Comment protéger ses données sensibles ? (2/2)

icone/30/left arrow long

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien

Populaires

6 jui 2021
Ransomwares : Chères données volées
Stratégie Di ...
1 sep 2021
Que signifie la "Security By Design" ?
Expertises
S ...
21 jan 2021Stratégie DigitaleExpertisesPerformance et Sécurité

Partie 2 : une sphère en perpétuel progrès

Aujourd'hui, professionnellement, nous ne pouvons plus nous contenter que d’un site web pour constituer un unique moyen de mise à disposition du contenu ((pages HTML, CMS, framework, etc)

Au cours des années, les outils se sont complexifiés entraînant des vulnérabilités de sécurité car de nombreuses failles peuvent exister aussi bien autour d’un CMS, dans les sites marchands mais également dans les services annexes ou bibliothèques de code.  

Il est donc primordial d’être en parfaite maîtrise du périmètre de configuration, de mise à jour et de monitoring de l’intégralité des éléments.

Comment protéger ses données sensibles ?

 

Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter : 
Elsa-Bestault-experte-AODBElsa Bestault
Directrice Commerciale

 

4. Mauvaises configurations de sécurité

Masquer les erreurs aux utilisateurs non autorisés et les journaliser avec un délai de rétention respectant le cadre le cadre de la légalité
La désactivation de protocoles de sécurité vulnérables doit être vérifiée et effective
Proscrire les snapshots de base de données, backups ou autre dump dans un dossier accessible au public
Modifier les mots de passe par défaut
Sécuriser les mots de passe
Sécuriser les environnements ((utilisation de SSH avec une clé, firewall pour filtrage des IPs, mise en place de bastions, etc)

5. Usage de composants à vulnérabilités connues

Etre à jour sur les services utilisés (pour Drupal, être à jour sur les éléments constitutifs: (le core, les modules contrib, les librairies tierces embarquées, etc)
Drupal 8 : Un pipeline CI/CD (Continuous Integration / Continuous Deployment) est fortement recommandé pour tester automatiquement l’ensemble des modifications apportées lors d’une mise à jour.
Souscription par un développeur Drupal aux notifications de sécurité annoncé par Drupal tous les mercredis soir

6. Journalisation insuffisante

Le journal doit, autant que possible, être écrit dans un fichier ou envoyé à un outil dédié (comme un ELK)
Le système de journalisation doit idéalement journaliser les tentatives de connexion SSH, les changements d’IP ou toute autre activité potentiellement suspecte.
Un système de monitoring doit être déployé pour permettre de suivre les tendances de trafic et les pics inhabituels d’activité des serveurs.

En conclusion, nous pouvons retenir que la sécurité est un domaine qui évolue perpétuellement impliquant une vigilance accrue tous les détails depuis la mise en place de l’infrastructure jusqu’au choix d’implémentation de code et aux versions de modules et autres composants. Il est même prudent de définir au cours d’un projet web un budget en prévision du cadrage de ces aspects comme un développement continu au même titre que le test fonctionnel ou unitaire.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders.

Vous souhaitez en savoir plus ?
Rencontrons-nous

  • Devops
  • Sécurité

À la une

1 sep 2021
Que signifie la "Security By Design" ?

La sécurité des données et des systèmes est un enjeu crucial pour les entreprises. Cela commence par l’adoption d’une approche plus proactive de la sécurité des infrastructures : une approche qui ne repose pas sur les outils de protection ou de réparation habituels fournis par un tiers, mais qui intègre la sécurité dans votre infrastructure, de manière native.

 

Votre entreprise utilise de plus en plus le cloud computing ? Vous voulez pouvoir maintenir une stratégie de sécurité cohérente même si votre infrastructure évolue ? Le principe du Security by Design répond à vos exigences actuelles.

AODB-cybersecurite-blog-SecurityByDesign

Expertises
S ...
4 mai 2021
Qu'est-ce qu'une usine à sites ?
CMS
Usine à ...
17 sep 2021
La guerre de la cyber-sécurité a commencé, mais de quoi s'agit-il ?
Expertises
S ...
17 sep 2021
Gare aux cyber-risques liés aux objets connectés !
Expertises
E ...
+ 200 Experts
7 Agences & Bureaux en France
+30 000Jour/Homme par an
Contributeur Et conférencier en Europe
+3000 Projets

Participez à nos workshops et events

Une usine à sites avec Drupal, c'est quoi et pourquoi faire ?
  • 23 septembre 2021
    14:30 - 15:00
Webinar
Conception et déploiement de stratégies d'Inbound Marketing
  • 24 septembre 2021
    14:30 - 15:00
Webinar

Nous contribuons aux évolutions et aux conférences technologiques en Europe

  • Image
    drupal camp
  • Image
    Paris Open Source Summit
  • Image
    IT Security & Meetings
  • Image
    DrupalCon