Comment protéger ses données sensibles ? (1/2)

icone/30/left arrow long

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien
- Publié 21/01/2021 - 16:06, mis à jour à 03/12/2021 - 09:07 Stratégie DigitaleExpertisesPerformance et Sécurité

Partie 1 : une réflexion globale

En matière de création d’application web, il existe de nombreuses vulnérabilités qui ne sont pas liées directement aux actions de développement. C’est d’ailleurs le cas lors de l’exploitation de CMS (Drupal par exemple) où le système applicatif du CMS peut donner l’illusion d’une sécurité par défaut. Même si c’est effectivement le cas nativement, il faut prendre en compte les modifications apportées lors d’ajout de modules ou mise en place de configurations en lien avec la sécurité. Il s’avère que la plupart des vulnérabilités sont engendrées par des inattentions, des erreurs de conception ou des configurations dites permissives. Il est donc primordial d’être vigilant face à ce type de problématique et garantir la mise en place de tests suffisamment exhaustifs pour renforcer la sécurisation de l’application.

Comment protéger ses données sensibles ?

 

Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter : 
Elsa-Bestault-experte-AODBElsa Bestault
Directrice Commerciale

 

Protéger les données sensibles

1. Défaillance de contrôle d’accès

Une défaillance de contrôle d'accès est un cas typique de vulnérabilités, généralement causé par un manque de vigilance sur les autorisations d'accès.

  • Vérification des accès utilisateurs réalisés.
  • Logique de contrôle en amont par le technicien sur les éventuelles possibilités d’accès aux données dans son code.
  • Protection des formulaires.
  • Protection des cookies.

2. Exposition de données sensibles

Très fréquents, l’exposition de données sensibles apparaît généralement lors de l’affichage d’erreurs techniques qui doit être contrôlé car ces rapports ne sont d’aucune utilité pour les utilisateurs finaux (seulement les techniciens) mais peuvent constituer une vulnérabilité puisqu’ils peuvent informer des tiers mal intentionnés sur le contexte d’usage de l’application.

  • Ne jamais afficher des messages d’erreur et les traces du stack sur les environnements finaux.
  • Mise en place par les techniciens des errors handlers et lever des exceptions pour éviter une gestion des erreurs à PHP.
  • Contrôle des headers sur les pages, emails … pour éviter de communiquer des failles potentielles à un tiers mal intentionné.
  • Encrypter et hasher toute donnée sensible stockée en base de données.
  • Utilisation d’un protocole d’échange sécurisée pour la navigation (HTTPS).

3. Défaillance d’authentification

Nous parlons de défaillance d’authentification lorsqu'une application tente de définir des règles de sécurité lors de la création de ses mots de passe utilisateurs mais que ces règles affaiblissent davantage la sécurité des codes sélectionnés.

Définir la politique de réinitialisation du mot de passe / de l’identifiant utilisateur.

En conclusion, la sécurité est une réflexion globale où le technicien doit se représenter des cas d’usage de leur application ne représentant pas forcément des parcours utilisateurs classiques et pouvant faire aboutir à des divulgations importantes. La méfiance doit être de rigueur, il est même primordial de pouvoir envisager des situations complexes où une donnée pourrait fuiter ou être modifiée par la mauvaise personne.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders

Vous souhaitez en savoir plus ?
Rencontrons-nous

  • Devops
  • Sécurité

À la une

4 fev 2021
Vers un web de qualité avec le référentiel Opquast

Par nature, un site web est l’aboutissement d’un projet réalisé par une équipe dont les métiers et les enjeux sont variés impliquant que les exigences quant au produit fini est propre à chaque membre de l’équipe. C’est pourquoi il est parfois complexe de pouvoir définir la notion de qualité d’un point de vue global.

Stratégie Di ...
13 oct 2021
AODB rayonne dans la Presse !
Relations Pre ...
22 juin 2021
Les célèbres briques LEGO à l’honneur chez AODB !
AODB inside
8 jan 2021
Personas : comment viser juste
Stratégie Di ...
+ 200 Experts
7 Agences & Bureaux en France
+30 000Jour/Homme par an
Contributeur Et conférencier en Europe
+3000 Projets

Participez à nos workshops et events

Maîtriser votre chaîne Devops : enjeux et gains associés
  • 27 septembre 2022
    09:30 - 10:00
Webinar
Publier et traduire via un Content Hub les contenus de tous vos sites Drupal
  • 27 septembre 2022
    09:30 - 10:00
Webinar

Nous contribuons aux évolutions et aux conférences technologiques en Europe

  • Image
    drupal camp
  • Image
    Paris Open Source Summit
  • Image
    IT Security & Meetings
  • Image
    DrupalCon