Comment protéger ses données sensibles ? (2/2)

icone/30/left arrow long

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien

Populaires

16 mar 2021
Qu'est-ce qu'un Expert Drupal ?
Expertises
C ...
30 mar 2021
Nexus Scrum : Comment gérer plusieurs équipes en méthode Agile ?
Stratégie Di ...
21 jan 2021ExpertisesPerformance et SécuritéStratégie Digitale

Partie 2 : une sphère en perpétuel progrès

Aujourd'hui, professionnellement, nous ne pouvons plus nous contenter que d’un site web pour constituer un unique moyen de mise à disposition du contenu ((pages HTML, CMS, framework, etc)

Au cours des années, les outils se sont complexifiés entraînant des vulnérabilités de sécurité car de nombreuses failles peuvent exister aussi bien autour d’un CMS, dans les sites marchands mais également dans les services annexes ou bibliothèques de code.  

Il est donc primordial d’être en parfaite maîtrise du périmètre de configuration, de mise à jour et de monitoring de l’intégralité des éléments.

Comment protéger ses données sensibles ?

4. Mauvaises configurations de sécurité

Masquer les erreurs aux utilisateurs non autorisés et les journaliser avec un délai de rétention respectant le cadre le cadre de la légalité
La désactivation de protocoles de sécurité vulnérables doit être vérifiée et effective
Proscrire les snapshots de base de données, backups ou autre dump dans un dossier accessible au public
Modifier les mots de passe par défaut
Sécuriser les mots de passe
Sécuriser les environnements ((utilisation de SSH avec une clé, firewall pour filtrage des IPs, mise en place de bastions, etc)

5. Usage de composants à vulnérabilités connues

Etre à jour sur les services utilisés (pour Drupal, être à jour sur les éléments constitutifs: (le core, les modules contrib, les librairies tierces embarquées, etc)
Drupal 8 : Un pipeline CI/CD (Continuous Integration / Continuous Deployment) est fortement recommandé pour tester automatiquement l’ensemble des modifications apportées lors d’une mise à jour.
Souscription par un développeur Drupal aux notifications de sécurité annoncé par Drupal tous les mercredis soir

6. Journalisation insuffisante

Le journal doit, autant que possible, être écrit dans un fichier ou envoyé à un outil dédié (comme un ELK)
Le système de journalisation doit idéalement journaliser les tentatives de connexion SSH, les changements d’IP ou toute autre activité potentiellement suspecte.
Un système de monitoring doit être déployé pour permettre de suivre les tendances de trafic et les pics inhabituels d’activité des serveurs.

En conclusion, nous pouvons retenir que la sécurité est un domaine qui évolue perpétuellement impliquant une vigilance accrue tous les détails depuis la mise en place de l’infrastructure jusqu’au choix d’implémentation de code et aux versions de modules et autres composants. Il est même prudent de définir au cours d’un projet web un budget en prévision du cadrage de ces aspects comme un développement continu au même titre que le test fonctionnel ou unitaire.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders.

  • Sécurité
  • Devops

À la une

16 mar 2021
Qu'est-ce qu'un Expert Drupal ?

Devenu depuis ces dernières années le standard incontournable sur le marché, Drupal est un framework de gestion de contenu open source (CMF) qui met à disposition plus de 9000 modules dans la communauté permettant ainsi :

  • La conception de site internet, Extranet et eCommerce.
  • Le développement d’application métier de type PIM (Product Information Management), DAM (Digital Assets Management), etc.
  • La création d’Usine à site permettant d’avoir un seul socle pour générer autant de site et applications que vous voulez.

Drupal tire sa principale force dans sa capacité à s’adapter à des besoins personnalisés tout en restant standard, c’est d’ailleurs la raison pour laquelle nous parlons de CMF (Content Management Framework) et pas simplement de CMS (Content Management System).

Cette solution complexe considérée comme générique intègre une quantité importante de modules et de capacités de configuration très avancées.

De plus, Drupal a connu une refonte majeure de son fonctionnement lors de sa transition en version 8 ayant ainsi entraîné des besoins majeurs en termes d’expertise et de compétences.

Alors que la demande d’experts Drupal a nettement augmenté, l’offre s’est restreinte car peu de profils experts sont disponibles sur le marché français.

Qu'est-ce qu'un Expert Drupal ?

Lorsque nous parlons d’expert Drupal ; nous entendons une maîtrise complète sur la solution :

  • une expertise sur de nombreux cas d’usage de Drupal : tant sur de l’éditorial que sur de l’application métier,
  • un savoir-faire sur de nombreux modules,
  • une maîtrise des capacités d'intégration de Drupal,
  • une connaissance des capacités de configuration avancée de la solution.

Blog - Usine à sites - Qu'est-ce qu'un Expert Drupal ?

Au sein de notre groupe AODB, nous considérons qu’un expert Drupal doit également maîtriser pleinement les concepts d’usine à sites.

En effet, Drupal est devenu le support indispensable pour la réalisation de projets d’usines à site dans des environnements complexes avec des intégrations de pointe. Ainsi, l’expert Drupal devra donc être en maîtrise total du Framework Drupal et de Symfony où Drupal a basé son code source ainsi que les concepts d’architecture d’usine à sites.

De surcroît, il est à noter que la majorité des projets gérés sur Drupal sont considérés comme complexes et demandent donc l’association de  CI (Continuous Integration) / CD (Continuous Deployment)/ et des CIT (Continuous Integration Testing). L’expert Drupal devra respecter les concepts DevOps en :

  • maîtrisant les systèmes d’automatisation de tests (Jenkins/GitlabCI/Azure DevOps),
  • exploitant des systèmes complémentaires pour les tests de qualité du front-end  (PhantomCSS), du code ou de la performance
  • en se basant sur un objectif d’amélioration perpétuelle

Enfin, il est primordial de scinder l’expertise Drupal de l’expertise front-end/headless. A l’ère de l'ultra spécialisation des systèmes et des métiers, un expert Drupal ne sera pas amené à maîtriser une discipline devenue spécifique demandant donc des compétences dédiées et avancées (telles que CSS)

Il sera donc rarissime de trouver un expert Drupal capable de gérer également le front-end, c’est pourquoi nous vous conseillons de distinguer préalablement l’expertise front-end.

Vous souhaitez être accompagné ou conseillé dans votre recherche d’experts Drupal ? Nous sommes à votre disposition pour vous partager notre expérience de recrutement d’experts.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders

 

Expertises
C ...
21 jan 2021
Comment protéger ses données sensibles ? (1/2)
Expertises
P ...
21 jan 2021
Comment protéger ses données sensibles ? (1/2)
Expertises
P ...
21 jan 2021
Comment protéger ses données sensibles ? (2/2)
Expertises
P ...
+ 200 Experts
7 Agences & Bureaux en France
+30 000Jour/Homme par an
Contributeur Et conférencier en Europe
+3000 Projets

Participez à nos workshops et events

Savoir gérer un projet en Méthode Agile tout en respectant Délai, Qualité.. et les Coûts
  • 20 juillet 2021
    11:30 - 12:00
Webinar
Les contraintes règlementaires avec Drupal (Cloud Act, RGPD, Sécurité, etc.)
  • 17 juin 2021
    11:30 - 12:00
Webinar

Nous contribuons aux évolutions et aux conférences technologiques en Europe

  • Image
    drupal camp
  • Image
    Paris Open Source Summit
  • Image
    IT Security & Meetings
  • Image
    DrupalCon