Le 9 février marque la Journée pour un Internet plus sûr (Safer Internet Day). Partout dans le monde, les développeurs logiciels comme les utilisateurs quotidiens d’Internet doivent faire face aux enjeux de la sécurité en ligne. Avec les restrictions liées au COVID-19 et le transfert de la plupart des activités vers des plateformes numériques, ce sujet est devenu particulièrement crucial. À l’occasion de cette journée, les spécialistes de STDev ont préparé une liste de conseils et recommandations pour faire de 2021 votre année la plus sûre sur Internet.
Ce sont les mêmes pratiques et méthodes que nous appliquons chez STDev pour garantir la sécurité de nos produits. Cette année, l’équipe a choisi de se concentrer sur la sécurité des serveurs.
1. L’accès à votre serveur doit être aussi limité que possible
Dans toute entreprise, quelle que soit sa taille, l’accès aux serveurs doit être strictement contrôlé. Cela signifie que seuls les membres de l’entreprise qui en ont réellement besoin doivent y avoir accès. Si une personne extérieure à ce groupe nécessite un accès pour une raison spécifique, il convient de mettre en place une chaîne de validation et de faire passer la demande par le département IT. Cela permet de restreindre l’accès à un cercle restreint de personnes.
Un autre conseil important consiste à limiter les connexions aux seules adresses IP de confiance. À défaut, il est recommandé d’utiliser une clé privée plutôt qu’un simple mot de passe.
2. Maintenez toutes les applications serveur à jour
Toutes les applications serveur doivent être mises à jour dès qu’une nouvelle version est disponible. Plus vos applications sont obsolètes, plus votre entreprise est exposée aux failles de sécurité.
3. Utilisez le programme Fail2Ban
Fail2Ban est un logiciel qui met à jour les règles du pare-feu afin de bloquer certaines adresses IP pendant une durée définie. Plus simplement, il s’agit d’un système de prévention des intrusions qui protège les serveurs contre les attaques par force brute. Cela permet de renforcer la protection contre les pirates informatiques.
4. Fermez tous les ports du serveur sauf ceux du web
Tous les ports du serveur, à l’exception des ports nécessaires au serveur web (sauf cas particulier), doivent être fermés aux accès externes. En d’autres termes, il s’agit d’une mesure préventive visant à limiter le nombre de points d’entrée vers votre serveur dès le départ.
5. Protégez également les serveurs de messagerie
Si un serveur de messagerie fonctionne sur votre serveur principal, utilisez également Fail2Ban pour surveiller les ports du service mail afin d’éviter les tentatives de devinette de mot de passe.
6. Gestion du DNS
Les logiciels de gestion DNS contrôlent les clusters de serveurs du système de noms de domaine (Domain Name System). Les données DNS sont généralement réparties sur plusieurs serveurs physiques. Pour la gestion DNS, nous recommandons fortement l’utilisation de Cloudflare, qui offre également une protection contre les attaques DDoS, un système de cache performant et, si nécessaire, un certificat SSL gratuit.
7. Soyez prudent avec les téléversements de fichiers
C’est un point à vérifier avec votre équipe IT. Si votre système permet le téléversement de fichiers sur le serveur, ce processus doit être aussi restrictif que possible. Il faut vérifier les types de fichiers autorisés (par exemple, si seules des images sont nécessaires, il ne faut pas autoriser d’autres formats comme .exe ou .bat).
Le téléversement de fichiers représente un risque majeur pour les pirates, car il leur permettrait d’envoyer des fichiers malveillants capables de compromettre vos systèmes. Il est donc préférable de limiter fortement ce type de fonctionnalité.
8. Vérifiez les données entrantes
Les données entrantes peuvent également être potentiellement dangereuses. Elles doivent être contrôlées contre les attaques de type injection SQL, XSS (Cross-Site Scripting) et CSRF (Cross-Site Request Forgery).
9. Tous les formulaires d’authentification doivent inclure un CAPTCHA
Si vos produits disposent de formulaires d’authentification, ils doivent impérativement inclure un CAPTCHA, ou mieux encore, un CAPTCHA invisible.
10. Les mots de passe, encore et toujours
Bien entendu, il est essentiel d’utiliser des mots de passe partout, aussi bien pour les utilisateurs que pour les administrateurs, afin d’empêcher les connexions automatisées par simple test de mots de passe. Dans la mesure du possible, il est préférable d’utiliser des clés privées plutôt que des mots de passe.
Conclusion
Tout comme Internet comporte de nombreux risques, il existe également de nombreuses façons de se protéger efficacement. Si vous ne savez pas quelles solutions sont les plus adaptées à votre cas, contactez l’équipe STDev : nous serons ravis d’organiser un appel de consultation pour vous aider à trouver la meilleure approche.
Bonne Journée pour un Internet plus sûr !