Comment protéger ses données sensibles ? (2/2)

icone/30/left arrow long

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien
- Publié 21/01/2021 - 16:06, mis à jour à 03/12/2021 - 09:06 Stratégie DigitaleExpertisesPerformance et Sécurité

Partie 2 : une sphère en perpétuel progrès

Aujourd'hui, professionnellement, nous ne pouvons plus nous contenter que d’un site web pour constituer un unique moyen de mise à disposition du contenu ((pages HTML, CMS, framework, etc)

Au cours des années, les outils se sont complexifiés entraînant des vulnérabilités de sécurité car de nombreuses failles peuvent exister aussi bien autour d’un CMS, dans les sites marchands mais également dans les services annexes ou bibliothèques de code.  

Il est donc primordial d’être en parfaite maîtrise du périmètre de configuration, de mise à jour et de monitoring de l’intégralité des éléments.

Comment protéger ses données sensibles ?

 

Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter : 
Elsa-Bestault-experte-AODBElsa Bestault
Directrice Commerciale

 

4. Mauvaises configurations de sécurité

Masquer les erreurs aux utilisateurs non autorisés et les journaliser avec un délai de rétention respectant le cadre le cadre de la légalité
La désactivation de protocoles de sécurité vulnérables doit être vérifiée et effective
Proscrire les snapshots de base de données, backups ou autre dump dans un dossier accessible au public
Modifier les mots de passe par défaut
Sécuriser les mots de passe
Sécuriser les environnements ((utilisation de SSH avec une clé, firewall pour filtrage des IPs, mise en place de bastions, etc)

5. Usage de composants à vulnérabilités connues

Etre à jour sur les services utilisés (pour Drupal, être à jour sur les éléments constitutifs: (le core, les modules contrib, les librairies tierces embarquées, etc)
Drupal 8 : Un pipeline CI/CD (Continuous Integration / Continuous Deployment) est fortement recommandé pour tester automatiquement l’ensemble des modifications apportées lors d’une mise à jour.
Souscription par un développeur Drupal aux notifications de sécurité annoncé par Drupal tous les mercredis soir

6. Journalisation insuffisante

Le journal doit, autant que possible, être écrit dans un fichier ou envoyé à un outil dédié (comme un ELK)
Le système de journalisation doit idéalement journaliser les tentatives de connexion SSH, les changements d’IP ou toute autre activité potentiellement suspecte.
Un système de monitoring doit être déployé pour permettre de suivre les tendances de trafic et les pics inhabituels d’activité des serveurs.

En conclusion, nous pouvons retenir que la sécurité est un domaine qui évolue perpétuellement impliquant une vigilance accrue tous les détails depuis la mise en place de l’infrastructure jusqu’au choix d’implémentation de code et aux versions de modules et autres composants. Il est même prudent de définir au cours d’un projet web un budget en prévision du cadrage de ces aspects comme un développement continu au même titre que le test fonctionnel ou unitaire.

Consultez l’article complet sur le blog d’Actency, Constructeur de L’alliance Of Digital Builders.

Vous souhaitez en savoir plus ?
Rencontrons-nous

  • Devops
  • Sécurité

À la une

1 sep 2021
Que signifie la "Security By Design" ?

La sécurité des données et des systèmes est un enjeu crucial pour les entreprises. Cela commence par l’adoption d’une approche plus proactive de la sécurité des infrastructures : une approche qui ne repose pas sur les outils de protection ou de réparation habituels fournis par un tiers, mais qui intègre la sécurité dans votre infrastructure, de manière native.

Expertises
S ...
1 sep 2021
Que signifie la "Security By Design" ?
Expertises
S ...
15 nov 2021
Quelle solution pour créer votre extranet ou intranet ?
Stratégie Di ...
7 jan 2021
4 étapes pour faire le bilan de votre marketing digital
Stratégie Di ...
+ 250 Experts
8 Agences & Bureaux en France
+30 000Jour/Homme par an
Contributeur Et conférencier en Europe
+4000 Projets

Participez à nos workshops et events

Une usine à sites avec Drupal, c'est quoi et pourquoi faire ?
Webinar
Conception et déploiement de stratégies d'Inbound Marketing
Webinar

Nous contribuons aux évolutions et aux conférences technologiques en Europe

  • Image
    drupal camp
  • Image
    Paris Open Source Summit
  • Image
    IT Security & Meetings
  • Image
    DrupalCon