (plus sûr, mais plus coûteux en maintenance). C’est une architecture différente, possible mais rare avec Dolibarr standard. La roadmap ci-dessus part du prisme de l’installation mono-base standard, la plus répandue.

4. Conclusion : La Sécurité est un État d’Esprit, Pas Juste un Paramètre

Verrouiller un Dolibarr multi-sociétés ne se résume pas à cocher des cases. C’est un dispositif composé de :

  • Une configuration technique stricte (droits utilisateurs, société par défaut).

  • Des processus métier robustes (validation croisée).

  • Une surveillance active (logs, audits).

  • Une culture utilisateur informée.

En suivant cette roadmap, vous transformez votreinstallation multi-sociétés d’une source de risque potentiel en un outil de gestion puissant et fiable, préservant l’intégrité financière et juridique de chaque entité que vous gérez. La première étape, et la plus cruciale, est l’audit. Sans cartographie précise, toute configuration reste aveugle. Commencez par là.

Publications similaires