Meilleures pratiques pour sécuriser vos serveurs et votre infrastructure de TI (28 recommandations)

Les serveurs iWeb sont fournis sans service de gestion, à l’exception de ceux qui sont offerts avec les forfaits d’hébergement géré (lesquels comprennent certains éléments de la sécurité de l’infrastructure de TI). Il incombe ainsi au client d’assurer la sécurité de ses serveurs. À cet effet, voici quelques conseils, recommandations et pratiques exemplaires à mettre en œuvre en vue d’accroître la sécurité de vos actifs et de votre infrastructure de TI. Notre équipe de soutien technique est prête à vous aider à cet égard, et ce, 24 heures sur 24, 7 jours sur 7

Ces conseils et ces recommandations ne couvrent pas l’intégralité de la sécurité d’une infrastructure de TI. L’accent est mis sur la sécurité côté serveur, et non côté client. Les éléments abordés ici sont de la plus haute importance pour les entreprises dont l’infrastructure de TI est accessible au public (comme les entreprises d’hébergement Web).


Screen_Shot_2014-12-19_at_12.24.10_PM.png

 

1- Authentification
1.1- Utilisez des mots de passe efficaces. Assurez-vous de choisir un mot de passe composé de majuscules, de minuscules, de caractères spéciaux et de chiffres. Il devrait idéalement contenir au moins huit caractères (consultez cet outil en ligne [en anglais]; n’utilisez pas les mots de passe suggérés).

1.2- Modifiez fréquemment votre mot de passe. Voilà ce qui définit une politique en matière d’expiration des mots de passe. La fréquence de modification d’un mot de passe dépend de sa fonction (consultez cet article [en anglais] pour en savoir davantage).

1.3- Utilisez une authentification par clé publique, lorsque c’est possible. Il est recommandé de remplacer le mécanisme d’authentification par mot de passe par une authentification par clé publique si c’est possible.

1.4- Mettez en œuvre une authentification à deux facteurs, lorsque c’est possible. Il s’agit d’une couche de sécurité supplémentaire pour vos mécanismes d’authentification.

1.5- Conservez vos authentifiants de connexion et vos clés en lieu sûr. Vous pouvez utiliser un gestionnaire de mots de passe pour conserver vos mots de passe en toute sécurité (voici quelques exemples [en anglais]), ou bien les stocker sur une partition chiffrée au moyen d’outils de chiffrement tels que TrueCrypt, BitLocker, FileVault pour Mac, etc.

2- Utilisateurs et groupes
2.1- Supprimez les utilisateurs et les groupes qui ne servent plus. Vérifiez la liste des utilisateurs et des groupes configurés sur votre serveur ou vos applications, puis supprimez tous ceux qui ne sont plus utilisés.

2.2- Appliquez une séparation des rôles. Si votre serveur et votre infrastructure de TI sont gérés par un groupe de personnes (administrateurs, développeurs Web, etc.) ou si la gestion de votre infrastructure de TI est en partie externalisée, la séparation des rôles (aussi appelée séparation des tâches) contribuera à limiter le contrôle détenu par un membre de l’équipe. Cette méthode permet également de poser une barrière visant à prévenir la fraude ou les erreurs pouvant entraîner des problèmes de sécurité. Un compte d’utilisateur devrait se voir accorder seulement l’accès nécessaire pour s’acquitter de son rôle.

3- Services et progiciels
3.1- Supprimez les services et les progiciels qui ne sont pas nécessaires sur votre serveur. De cette façon, vous éviterez de compromettre inutilement la sécurité actuelle et future.

3.2- Limitez l’accès à vos services, lorsque c’est possible. Certains services ne devraient être accessibles qu’à partir de quelques adresses IP. Ainsi, plutôt que de les laisser ouverts et accessibles au monde entier, vous devriez en limiter l’accès au moyen du pare-feu (voir ci-dessous), des paramètres de configuration du service ou d’enveloppeurs TCP (en anglais).

3.3- Sécurisez les services s’exécutant sur votre serveur : Appliquez les pratiques exemplaires en matière de sécurité que les fournisseurs de forfaits de services mettent à votre disposition (par exemple, cPanelPleskSQL ServerApache).

4- Systèmes de fichiers, fichiers et répertoires
4.1- Définissez les bonnes autorisations. Vous devez définir les bonnes autorisations relativement à tous les dossiers et fichiers et à toutes les partitions de votre système de fichiers (consultez l’article Understanding Linux File Permissions [en anglais] pour obtenir plus de détails). N’utilisez pas le bit SUID inutilement, particulièrement dans le cas des fichiers détenus par l’utilisateur « root ». Il est préférable d’utiliser « sudo » lorsque des utilisateurs ne profitant pas de privilèges doivent accéder à une fonction administrative.

4.2- Attribuez la propriété appropriée. Afin de protéger vos données de valeur et d’assurer l’intégrité de votre système de fichiers, vous devez déterminer la propriété appropriée et l’attribuer aux utilisateurs et aux groupes autorisés à lire, à modifier ou même à exécuter des commandes et des scripts.

4.3- Surveillez l’intégrité de votre système de fichiers. La surveillance de l’intégrité des fichiers est importante pour la protection des systèmes essentiels, surtout si vous devez respecter certaines exigences (par exemple, la norme PCI-DSS). Elle vous aidera à répondre à quelques questions, notamment « Qui a effectué la modification? », « Qu’est-ce qui a été modifié? », « Quand la modification a-t-elle eu lieu? » et « Quelle était la valeur précédente? ».

4.4- Lancez une analyse pour vérifier si votre serveur n’est pas compromis par un virus, un rootkit, une porte dérobée ou une faille locale. Cette recommandation s’adresse particulièrement aux clients spécialisés dans l’hébergement Web, où divers utilisateurs hébergés (clients) sont autorisés à télécharger des fichiers, à administrer leurs sites Web et à installer des progiciels et des logiciels (système de gestion du contenu, modules d’extension, etc.) sur leur espace de stockage. La majorité des environnements d’hébergement partagés contiennent un grand nombre de sites Web compromis et de progiciels non corrigés, et sont employés par des utilisateurs qui ne prennent pas les mesures nécessaires pour protéger leurs sites Web. Il est important d’analyser votre serveur afin de détecter et de prévenir les fichiers malveillants (portes dérobées, virus, etc.) et, s’il y a lieu, de nettoyer votre système de fichiers.

4.5- Chiffrez vos données, au besoin. Si vous devez répondre à certaines exigences (par exemple, la norme PCI-DSS) ou souhaitez simplement protéger vos données de valeur et empêcher l’accès non autorisé à ces actifs, il est recommandé de chiffrer vos données de nature délicate.

5- Système d’exploitation et logiciels
5.1- Respectez les pratiques exemplaires en matière de sécurité recommandées par le fournisseur. La majorité des fournisseurs de logiciels possèdent des systèmes de gestion des connaissances où vous trouverez une liste de recommandations et de pratiques exemplaires visant à sécuriser votre installation.

5.2- Gardez vos logiciels et votre système d’exploitation à jour. Il s’agit d’un principe de base dans l’administration de toute infrastructure de TI. Le fait de garder les progiciels et les logiciels de votre infrastructure à jour vous aidera à éviter des ennuis (fin de vie) et les problèmes de sécurité causés par la désuétude de vos outils.

5.3- Appliquez les correctifs de sécurité des fournisseurs aussitôt qu’ils sont publiés. Cette recommandation s’applique à n’importe quel type de logiciel ou de progiciel que vous ou votre client avez installé sur le serveur. Par exemple, si vous avez installé des progiciels tiers, comme Joomla! ou WordPress, assurez-vous d’installer les mises à jour et les correctifs dès leur publication. Veuillez noter qu’iWeb ne prend pas en charge Joomla! et WordPress au-delà de leur installation (voici la liste des logiciels pris en charge).

5.4- Installez des logiciels provenant de sources et de fournisseurs de confiance. L’installation de logiciels ou de progiciels qui ne proviennent pas de sources de confiance pose un risque considérable à l’égard de votre infrastructure de TI et de la sécurité de vos actifs.

6- Pare-feu, système de détection des intrusions (IDS) et système de protection contre les intrusions (IPS)
6.1- Sécurisez votre infrastructure grâce à un pare-feu. Vous pouvez opter pour un pare-feu logiciel ou matériel pour protéger vos serveurs. Notre équipe de soutien technique peut vous aider à installer et à configurer un pare-feu logiciel sur votre serveur.

Vous pouvez aussi arrêter votre choix sur l’un de nos services de pare-feu matériel (voir l’adresse http://iweb.com/fr/services/pare-feu) en raison des avantages qu’ils offrent par rapport à un pare-feu logiciel. Veuillez communiquer avec nos experts des ventes, qui pourront vous aider à choisir la solution qui répond le mieux à vos besoins.

6.2- Assurez-vous que le pare-feu est activé. Afin d’assurer la sécurité continue de vos serveurs et de votre infrastructure de TI, votre pare-feu doit être activé en tout temps.

6.3- Sécurisez votre infrastructure grâce à un pare-feu pour application Web (WAF), au besoin. Consultez nos solutions de pare-feu pour application Web à l’adresse suivante : http://iweb.com/fr/services/pare-feu

6.4- Utilisez un système de détection des intrusions (IDS), au besoin. Il existe diverses méthodes pour mettre en œuvre un IDS en version hôte ou réseau, selon vos besoins et les exigences auxquelles vous êtes soumis. Lisez cet article pour en savoir davantage sur les systèmes de détection des intrusions.

6.5- Utilisez un système de protection contre les intrusions (IPS), au besoin. Optez pour un IPS qui permet la détection et la prévention des intrusions. N’hésitez pas à communiquer avec nos experts des ventes si vous avez besoin d’aide pour trouver l’IPS qui correspond le mieux à vos besoins parmi nos offres.

7- Codage sécurité
7.1- Appliquez les pratiques exemplaires en matière de codage sécurisé à vos processus de développement. L’Open Web Application Security Project (OWASP) a publié un guide de référence qui contient une liste de vérification exhaustive que vous pouvez intégrer à votre cycle de développement. Vous la trouverez sur son site Web (en anglais).

8- Vérifications du serveur et analyses de vulnérabilité régulières
8.1- Vérifiez vos serveurs et les fichiers journaux fréquemment. La vérification régulière de votre serveur représente un élément important du cycle de gestion de votre infrastructure de TI. Cela vous aidera à assurer une conformité en tout temps aux exigences minimales en matière de sécurité et à veiller au respect de vos politiques de sécurité par vos utilisateurs et vos administrateurs. Ces vérifications vous permettront également de détecter tout problème de sécurité devant être réparé.

8.2- Analysez votre serveur pour détecter les vulnérabilités. Afin de détecter les vulnérabilités dans les logiciels et les progiciels installés sur votre ou vos serveurs, il est primordial d’effectuer des analyses régulières. Les pirates balayent Internet en permanence, à la recherche de serveurs et de sites Web vulnérables. Ainsi, soyez proactifs et réglez les problèmes de sécurité avant qu’ils ne soient exploités.

9- Sauvegardes
9.1- Assurez-vous que vos données sont sauvegardées régulièrement et de façon sécuritaire. Des sauvegardes régulières peuvent vous être utiles si votre serveur est compromis. WHM et Plesk sont dotés de systèmes conviviaux de sauvegarde des données de l’utilisateur.
iWeb offre également des serveurs de sauvegarde partagés et dédiés Idera/R1Soft. Pour obtenir plus d’information, notamment sur les prix, veuillez communiquer avec notre équipe de vente à l’adresse sales@iweb.com.

Si votre serveur est compromis, vous pouvez simplement restaurer vos données à partir de la dernière sauvegarde non compromise. Consultez nos solutions de sauvegarde à l’adresse http://iweb.com/fr/services/solutions-backup-serveur.

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk