Comment protéger ses données sensibles ? (2/2)

icone/30/left arrow long

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien
- Publié 21/01/2021 - 16:06, mis à jour à 03/12/2021 - 09:06 Stratégie DigitaleExpertisesPerformance et Sécurité

Partie 2 : une sphère en perpétuel progrès

Aujourd'hui, professionnellement, nous ne pouvons plus nous contenter que d’un site web pour constituer un unique moyen de mise à disposition du contenu ((pages HTML, CMS, framework, etc)

Au cours des années, les outils se sont complexifiés entraînant des vulnérabilités de sécurité car de nombreuses failles peuvent exister aussi bien autour d’un CMS, dans les sites marchands mais également dans les services annexes ou bibliothèques de code.  

Il est donc primordial d’être en parfaite maîtrise du périmètre de configuration, de mise à jour et de monitoring de l’intégralité des éléments.

Comment protéger ses données sensibles ?

 

Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter : 
Elsa-Bestault-experte-AODBElsa Bestault
Directrice Commerciale

 

4. Mauvaises configurations de sécurité

Masquer les erreurs aux utilisateurs non autorisés et les journaliser avec un délai de rétention respectant le cadre le cadre de la légalité
La désactivation de protocoles de sécurité vulnérables doit être vérifiée et effective
Proscrire les snapshots de base de données, backups ou autre dump dans un dossier accessible au public
Modifier les mots de passe par défaut
Sécuriser les mots de passe
Sécuriser les environnements ((utilisation de SSH avec une clé, firewall pour filtrage des IPs, mise en place de bastions, etc)

5. Usage de composants à vulnérabilités connues

Etre à jour sur les services utilisés (pour Drupal, être à jour sur les éléments constitutifs: (le core, les modules contrib, les librairies tierces embarquées, etc)
Drupal 8 : Un pipeline CI/CD (Continuous Integration / Continuous Deployment) est fortement recommandé pour tester automatiquement l’ensemble des modifications apportées lors d’une mise à jour.
Souscription par un développeur Drupal aux notifications de sécurité annoncé par Drupal tous les mercredis soir

6. Journalisation insuffisante

Le journal doit, autant que possible, être écrit dans un fichier ou envoyé à un outil dédié (comme un ELK)
Le système de journalisation doit idéalement journaliser les tentatives de connexion SSH, les changements d’IP ou toute autre activité potentiellement suspecte.
Un système de monitoring doit être déployé pour permettre de suivre les tendances de trafic et les pics inhabituels d’activité des serveurs.

En conclusion, nous pouvons retenir que la sécurité est un domaine qui évolue perpétuellement impliquant une vigilance accrue tous les détails depuis la mise en place de l’infrastructure jusqu’au choix d’implémentation de code et aux versions de modules et autres composants. Il est même prudent de définir au cours d’un projet web un budget en prévision du cadrage de ces aspects comme un développement continu au même titre que le test fonctionnel ou unitaire.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders.

Vous souhaitez en savoir plus ?
Rencontrons-nous

  • Devops
  • Sécurité

À la une

4 fev 2021
Vers un web de qualité avec le référentiel Opquast

Par nature, un site web est l’aboutissement d’un projet réalisé par une équipe dont les métiers et les enjeux sont variés impliquant que les exigences quant au produit fini est propre à chaque membre de l’équipe. C’est pourquoi il est parfois complexe de pouvoir définir la notion de qualité d’un point de vue global.

Stratégie Di ...
13 oct 2021
AODB rayonne dans la Presse !
Relations Pre ...
22 juin 2021
Les célèbres briques LEGO à l’honneur chez AODB !
AODB inside
8 jan 2021
Personas : comment viser juste
Stratégie Di ...
+ 200 Experts
7 Agences & Bureaux en France
+30 000Jour/Homme par an
Contributeur Et conférencier en Europe
+3000 Projets

Participez à nos workshops et events

Maîtriser votre chaîne Devops : enjeux et gains associés
  • 27 septembre 2022
    09:30 - 10:00
Webinar
Publier et traduire via un Content Hub les contenus de tous vos sites Drupal
  • 27 septembre 2022
    09:30 - 10:00
Webinar

Nous contribuons aux évolutions et aux conférences technologiques en Europe

  • Image
    drupal camp
  • Image
    Paris Open Source Summit
  • Image
    IT Security & Meetings
  • Image
    DrupalCon