Quelques rappels sur la sécurité informatique

sécurité informatique et cms

Les 4 principaux objectifs :

  • intégrité : les données présentes sont bien celles que l’on veut fournir,
  • disponibilité : maintenir un bon fonctionnement du site internet (et de son SI),
  • confidentialité : certaines données ne sont accessibles qu’à des personnes autorisées,
  • authentification : accès aux ressources aux seules personnes autorisées,

risques informatiquesQuels sont les origines des risques :

– origine opérationnelle – système (bug logiciel, erreur de conception, de configuration, de paramétrage,…)
– origine physique (accident, casse, pannes, coupure électrique…)
– origine humaine (interne : erreur, mauvaise utilisation applicative, ouverture de mails dangereux ou externe : malversation, hacking, malware, utilisation smtp frauduleuse…)

 

La sécurité doit donc être appréhendée
dans un contexte global

  •  sensibilisation des utilisateurs aux problèmes de sécurité.
  • sécurité logique, c’est-à-dire la sécurité au niveau des données, des applications et des systèmes d’exploitation.
  • sécurité des télécommunications : technologies réseau, serveurs de l’entreprise, réseaux d’accès.
  • sécurité physique, cad la sécurité au niveau des infrastructures matérielles (salles sécurisées, lieux ouverts au public, postes de travail des personnels.)

 

sécurité informatique password

Ce qui suppose une politique de sécurité avec :

  1. Un dispositif de sécurité physique et logique (outils et gestion des utilisateurs)
  2. Une procédure de management des mises à jour
  3. Une stratégie de sauvegarde planifiée
  4. Un plan de reprise après incident

Quelles sont les réponses pour un CMS :

  joomlaprestashopwp


Point 1 : sécurité des outils et CMS (joomla, WordPress, Prestashop,…)

  • mise à jour du serveur web: application des patches de sécurité
  • politique de mots de passe
  • gestion des fichiers  .htaccess et du robots.txt (exclusions)
  • gestion des droits sur les fichiers et répertoires du site
  • mise à jour du CMS et des extensions utilisées

Point 1 : sécurité de l’hébergement/serveur

  • datacentres placés sous haute protection et distants
  • Sécurité côté réseau (rapidité et indisponibilité)
  • Sécurité côté serveur (infrastructure, alimentation, carte,…)
  • Sécurité incendie et électrique
  • PHP >5.3
  • Protection anti-DDoS

Points 2/3/4 => politiques internes de l’entreprise ou du partenaire

 

Que conclure pour une bonne politique de sécurité ?

Appliquer les mesures de sécurités sur les outils CMS comme sur le serveur semble évident.

En revanche, face aux modes internet, à l’obsolescence des informations sur internet,  à la multiplicité des autres risques, humains principalement (externes en constante augmentation et qui évoluent en permanence et internes, plus de 50% des causes…), tout cela indique qu’aujourd’hui dans notre monde du « jetable » (on change son site en moyenne tous les 3 ans) ou avec des sauvegardes régulières du site et des données, la meilleure des sécurités semble être tout simplement le changement/ la refonte du site et/ou de son hébergement !

Laisser un commentaire

Votre adresse email ne sera pas publiée.