Introduction
Dolibarr est l’une des solutions ERP et CRM les plus populaires pour les PME et les organisations non‑lucratives. Sa souplesse, son accès gratuit et son architecture modulaire en font un excellent choix, mais la sécurité – notamment la conformité RGPD, la gestion des accès et la protection contre les injections – reste une préoccupation majeure.
Zapier, plateforme d’automatisation « no‑code », peut devenir un allié précieux pour :
- Réduire le nombre de saisies manuelles (donc les erreurs)
- Centraliser les échanges entre Dolibarr et d’autres outils (mail, comptabilité, CRM, outils de BI…)
- Mettre en place des vérifications de sécurité automatisées (alerte sur une connexion suspecte, désactivation d’un compte inactif, etc.)
Cet article propose une méthode pas à pas, répartie sur 30 jours, pour mettre en œuvre ces automatisations tout en renforçant la posture de sécurité de Dolibarr. Chaque semaine est découpée en objectifs concrets, des exemples de Zaps (workflows Zapier) et les bonnes pratiques à appliquer.
Note : Les étapes ne nécessitent aucune connaissance de développement. Vous avez uniquement besoin d’un compte Zapier (gratuit ou payant) et d’une instance Dolibarr disposant d’une API REST activée.
Prérequis
| Élément | Description | Action |
|---|---|---|
| Dolibarr | Version ≥ 10.0 (API REST activée) | Vérifier Accueil → Configuration → API |
| Zapier | Compte (gratuit suffit pour les premiers Zaps) | Créer un compte sur zapier.com |
| Webhooks | Si vous utilisez un serveur externe (ex. : serveur de logs) | Activer les Webhooks dans Dolibarr (API → Webhooks) |
| Permissions | Création de Roles et Users avec droits limités | Privilégier le rôle Administrateur limité pour les automatisations |
| Outils de surveillance | Exemple : Google Sheets, Gmail, ou un tableau de suivi de logs | Décider d’un canal d’alertes (mail, Slack, etc.) |
Planification des 30 jours
| Semaine | Objectif principal | Zaps clés | Résultat attendu |
|---|---|---|---|
| Jour 1‑7 | Cartographie & mise en place de l’API | 1. Connecter Dolibarr à Zapier via API 2. Créer un rôle “API‑User” | API fonctionnelle, documentation des endpoints |
| Jour 8‑14 | Automatisation des sauvegardes & logs | 3. Sauvegarde quotidienne des enregistrements clés 4. Envoi d’une alerte en cas d’erreur | Sauvegardes planifiées, logs centralisés |
| Jour 15‑21 | Contrôle d’accès & gestion des comptes | 5. Détection de connexion suspecte 6. Suspension automatique des comptes inactifs | Réduction du risque d’accès non autorisé |
| Jour 22‑30 | Monitoring & audit continu | 7. Rapport hebdomadaire de conformité 8. Audit mensuel automatisé | Tableau de bord en temps réel, historique d’audit |
Semaine 1 – Cartographie & Activation de l’API
1️⃣ Activer l’API REST de Dolibarr
- Connectez‑vous à l’admin de Dolibarr.
- Menu → Configuration → API
- Cochez « Activer l’API REST ». 4. Créez un Token d’API (ex. :
my_api_token_2025). Copiez‑le.
Bonne pratique : gardez le token dans un gestionnaire de mots de passe sécurisé.
2️⃣ Créer un rôle dédié aux automatisations
- Menu → Utilisateurs → Rôles → Ajouter un rôle
- Nom :
API‑Automation - Permissions : Lecture/Écriture uniquement sur les tables Commande, Client, Produit (ou les tables spécifiques dont vous avez besoin).
- Désactivez Tous les accès sauf ceux nécessaires.
3️⃣ Configurer le compte Zapier
- Dans Zapier, cliquez sur « Create Zap ».
- App Trigger : « App Trigger – Webhooks by Zapier » → Choisissez “Pick an account” > “Set up Trigger” > Webhooks by Zapier → “Catch Hook”.
- Copiez l’URL du webhook et collez‑la dans Dolibarr → Configuration → API → Webhook (vous pouvez créer un endpoint « /zapier‑hook »).
Résultat : Dolibarr peut désormais recevoir des appels HTTP à l’URL générée par Zapier.
4️⃣ Test rapide (Day 5)
- Créez un « Client » dans Dolibarr.
- Dans Zapier, cliquez sur « Test Trigger » pour vérifier que le webhook déclenche un événement. – Enregistrez le Zap sous le nom “Dolibarr – Enregistrement client”.
Semaine 2 – Automatisation des sauvegardes & des logs
5️⃣ Sauvegarde quotidienne des données critiques
Zap 5 – “Sauvegarde des commandes du jour”
| Étape | Action Zapier |
|---|---|
| Trigger | Schedule – Every Day at 02:00 AM (heure UTC ou locale selon votre serveur) |
| Action 1 | Webhooks – GET – URL : https://votre-domaine.com/dolibarr/api/diagnostic?range=commandes?date=last_24h (exemple) |
| Action 2 | Google Sheets – Create Spreadsheet Row – ajoutez chaque ligne à une feuille “Sauvegarde‑2025‑MM‑JJ”. |
| Action 3 | Gmail – Send Email – Destinataire : votre adresse de sauvegarde, sujet = “Sauvegarde quotidienne Dolibarr”, corps contenant le lien du fichier. |
Sécurité : Restreignez l’accès à la feuille Google → partage uniquement avec les membres de l’équipe IT.
6️⃣ Envoi d’une alerte en cas d’erreur
Zap 6 – “Alerte erreur API”
| Étape | Action |
|---|---|
| Trigger | Webhooks – Catch Hook (déclenché lorsqu’un appel API renvoie un code d’erreur >= 400) |
| Action 1 | Filter – ne passer que si le champ error_code existe |
| Action 2 | Slack – Send Channel Message – canal #security-alerts avec le message d’erreur |
| Action 3 | Task History – Zapier conserve un historique – activez les notifications par email si nécessaire |
Résultat : Vous recevez immédiatement un signal lorsqu’un problème survient, évitant ainsi une perte de notifications.
Semaine 3 – Contrôle d’accès & gestion des comptes
7️⃣ Détection de connexion suspecte (anomalie géographique ou adresse IP)
Zap 7 – “Alerte connexion hors France”
| Étape | Action |
|---|---|
| Trigger | Webhooks – Catch Hook – Dolibarr envoie un POST à /api/auth/session avec le IP et le User‑Agent |
| Action 1 | Formatter – Lookup Table – compare l’IP à une table blanche (ex. IP de vos bureaux). |
| Action 2 | Filter – laisse passer uniquement les IP non‑blanches |
| Action 3 | Gmail – Send Email – “Connexion suspecte détectée – utilisateur X depuis IP Y” |
| Action 4 | Tasks – Stop Zap – option “Stop Zap” pour désactiver temporairement le compte (si vous avez intégré l’API “User Disable”). |
Astuces : Utilisez l’API
GET /user/{id}pour récupérer le nom d’utilisateur et le role associé afin d’enrichir le message d’alerte.
8️⃣ Suspension automatique des comptes inactifs
Zap 8 – “Auto‑disable accounts after 90 jours d’inactivité”
| Étape | Action |
|---|---|
| Trigger | Schedule – Every Day à 03:00 AM |
| Action 1 | Webhooks – GET – URL /api/users?inactive=true&last_login_before=90d (exemple de paramètre factice à implémenter via un custom endpoint dédié) |
| Action 2 | Looping – For Each User – itère sur la liste renvoyée |
| Action 3 | Webhooks – POST – /api/users/{id}/disable (action désactivation) |
| Action 4 | Gmail – Send Email – notification à l’administrateur et à l’utilisateur concerné (si le compte possède un email enregistré) |
Bonne pratique : Créez un Job Cron côté serveur Dolibarr qui expose ce endpoint “/api/users/inactive” et renvoie les données attendues.
Semaine 4 – Monitoring & Audit continu
9️⃣ Rapport hebdomadaire de conformité
Zap 9 – “Rapport hebdo – Export des accès critiques”
| Étape | Action |
|---|---|
| Trigger | Schedule – Every Monday 07:00 AM |
| Action 1 | Webhooks – GET – /api/audit/access?period=last_week |
| Action 2 | Formatter – Current Date – ajoute la date au titre du tableau |
| Action 3 | Google Sheets – Create Spreadsheet – “Conformité – Semaine XX‑2025” |
| Action 4 | Google Sheets – Add Rows – chaque accès (user, table, date, IP) → ligne du tableau |
| Action 5 | Mail – Send Digest – résumé envoyé à l’adresse du DPO (Data Protection Officer) |
Conformité RGPD : Incluez la colonne “legal basis” (ex. : “consentement”, “exécution d’un contrat”) si vous les avez enregistrées dans Dolibarr. ### 🔟 Audit mensuel automatisé (exfiltration des logs)
Zap 10 – “Export des logs de sécurité vers API externe”
| Étape | Action |
|---|---|
| Trigger | Schedule – Every 1st of the month 02:00 AM |
| Action 1 | Webhooks – GET – /api/logs/security?range=last_month |
| Action 2 | Formatter – JSON – transforme les données en tableau JSON compact |
| Action 3 | Webhooks – POST – URL de votre SIEM ou plateforme d’audit (ex. : https://siem.example.com/ingest) |
| Action 4 | Slack – Send Success Message – « Audit mensuel terminé », canal #security-ops |
Sécurité additionnelle : Ajoutez un secret header dans le POST (ex.
X-Api-Key: abcdef123456) afin que seul votre serveur puisse accepter les payloads.
Bilan des 30 jours | Point clé | Action réalisée | Bénéfice attendu |
|———–|—————-|——————|
| API activée & sécurisée | Création d’un token dédié, rôle limité | Accès contrôlé, moindre surface d’attaque |
| Sauvegardes automatisées | Zap de sauvegarde quotidienne + alerte | Gain de temps, récupération rapide en cas de sinistre |
| Alertes en temps réel | Zaps d’anomalie de connexion & d’erreur API | Réaction immédiate face aux incidents |
| Gestion des comptes | Désactivation automatiques & audit des inactifs | Réduction du risque d’accès résiduel |
| Reporting & audit | Rapporthebdo + audit mensuel | Traçabilité complète, conformité RGPD renforcée |
| Documentation | Création d’un tableau de suivi Zapier | Transparence pour l’équipe IT & le DPO |
Checklist de mise en production (Avant le jour 30) 1. Test complet : Simuler chaque scénario (connexion suspecte, erreur API, désactivation de compte).
- Permissions : Vérifier que le rôle API‑Automation ne possède que les droits strictement nécessaires.
- Secrets : Stocker les tokens API et clés webhook dans le Zapier “Secrets” (Zapier > Settings > Secrets).
- Tests de charge : Simuler 100 appels simultanés à lendpoint Zapier pour s’assurer que le serveur ne sature pas.
- Documentation interne : Rédiger un SOP (Standard Operating Procedure) décrivant chaque Zap, son déclencheur et les contacts d’urgence. 6. Plan de reprise : Prévoir un rollback (déactivation du Zap) en cas d’incident majeur.
FAQ rapide
| Question | Réponse |
|---|---|
| Puis‑je utiliser la version gratuite de Zapier ? | Oui, jusqu’à 100 tâches/mois. Pour un environnement de production, l’offre Starter (≈ 2 000 tâches/mois) reste très raisonnable. |
| Dois‑je héberger mon propre serveur webhook ? | Pas obligatoirement. Vous pouvez simplement activer le Webhook “POST /api/auth/session” de Dolibarr vers l’URL Zapier (Zapier fournit un endpoint public). |
| Comment chiffrer les données sensibles avant de les envoyer sur Google Sheets ? | Utilisez le module Formatter → Encrypt de Zapier (AES‑256) pour crypter le payload avant l’insertion. |
| Est‑ce que je peux intégrer Slack ou Teams pour les alertes ? | Absolument. Zapier propose des actions native “Slack – Send Channel Message” et “Microsoft Teams – Post a Message”. |
| Quel est l’impact sur les performances de Dolibarr ? | Les appels API sont légers (JSON REST). Limitez les requêtes lourdes (ex. : SELECT FROM llx_propale*) à des endpoints read‑only ou créez des vues SQL dédiées. |
Conclusion
En suivant cette méthode en 30 jours, vous transformez Dolibarr d’un ERP « simple » en une plateforme sécurisée, automatisée et traçable grâce à Zapier.
- Sécurité : moindres surfaces d’attaque grâce à des rôles RESTricting, alertes en temps réel et désactivation automatique des comptes.
- Efficacité : sauvegardes et audits qui s’exécutent sans intervention manuelle.
- Conformité : reporting structuré pour le DPO, archivage des logs conforme aux exigences RGPD.
Pensez à réviser régulièrement les Zaps (au moins tous les 3 mois) pour intégrer de nouvelles évolutions fonctionnelles ou de nouvelles menaces de sécurité. La combinaison d’une API bien configurée et d’une automatisation proactive vous garantit une posture de sécurité toujours à la pointe, tout en vous libérant du temps précieux pour des projets à plus forte valeur ajoutée.
Vous avez mis en place ces automatisations ? Partagez votre retour d’expérience ou posez vos questions dans le forum Dolibarr & Zapier de votre communauté.
Auteur : [Votre Nom], consultant sécurité & automatisation – spécialiste Dolibarr & no‑code.