Selon la synthèse des chiffres de la vente à distance et de l'e-commerce en 2007/2008 publiée par la FEVAD (Fédération du e-commerce et de la vente à distance), 66% des 31,9 millions d'internautes en France ont déjà acheté en ligne, soit 21 millions de personnes, et le nombre de sites marchands actifs s'élevait à 36900 fin 2007, en forte progression. Le marché du e-commerce a représenté 16 milliards d'euros en 2007, en hausse de 34% par rapport à l'année précédente. Quant au marché du e-commerce B2B, il est estimé à plus de 13 milliards d'euros et 28% des entreprises françaises achètent en ligne. Et selon le dernier bilan trimestriel de la même FEVAD, les ventes sur internet ont continué de progresser de 30% en France au cours du premier trimestre.

Le maintien de cette explosion dans un contexte économique difficile s’explique par l’accroissement du nombre des clients. En un an, ce sont 3,1 millions d’acheteurs supplémentaires qui se sont ralliés aux achats sur Internet. Et le niveau de confiance continue de progresser, 62,4% des internautes ayant confiance dans l’achat en ligne (contre 60,8% au premier trimestre 2007). Quant à leur indice de satisfaction, il est de 97%.

Même si le volume des ventes en ligne ne représente encore que quelques pour cents des volumes totaux des échanges commerciaux (de 3,5 à 5 selon les secteurs), tous les indicateurs sont donc au vert côté e-commerce et des enseignes connues, comme decathlon.com, galerieslafayette.com ou fnac.com, et moins connues, comme enviedefraises.fr, chacunsoncafe.fr ou bienmanger.com fondent leur stratégie sur le e-commerce.

Deux mondes différents

Le e-commerce n'est donc plus une option mais bien une tendance de fond. Les fournisseurs de plateformes e-commerce fleurissent, qu'il s'agisse d'agences Web, d'éditeurs, d'hébergeurs, comme Kernix Software, ShopWeb, Oxadis ou Isys Groupe, pour n'en citer que quelques uns parmi une pléthore. Les offres sont souvent aguichantes et sexy et mettent en avant des délais d'implémentation souvent courts, parfois de l'ordre de 15 jours.

À l'opposé, l'ERP demeure une application centrale, de "back-office", solide et stable, qui était jusqu'ici rarement disponible à l'extérieur de l'entreprise (qu'il ne faut pas confondre d'ailleurs avec le "back-office" de l'application de e-commerce, qui permet à l'utilisateur d'administrer le site de "front office", c'est-à-dire celui visible par tout internaute).

La gestion des inévitables risques sécuritaires liés aux échanges de données rend absolument indispensable la connaissance précise de ce qui se passe entre l'application de e-commerce et l'ERP. De plus, avec les interfaces Web, la mobilité des collaborateurs et la poussée du mode ASP/SaaS, l'ERP – et donc les données qu'il gère – devient de plus en plus exposé.

De l'importance de l'intégration

Les possibilités techniques d'implémentation d'une solution de e-commerce sont très diverses et vont du module intégré à l'ERP à la plate-forme SaaS.

Certaines entreprises, en particulier celles démarrant à partir de zéro dans le e-commerce, ne disposent pas de back-office et font bien souvent du "Excel-processing" pour mettre à jour leurs stocks et leur gestion commerciale... quand elle existe. Mais nous sommes là dans la sphère de la TPE voire de l'entreprise unipersonnelle.

Dès qu'on s'intéresse à une entreprise plus structurée, des échanges définis de manière plus rigoureuse s'imposent. Ils doivnet en outre souvent se faire en quasi-temps réel. Au quotidien ils s'envisagent essentiellement à deux niveaux : la gestion des commandes et celle du stock, auxquels il convient de rajouter la mise-à-jour des tables de référence comme le catalogue et les tarifs.

La solution de facilité pour les entreprises est celle d'un serveur dédié à l'application de e-commerce, hébergé en interne ou en externe, lorsque ce n'est pas carrément une solution en mode SaaS, comme les proposent Bizboa, ShopWeb ou Ublo par exemple, ou hébergée, comme les solutions clé-en-main d'Oxatis par exemple. Avec une telle architecture, la question majeure et immédiate concerne la sécurité des échanges de données. La seconde concerne l'intégrité et la pertinence de ces mêmes données.

"Nous n'enregistrons pas encore de demande en mode SaaS en France" affirme Ludovic Lagneau, Directeur Commercial de Jeeves, qui propose un module e-commerce totalement intégré à Jeeves Enterprise. "En revanche, on nous demande maintenant systématiquement le module e-commerce. Alors qu'il y a quelques années c'était 'juste pour savoir si nous en avions un', aujourd'hui, les clients l'installent vraiment et l'utilisent" précise-t-il, confirmant en cela les tendances dont nous faisons état ci-dessus. Outre le fait que cela simplifie de manière drastique l’administration du site, les risques sécuritaires s'en voient considérablement réduits.

La plupart des éditeurs d'ERP proposent désormais un module de e-commerce. Ainsi, Qualiac propose-t-il un "Front Office" de prise de commandes destiné à des utilisateurs internes ou externes à l’entreprise. Chaque éditeur y va en fait de sa propre solution, présentant des caractéristiques techniques singulières : ainsi Isys propose-t-il iShop, une solution de e-commerce clé-en-main compatible Web 2.0. Mais Minos, le produit ERP proposé par la maison-mère d'Isys, Ordirope, reste néanmoins considéré comme un référentiel externe. Bien entendu, la synchronisation des données avec celles de Minos est possible, au même titre qu'avec d'autres ERP, mais iShop pouvant également fonctionner en installation isolée, les bases de données restent distinctes et par là même dupliquées. Les solutions existent même dans le monde du logiciel libre : ainsi Tiny ERP est-il notamment intégré avec le module e-commerce de ezPublish, Oscommerce et eSale au niveau de la gestion des clients, des stocks, des ventes et des produits.

Si la voie royale est à n'en pas douter celle de l'intégration la plus étroite possible avec le back-office et de l'unicité des bases de données, ce n'est pas le cas général des solutions proposées et mises en place et les risques tant sécuritaires que d'intégrité se multiplient avec les interfaces et les applicatifs.

Les solutions simples, comme l'isolement des informations confidentielles et de leur traitement sur des postes non-connectés au réseau, sont souvent les plus efficaces

Des risques parfois insoupçonnés

Lorsqu'application de e-commerce et ERP ne sont pas sur le même serveur voire sur le même site, l'éloignement génère, outre la duplication des bases de données et donc des décalages potentiels, d'inévitables soucis de sécurité et de validation des données échangées. Bien sûr, les solutions techniques, comme les VPN, le cryptage et les transactions sécurisées, existent. Mais sont elles toujours suffisantes ?

Quoi qu'elles en pensent, les entreprises possèdent toutes des informations intéressantes. C'est particulièrement vrai lorsqu'on s'intéresse au e-commerce, domaine éminemment concurrentiel, puisque relevant du... commerce. Si le vol de supports informatiques (portables, clés USB...) est un risque généralement identifié et maîtrisé, l'interception ou l'usurpation d'identité avec les courriels et plus généralement des communications, l'est moins. Les intrusions directes sur le réseau et/ou le SI de l'entreprise sont également un risque potentiel lorsque trop de portes demeurent ouvertes. C'est justement à ce niveau que tout se joue, en matière de e-commerce.

Il convient aussi de ne pas oublier les risques liés aux collaborateurs, qu'il s'agisse de se prévenir d'éventuelles malveillances de leur part (moins rares que l'on croit) ou de leur crédulité, offerte en pâture à toutes sortes de techniques de "phishing" ou "hameçonnage" et autres usurpations d'identité.

Des mesures simples

Les solutions simples, comme l'isolement des informations confidentielles et de leur traitement sur des postes non-connectés au réseau, sont souvent les plus efficaces. Si en plus on évite d'en autoriser l'exportation en évitant de les placer sur un portable et en désactivant les ports USB du poste en question, c'est encore mieux.

Ramenées au e-commerce, ces mesures simples concernent notamment l'identification des points d'accès, en particulier WiFi. Il convient aussi de mettre en place une traçabilité des transactions, c'est-à-dire d'éviter les déversements batch sans horodatage ni identification bien précise de la source et de l'utilisateur. S'assurer de l'identité de son interlocuteur semble une mesure de simple bon sens, pourtant pas toujours mise en œuvre dans les échanges batch. Alors que l'on se préoccupe volontiers du cryptage SSL et des certificats émis par des tiers de confiance lors de la commande en elle-même, il n'en est pas toujours ainsi lors de la mise à niveau de la base de données de back-office par le front-office.


L'objectif de ces lignes n'est certainement pas de semer le doute ni de faire hésiter les décideurs. D'ailleurs, le mouvement vers le e-commerce est inéluctable et déjà bien avancé. Si en revanche nous avons réussi à sensibiliser les responsables informatiques en entreprise aux risques potentiels inhérents à la mise en place d'un tel outil et à l'intérêt de l'intégration la plus étroite possible, nous aurons atteint notre but.

Benoît Herr