Bases de Sécurité

La sécurité informatique est un enjeu majeur dans le monde de l’entreprise. Trois objectifs principaux s’en dégagent. Il faut tout d’abord s’assurer de l’intégrité des données, elles ne doivent pas être altérées. De plus, il est essentiel d’en garantir la disponibilité dans le cadre prévu. Et enfin il faut évidemment veiller à la confidentialité des données. Il est également possible d’ajouter trois autres objectifs que sont la traçabilité de la donnée ce qui signifie concrètement que l’accès ou la tentative d’accès à la donnée est conservé. Il y a aussi l’authentification qui permet la gestion des droits d’accès utilisateur. Et enfin la non-répudiation  dans le sens où chacun est responsable de ses actions et qu’aucun tiers ne doit être en mesure de s’en attribuer la paternité.

Partant de ce constat, il existe énormément de failles de sécurité. Ici nous nous focaliserons davantage sur le domaine du Web. Le but de cet article n’est pas d’en faire une liste exhaustive mais simplement de s’intéresser à une poignée d’entre elles en les définissant de façon générale et par l’exemple pour finir sur quelques bonnes pratiques Php à adopter.

* * *

Checklist d’audit de sécurité pour Drupal

Pourquoi cette check-list d'audit de sécurité pour sites Drupal ?

Le nombre de sites développés avec Drupal est impressionnant. Certains respectent scrupuleusement toutes les bonnes pratiques de développement, d'autres ne les respectent pas, pour des raisons diverses et variées : manque de compétences de l'équipe, délais trop courts, …

Ne pas respecter un minimum de règles de sécurisation, c'est prendre le risque de voir son site attaqué, ses données perverties ou volées, c'est aussi prendre le risque de voir son image écornée.

Audit de sites Drupal : Tout comprendre en 6 questions

Quels sont les risques encourus par un site Drupal ?

Notre expert : Il existe des outils (botnets) qui scannent le net de manière automatisée à la recherche de vulnérabilités dans les sites. Les attaques les plus courantes consistent à utiliser les failles identifiées pour injecter du code malicieux. Nous parlons alors de cross site scripting (XSS). Il est indispensable de s'en protéger.
Certes, la sécurité est au cœur de Drupal qui est utilisé par des agences gouvernementales très exigeantes. Une équipe de sécurité est même en charge de repérer, corriger et alerter la communauté. Les sites développés en Drupal sont donc bien protégés à condition d'avoir été développés dans les règles de l'art. Dans les cas sensibles il faut même pousser la démarche plus loin et sécuriser toute la chaîne logicielle de manière cohérente et approfondie par un audit de sécurité.

Open Source, licences et logiciels : comment gérer les risques ?

C'était le sujet de notre webinaire du 2 février dernier. Un sujet ô combien important  mais pas forcement bien connu.

De nos jours, les composants logiciels Open Source font partie intégrante des systèmes d'informations. Pourtant, peu d'entreprises ont réellement pris conscience des enjeux liés à l'utilisation de composants source : propriété intellectuelle, licences, vulnérabilités, qualité...

Connaissez vous les risques liés aux failles de sécurité et aux licences ?

Une application Open Source peut renfermer plusieurs centaines de composants qui évoluent chacun  en moyenne 4 fois par an. Chacun de ces composants peut renfermer une faille de sécurité ou inclure une licence GPL, contraignant son exploitant à publier la totalité du code source de son application. Quelques grandes entreprises du monde des systèmes d'informations en ont déjà fait les frais.

Qu'est ce que nous avons traité lors de ce webinaire ?

Tout d'abord, je tiens à remercier Maitre Puech, avocat au barreau de Paris et spécialiste du monde Open Source, qui a co-animé ce webinaire avec notre équipe. Il nous a permis d'éclairer notre lanterne sur les questions légales de cette problématique, et c'est avec lui également que nous avons abordé les enjeux qui y sont associés. Nous avons également discuté de Sonatype Insight, une solution qui permet de minimiser les risques liés aux vulnérabilité et aux licences.

Pour avoir un aperçu de ce que cela a pu donner, je vous invite à consulter notre présentation et à ne pas manquer notre prochain webinaire sur le sujet.