Comment protéger ses données sensibles ? (2/2)

Partie 2 : une sphère en perpétuel progrès

Aujourd'hui, professionnellement, nous ne pouvons plus nous contenter que d’un site web pour constituer un unique moyen de mise à disposition du contenu ((pages HTML, CMS, framework, etc)

Au cours des années, les outils se sont complexifiés entraînant des vulnérabilités de sécurité car de nombreuses failles peuvent exister aussi bien autour d’un CMS, dans les sites marchands mais également dans les services annexes ou bibliothèques de code.  

Il est donc primordial d’être en parfaite maîtrise du périmètre de configuration, de mise à jour et de monitoring de l’intégralité des éléments.

Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter : 

Elsa Bestault
Directrice Commerciale

4. Mauvaises configurations de sécurité

Masquer les erreurs aux utilisateurs non autorisés et les journaliser avec un délai de rétention respectant le cadre le cadre de la légalité
La désactivation de protocoles de sécurité vulnérables doit être vérifiée et effective
Proscrire les snapshots de base de données, backups ou autre dump dans un dossier accessible au public
Modifier les mots de passe par défaut
Sécuriser les mots de passe
Sécuriser les environnements ((utilisation de SSH avec une clé, firewall pour filtrage des IPs, mise en place de bastions, etc)

5. Usage de composants à vulnérabilités connues

Etre à jour sur les services utilisés (pour Drupal, être à jour sur les éléments constitutifs: (le core, les modules contrib, les librairies tierces embarquées, etc)
Drupal 8 : Un pipeline CI/CD (Continuous Integration / Continuous Deployment) est fortement recommandé pour tester automatiquement l’ensemble des modifications apportées lors d’une mise à jour.
Souscription par un développeur Drupal aux notifications de sécurité annoncé par Drupal tous les mercredis soir

6. Journalisation insuffisante

Le journal doit, autant que possible, être écrit dans un fichier ou envoyé à un outil dédié (comme un ELK)
Le système de journalisation doit idéalement journaliser les tentatives de connexion SSH, les changements d’IP ou toute autre activité potentiellement suspecte.
Un système de monitoring doit être déployé pour permettre de suivre les tendances de trafic et les pics inhabituels d’activité des serveurs.

En conclusion, nous pouvons retenir que la sécurité est un domaine qui évolue perpétuellement impliquant une vigilance accrue tous les détails depuis la mise en place de l’infrastructure jusqu’au choix d’implémentation de code et aux versions de modules et autres composants. Il est même prudent de définir au cours d’un projet web un budget en prévision du cadrage de ces aspects comme un développement continu au même titre que le test fonctionnel ou unitaire.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders.