Comment protéger ses données sensibles ? (2/2)

icone/30/left arrow long

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien
- Publié 21/01/2021 - 16:06, mis à jour à 03/12/2021 - 09:06 Stratégie DigitaleExpertisesPerformance et Sécurité

Partie 2 : une sphère en perpétuel progrès

Aujourd'hui, professionnellement, nous ne pouvons plus nous contenter que d’un site web pour constituer un unique moyen de mise à disposition du contenu ((pages HTML, CMS, framework, etc)

Au cours des années, les outils se sont complexifiés entraînant des vulnérabilités de sécurité car de nombreuses failles peuvent exister aussi bien autour d’un CMS, dans les sites marchands mais également dans les services annexes ou bibliothèques de code.  

Il est donc primordial d’être en parfaite maîtrise du périmètre de configuration, de mise à jour et de monitoring de l’intégralité des éléments.

Comment protéger ses données sensibles ?

 

Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter : 
Elsa-Bestault-experte-AODBElsa Bestault
Directrice Commerciale

 

4. Mauvaises configurations de sécurité

Masquer les erreurs aux utilisateurs non autorisés et les journaliser avec un délai de rétention respectant le cadre le cadre de la légalité
La désactivation de protocoles de sécurité vulnérables doit être vérifiée et effective
Proscrire les snapshots de base de données, backups ou autre dump dans un dossier accessible au public
Modifier les mots de passe par défaut
Sécuriser les mots de passe
Sécuriser les environnements ((utilisation de SSH avec une clé, firewall pour filtrage des IPs, mise en place de bastions, etc)

5. Usage de composants à vulnérabilités connues

Etre à jour sur les services utilisés (pour Drupal, être à jour sur les éléments constitutifs: (le core, les modules contrib, les librairies tierces embarquées, etc)
Drupal 8 : Un pipeline CI/CD (Continuous Integration / Continuous Deployment) est fortement recommandé pour tester automatiquement l’ensemble des modifications apportées lors d’une mise à jour.
Souscription par un développeur Drupal aux notifications de sécurité annoncé par Drupal tous les mercredis soir

6. Journalisation insuffisante

Le journal doit, autant que possible, être écrit dans un fichier ou envoyé à un outil dédié (comme un ELK)
Le système de journalisation doit idéalement journaliser les tentatives de connexion SSH, les changements d’IP ou toute autre activité potentiellement suspecte.
Un système de monitoring doit être déployé pour permettre de suivre les tendances de trafic et les pics inhabituels d’activité des serveurs.

En conclusion, nous pouvons retenir que la sécurité est un domaine qui évolue perpétuellement impliquant une vigilance accrue tous les détails depuis la mise en place de l’infrastructure jusqu’au choix d’implémentation de code et aux versions de modules et autres composants. Il est même prudent de définir au cours d’un projet web un budget en prévision du cadrage de ces aspects comme un développement continu au même titre que le test fonctionnel ou unitaire.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders.

Vous souhaitez en savoir plus ?
Rencontrons-nous

  • Devops
  • Sécurité

À la une

18 jan 2022
Qu’est ce qu’une DXP ? L’avenir du digital

DXP signifie Digital eXperience Platform, il s’agit d’une nouvelle catégorie émergente de solutions web permettant à un utilisateur, qui n’a aucune compétence technique, de concevoir par lui-même des expériences omnicanales de consommation de l’information via internet. Le tout en étant parfaitement intégré au reste de son écosystème marketing et technique (CRM, PIM, DAM, Marketing Automation, ERP, etc..)

 

Personnalisat ...
18 jan 2022
Qu’est ce qu’une DXP ? L’avenir du digital
Personnalisat ...
19 jan 2022
Gérer son Design System en mode Low-Code dans Drupal à l’aide de UI Suite
Personnalisat ...
19 jan 2022
Gérer son Design System en mode Low-Code dans Drupal à l’aide de UI Suite
Personnalisat ...
+ 250 Experts
8 Agences & Bureaux en France
+30 000Jour/Homme par an
Contributeur Et conférencier en Europe
+4000 Projets

Participez à nos workshops et events

Maîtriser votre chaîne Devops : enjeux et gains associés
  • 27 juin 2023
    09:30 - 10:00
Webinar
Publier et traduire via un Content Hub les contenus de tous vos sites Drupal
  • 27 juin 2023
    09:30 - 10:00
Webinar

Nous contribuons aux évolutions et aux conférences technologiques en Europe

  • Image
    drupal camp
  • Image
    Paris Open Source Summit
  • Image
    IT Security & Meetings
  • Image
    DrupalCon