CMS et la sécurité informatique

Quelques rappels sur la sécurité informatique

Référencement WordPress

 Les 4 principaux objectifs :

  • intégrité : les données présentes sont bien celles que l’on veut fournir,
  • disponibilité : maintenir un bon fonctionnement du site internet (et de son SI),
  • confidentialité : certaines données ne sont accessibles qu’à des personnes autorisées,
  • authentification : accès aux ressources aux seules personnes autorisées,

Quels sont les origines des risques :

– origine opérationnelle – système (bug logiciel, erreur de conception, de configuration, de paramétrage,…)
– origine physique (accident, casse, pannes, coupure électrique…)
– origine humaine (interne : erreur, mauvaise utilisation applicative, ouverture de mails dangereux ou externe : malversation, hacking, malware, utilisation smtp frauduleuse…)

 

La sécurité doit donc être appréhendée
dans un contexte global

  •  sensibilisation des utilisateurs aux problèmes de sécurité.
  • sécurité logique, c’est-à-dire la sécurité au niveau des données, des applications et des systèmes d’exploitation.
  • sécurité des télécommunications : technologies réseau, serveurs de l’entreprise, réseaux d’accès.
  • sécurité physique, cad la sécurité au niveau des infrastructures matérielles (salles sécurisées, lieux ouverts au public, postes de travail des personnels.)

Ce qui suppose une politique de sécurité avec :

  1. Un dispositif de sécurité physique et logique (outils et gestion des utilisateurs)
  2. Une procédure de management des mises à jour
  3. Une stratégie de sauvegarde planifiée
  4. Un plan de reprise après incident

Quelles sont les réponses pour un CMS :

Point 1 : sécurité des outils et CMS (joomla, WordPress, Prestashop,…)

  • mise à jour du serveur web: application des patches de sécurité
  • politique de mots de passe
  • gestion des fichiers  .htaccess et du robots.txt (exclusions)
  • gestion des droits sur les fichiers et répertoires du site
  • mise à jour du CMS et des extensions utilisées

Point 2 : sécurité de l’hébergement/serveur

  • datacentres placés sous haute protection et distants
  • Sécurité côté réseau (rapidité et indisponibilité)
  • Sécurité côté serveur (infrastructure, alimentation, carte,…)
  • Sécurité incendie et électrique
  • PHP >5.3
  • Protection anti-DDoS

Points 3 => politiques internes de l’entreprise ou du partenaire

 

Que conclure pour une bonne politique de sécurité ?

Appliquer les mesures de sécurités sur les outils CMS comme sur le serveur semble évident.

En revanche, face aux modes internet, à l’obsolescence des informations sur internet,  à la multiplicité des autres risques, humains principalement (externes en constante augmentation et qui évoluent en permanence et internes, plus de 50% des causes…), tout cela indique qu’aujourd’hui dans notre monde du « jetable » (on change son site en moyenne tous les 3 ans) ou avec des sauvegardes régulières du site et des données, la meilleure des sécurités semble être tout simplement le changement/ la refonte du site et/ou de son hébergement !

Laisser un commentaire

Votre adresse email ne sera pas publiée.