Est-ce qu'Odoo garantit la sécurité et la disponibilité de mes données ?

Odoo est un ERP puissant et polyvalent, très prisé pour gérer divers aspects d'une entreprise, de la comptabilité à la gestion des ressources humaines, en passant par la relation client et la gestion des fournisseurs. En utilisant Odoo, vous y déposez et créez des données sensibles, qu'elles soient financières, opérationnelles, ou personnelles, concernant vos clients, employés et fournisseurs. Dès lors, il est légitime de se poser des questions essentielles sur la sécurité et la confidentialité de ces données. Restez-vous propriétaire de vos informations ? Sont-elles suffisamment sécurisées ? Existe-t-il des garanties contre les interruptions de service, car une panne d'Odoo, même de quelques minutes, peut avoir des conséquences catastrophiques pour votre entreprise. Voici un aperçu des solutions d'hébergement proposées par Odoo et des niveaux de sécurité associés.

L’hébergement de mes données dans Odoo est-il sécurisé ?

Pour répondre à cette question, il faut comprendre qu’il existe deux types d’hébergement d’Odoo : SaaS et On-Premise.

Ces deux alternatives présentent des niveaux de sécurité différents.

Sécurité de la formule SaaS

Le service Odoo en mode SaaS repose sur une infrastructure gérée par le fournisseur :

• Mesures de sécurité strictement définies
• Mises à jour automatiques et maintenance continue
• Redondance efficace pour réduire le risque de perte de données

Cependant, le contrôle intégral des informations reste sous la gestion d’Odoo.

Sécurité de l'On-Premise

Odoo On-Premise offre un contrôle total aux utilisateurs :

• Confidentialité des données sur leurs propres serveurs
• Vigilance active en matière de sécurité requise
• Mises à jour régulières et protection contre les attaques
• Sauvegardes régulières nécessaires

Une configuration adéquate devient donc primordiale.

Existe-t-il des garanties contre les interruptions de service ?

Odoo et ses partenaires d'hébergement proposent plusieurs garanties et mesures pour minimiser les risques d'interruption de service :

Garantie de disponibilité pour le mode SaaS et SH

La plupart des fournisseurs d'hébergement Odoo offrent une garantie de disponibilité de 99,9 %. Cela signifie que le temps d'arrêt maximal autorisé est d'environ 8,76 heures par an.

Surveillance et maintenance proactive

Les mesures incluent :

• Surveillance 24/7 des serveurs pour détecter et résoudre rapidement les anomalies.
• Mises à jour régulières du système d'exploitation et des composants Odoo pour maintenir la stabilité et la sécurité.
• Gestion automatique des correctifs de sécurité pour prévenir les vulnérabilités.

Infrastructure redondante

Les caractéristiques comprennent :

• Réplication en temps réel des bases de données sur un stockage redondant dans le même centre de données.
• Possibilité de basculement rapide en cas de défaillance matérielle, sans perte de données.

Protection contre les menaces

Les protections incluent :

• Défense contre les attaques DDoS grâce à des systèmes de mitigation automatiques et manuels.
• Protection contre les attaques par force brute et autres menaces de sécurité.
• Logiciels antivirus, anti-malware et anti-ransomware installés sur les serveurs.

Haute disponibilité

Certains fournisseurs proposent des configurations en haute disponibilité pour assurer une continuité de service maximale.

Recommandations

Malgré ces garanties, il est important de noter qu'aucun système n'est totalement à l'abri des pannes. Il est recommandé de :

• Choisir un hébergeur fiable avec un bon accord de niveau de service (SLA).
• Mettre en place un plan de continuité d'activité.
• Effectuer des sauvegardes régulières de vos données.
• Considérer une solution d'hébergement haute disponibilité pour les entreprises critiques.

En suivant ces recommandations, vous pouvez considérablement réduire les risques d'interruption de service et leurs impacts potentiels sur votre entreprise.

Où sont hébergées mes données si j’utilise Odoo en SaaS ?

Vos données Odoo en mode SaaS sont hébergées sur des serveurs cloud gérés par Odoo, en partenariat avec des fournisseurs tels qu'OVHcloud et Google Cloud Platform.

Ces centres de données sont situés en Europe, garantissant ainsi une conformité avec les réglementations locales en matière de protection des données.

Cette collaboration avec des leaders du cloud européen assure une infrastructure sécurisée, fiable et conforme aux normes de sécurité et de confidentialité en vigueur.

Pour en savoir plus sur la collaboration entre OVHcloud et Odoo, vous pouvez visionner la vidéo suivante :

Normes de sécurité du cloud Odoo

Le cloud Odoo respecte les normes :

• ISO 27001
• GDPR

Son infrastructure repose sur des centres de données ultra sécurisés :

• Chiffrement systématique des sauvegardes
• Surveillance continue
• Redondance des données pour assurer la continuité du service

Sécurisation des communications et des données

Toutes les communications avec Odoo sont sécurisées grâce aux protocoles :

• TLS
• SSL

Cela garantit la confidentialité des échanges de données et prévient les attaques “man-in-the-middle".

Chiffrement des données

Les données stockées sont cryptées de manière robuste :

• AES-256 standard largement adopté
• Protection efficace des fichiers et bases de données

Accéder aux fichiers ne serait pas utile à un pirate informatique sans le code de déchiffrement approprié.

Gestion des accès et authentification

La gestion des accès et l'authentification sont essentielles :

• Authentification à plusieurs facteurs (AMF)
• Envoi de codes temporaires ou utilisation d'applications d'authentification

Un simple mot de passe n'est pas suffisant.

Précision des rôles et permissions

Cette précision limite les erreurs humaines et diminue les risques internes :

• Définition précise des rôles pour restreindre l'accès aux données sensibles
• Consultation des informations financières et comptables
• Modification ou exportation des données

Une bonne configuration des autorisations d'accès est cruciale pour obtenir un résultat optimal.

Intégrateur Odoo sur-mesure

Optimisez votre gestion avec Odoo ERP : ventes, achats, comptabilité, CRM. Prelium vous accompagne pour une solution 100% adaptée.

Contactez-nous !

Authentification à deux facteurs (2FA) dans Odoo

Odoo implémente l'authentification à deux facteurs (2FA) pour renforcer la sécu­rité des comptes utilisateurs. Voici comment fonctionne cette fonctionnalité :

Configuration de la 2FA

1. L'utilisateur accède à ses préférences ou son profil dans Odoo.
2. Dans l'onglet "Sécurité du compte", il active l'option d'authentification à deux facteurs.
3. Odoo génère un code QR ou un code secret que l'utilisateur doit scanner ou saisir dans une application d'authentification sur son smartphone (comme Google Authenticator, Microsoft Authenticator, etc.).
4. L'utilisateur entre un code de vérification généré par l'application pour finaliser l'activation.

Processus de connexion avec 2FA

1. L'utilisateur saisit son nom d'utilisateur et son mot de passe comme d'habitude.
2. Odoo affiche ensuite un écran supplémentaire demandant un code de vérification.
3. L'utilisateur ouvre son application d'authentification et entre le code généré pour ce compte Odoo spécifique.
4. Une fois le code validé, l'accès à Odoo est accordé.

Odoo est-il sécurisé face aux cyberattaques ?

Les cyberattaques ciblent en priorité les données sensibles. Odoo, comme tout système connecté, doit se protéger contre les tentatives de piratage, l’usurpation d’identité et les attaques par ransomwares. Un bon paramétrage et des pratiques rigoureuses limitent drastiquement ces risques.

Sécurisation des identifiants et des sessions

Un mot de passe faible ouvre une porte aux hackers. Odoo impose des règles strictes :

• Longueur minimale
• Caractères spéciaux
• Interdiction des mots trop simples

Mais ça ne suffit pas. On recommande d’utiliser un gestionnaire de mots de passe pour éviter la réutilisation et les fuites.

Une session ouverte trop longtemps devient une faille. Odoo gère l’expiration automatique des connexions après une période d’inactivité. Les connexions simultanées suspectes déclenchent aussi des alertes. Impossible pour un pirate de se connecter discrètement depuis un autre appareil sans que l’utilisateur ne s’en rende compte.

Détection et prévention des intrusions

Un firewall bloque les connexions non autorisées. Odoo SaaS bénéficie d’une protection réseau avancée qui filtre les accès malveillants. Pour une installation On-Premise, il faut configurer un pare-feu et limiter les accès externes au strict nécessaire.

Les journaux d’audit enregistrent chaque action. Consultation d’un document comptable, modification d’un utilisateur, export de données... Tout est tracé. On peut surveiller ces journaux pour détecter une activité inhabituelle et intervenir avant qu’un incident ne survienne.

Protection contre le phishing et les ransomwares

Les hackers exploitent l’erreur humaine. Un clic sur un email piégé, et c’est l’ensemble du système qui est compromis. La formation des utilisateurs devient une barrière essentielle. On apprend à :

• Repérer les emails suspects
• Ne jamais cliquer sur un lien douteux
• Vérifier l’expéditeur avant d’agir

Odoo s’intègre avec des solutions de sécurité avancées. Un bon filtrage des emails, une analyse automatique des pièces jointes et une alerte en cas de tentative d’usurpation protègent les données. Mieux vaut prévenir que guérir, surtout face aux ransomwares qui chiffrent les fichiers et réclament une rançon.

Odoo et le programme STAR

Odoo participe au programme Security Trust Assurance and Risk (STAR) de la Cloud Security Alliance (CSA). Qu'est-ce que cela veut dire ?

Signification de la participation d'Odoo

Le programme STAR est une initiative visant à fournir une évaluation complète des pratiques de sécurité des fournisseurs de services cloud. Lorsque Odoo participe à ce programme, cela signifie que l'entreprise a soumis ses pratiques et processus de sécurité à un audit rigoureux, permettant aux clients d'obtenir des garanties concernant la protection de leurs données et la gestion des risques.

Éléments inclus dans le programme

Concrètement, cela inclut plusieurs éléments :

• Évaluation des risques : Odoo doit évaluer et documenter les risques associés à son environnement cloud et à ses pratiques de sécurité.
• Transparence : En participant à STAR, Odoo publie des informations détaillées sur ses politiques de sécurité et de confidentialité, permettant ainsi à ses clients de prendre des décisions éclairées.
• Conformité aux meilleures pratiques : Odoo doit suivre les meilleures pratiques et normes de sécurité, souvent en accord avec des standards comme ISO 27001, SOC 2, et d'autres certifications pertinentes.

Mes données financières restent-elles confidentielles dans odoo ?

Odoo prend plusieurs mesures pour garantir la sécuirté de vos données financières, notamment celles liées à votre banque :

Chiffrement et protection des données

• Toutes les communications de données, y compris les informations bancaires, sont protégées par un chiffrement SSL 256 bits (HTTPS).
• Les données des clients sont chiffrées au repos, à la fois pour les bases de données de production et les sauvegardes, en utilisant AES-128 ou AES-256.

Sécurité des informations bancaires

• Odoo ne stocke jamais les informations relatives aux cartes de crédit sur ses propres systèmes.
• Les informations de carte de crédit sont transmises de manière sécurisée directement entre vous et les acquéreurs de paiement conformes PCI.

Synchronisation bancaire sécurisée

• Pour la synchronisation bancaire, Odoo utilise des fournisseurs tiers comme Enable Banking qui offrent une connectivité non intrusive aux API officielles des banques sans stocker de données.
• Lors de la synchronisation, vous devez donner votre consentement explicite pour partager vos informations de compte avec Odoo.

Contrôle d'accès et isolation des données

• Odoo implémente un contrôle d'accès granulaire basé sur les rôles, permettant de restreindre l'accès aux données financières sensibles.
• Les données des clients sont stockées dans des bases de données dédiées, avec une isolation complète entre les bases de données des différents clients
• Odoo vous permet de paramétrer des droits de visualisation sur les différents modules et fonctionnalités. Ainsi, vous pouvez restreindre l'accès aux données bancaires uniquement à votre comptable et les masquer pour le reste de l'équipe

Mes données dans odoo sont-elles bien ma propriété ?

Lorsque vous utilisez Odoo, vos données restent votre propriété. Que vous optiez pour la formule SaaS ou pour une installation On-Premise, Odoo s'engage à garantir la confidentialité et la sécurité de vos informations. Voici quelques points clés à considérer :

Formule SaaS

• Propriété des données : Vos données sont hébergées sur les serveurs cloud d'Odoo, mais elles restent votre propriété exclusive. Odoo ne revendique aucun droit sur vos informations.
• Accès et contrôle : Bien que les données soient stockées sur les serveurs d'Odoo, vous conservez le contrôle total sur l'accès et la gestion de ces données. Vous pouvez définir des rôles et des permissions pour restreindre l'accès aux informations sensibles.
• Sécurité et conformité : Odoo respecte les normes de sécurité et de conformité, telles que l'ISO 27001 et le GDPR, pour garantir la protection de vos données.

Extrait des CGV de Odoo :

Installation On-Premise

• Propriété des données : Avec une installation On-Premise, vos données sont stockées sur vos propres serveurs. Vous avez un contrôle total sur l'emplacement physique et la gestion de vos informations.
• Responsabilité : En tant qu'utilisateur On-Premise, vous êtes responsable de la sécurité et de la maintenance de vos serveurs. Cela inclut la mise en place de mesures de sécurité, la réalisation de sauvegardes régulières et la protection contre les cyberattaques.
• Personnalisation : Vous pouvez personnaliser votre installation Odoo selon vos besoins spécifiques, tout en conservant la propriété et le contrôle de vos données.

Récupération des données

• Exportation : Odoo propose plusieurs méthodes pour exporter vos données, que ce soit via des outils intégrés, des accès directs à la base de données ou des API. Vous pouvez récupérer vos informations à tout moment.
• Migration : Si vous décidez de migrer vers un autre ERP, vous pouvez exporter vos données d'Odoo. Cependant, cela nécessite une planification minutieuse pour garantir l'intégrité et la compatibilité des données avec le nouveau système.

En résumé, vos données dans Odoo sont bien votre propriété, que vous utilisiez la formule SaaS ou une installation On-Premise. Odoo s'engage à garantir la confidentialité et la sécurité de vos informations, tout en vous offrant les outils nécessaires pour les gérer et les récupérer selon vos besoins.

Sauvegarde et récupération des données dans Odoo

Perdre des données, c’est le pire scénario possible. Un simple bug, une erreur humaine ou une cyberattaque peuvent tout effacer en quelques secondes. Odoo intègre des mécanismes de sauvegarde avancés pour éviter ce genre de catastrophe. Mais encore faut-il s’assurer que tout fonctionne correctement et tester régulièrement les restaurations.

Politique de sauvegarde automatique

Odoo SaaS sauvegarde chaque base de données quotidiennement et conserve jusqu’à 14 copies sur une période de trois mois. Ces sauvegardes suivent un cycle précis :

• Une par jour pendant 7 jours.
• Une par semaine pendant 4 semaines.
• Une par mois pendant 3 mois.

Toutes ces copies sont répliquées sur trois centres de données situés sur deux continents différents. En cas de sinistre dans un centre, les données restent accessibles ailleurs.

Tester la restauration des données est indispensable. Odoo permet de télécharger manuellement des sauvegardes via son panneau de contrôle. En cas de besoin, une demande de restauration permet de récupérer l’ensemble des informations en quelques heures. Une sauvegarde inutilisable ne sert à rien, alors autant s’assurer qu’elle fonctionne avant qu’un problème survienne.

Que se passe-t-il si je décide de changer d’ERP et quitter Odoo ?

Puis-je récupérer mes données facilement ?

Migration vers un autre ERP

Si vous souhaitez migrer vers un autre ERP et quitter Odoo, la récupération de vos données est possible, mais elle requiert une planification minutieuse. Voici les éléments essentiels à prendre en compte :

Exportation des données

Odoo propose plusieurs méthodes pour exporter vos données :

• Outil d'exportation intégré : Permet de générer des fichiers CSV ou Excel pour la plupart des modules.
• Accès direct à la base de données : Pour des extractions complexes, via des requêtes SQL.
• API REST d'Odoo : Extraction programmatique des données.

Points à considérer

• Intégrité des données : Vérifiez l'exportation complète des données, y compris les liens entre les tables.
• Format des données : Les données exportées devront probablement être adaptées au format du nouvel ERP.
• Données historiques : Déterminez la quantité de données historiques à transférer.

Défis potentiels

• Différences de structure : La structure de données d'Odoo peut différer de celle du nouvel ERP, nécessitant un mappage précis.
• Personnalisations spécifiques : Certaines personnalisations dans Odoo n’auront peut-être pas d’équivalent dans le nouveau système.
• Migration des documents et fichiers : Des précautions supplémentaires seront nécessaires pour la migration des fichiers attachés.

Recommandations

• Planification détaillée : Identifiez toutes les données essentielles à exporter.
• Tests de migration : Effectuez des tests d’exportation et d’importation dans un environnement de test avant de migrer définitivement.
• Assistance spécialisée : Envisagez de faire appel à des experts en migration ERP pour garantir une transition fluide.
• Période de transition : Prévoyez une phase où les deux systèmes fonctionnent parallèlement pour assurer la continuité des activités.

En résumé, bien que la récupération des données d’Odoo soit possible, elle nécessite une approche structurée, surtout si votre installation est complexe.