Vous diposez déjà de votre site web mais vous souhaitez connaître le niveau de sécurité de celui-ci, nous mettons à votre disposition nos compétences dans le domaine de la sécurité de votre serveur.
La sécurisation des serveurs web est une opération qui doit être pensée au niveau de toutes les couches de l’architecture du système d’information. Aussi, celle-ci doit impérativement inclure la sécurité des éléments suivants : infrastructure réseau, système, serveur web et applications.
La mise en place d’un serveur web accessible depuis Internet ne se fait pas sans considérer tous les aspects de sa sécurisation. Ceci est vrai, à la fois pour des serveurs hébergés en interne, et également si vous faites confiance à un hébergeur ou à un prestataire externe.
Les firewalls et autres systèmes de filtrage IP vont permettre de limiter l’accès aux serveurs via certains ports bien identifiés, notamment les ports HTTP et HTTPS. Cependant, ils ne sont pas configurés pour filtrer les données qui y transitent (certains firewalls offrent cette fonctionnalité rarement mise en place pour cause de dégradation de performances).
La mise en place de certificats afin de chiffrer les communications entre navigateur et serveur permet de répondre à un besoin de confidentialité des données, toutefois les données chiffrées pour un internaute digne de confiance le sont aussi pour le pirate. Ainsi, dans certains cas (utilisation d'un certificat serveur uniquement), la mise en place de protocole SSL peut être dans certains cas un inconvénient majeur : il permet à un éventuel pirate de travailler dans un canal chiffré à l’écart de toute détection d’intrusion qui ne soit pas placée sur la machine elle-même.

La sécurité doit-être considérée à tous les niveaux:
    - L’installation de firewalls, même maintenus à jour, et la mise en place de canaux cryptés sont nécessaires mais pas suffisants. Il est également primordial de durcir les systèmes d’exploitation, de correctement configurer les serveurs web en supprimant notamment tout ce qui est inutile.
    - Ce ‘nettoyage’ des serveurs accueillant les applications web est une étape devenue désormais incontournable. Moins de services, de ressources, et d’applications étant présentes, moins il existera de possibilités d’y exploiter une vulnérabilité et donc d’accéder au système. Le paramétrage standard du serveur web ne fournit généralement suffisant de sécurité. Il est important de faire une analyse complète des systèmes et des serveurs.
    - Il est également important de mettre à jour régulièrement son système et ses applications web. Selon le CERT : "99% des intrusions résultent de vulnérabilités ou d'erreur de configuration, lorsque des solutions existent".
    - Il convient également de sécuriser les applications elles-mêmes. Les applications web peuvent contenir des failles de sécurité. Ces vulnérabilités peuvent être de plusieurs types, par exemple : les problèmes de conservation de sessions (éviter l’usurpation d’identité), l’utilisation de caractères de contrôle dans les paramètres passés entre le navigateur et le serveur, utilisation de l'application pour attaquer le browser du client (Cross site scripting), le Buffer Overflow applicatif, l'injection de commandes SQL (SQL Injection)...
    - Cette phase peut consister à examiner, à posteriori, l’architecture et les sources de l’application, l’utilisation des inclusions de fichiers et extensions, les règles d’implémentation, les transferts et connexions aux bases de données, les logs. Dans ce cas, elle a pour but d’étudier la solidité des applications développées. Cependant, l'idéal reste la sensibilisation des développeurs aux problèmes de sécurité afin de limiter au maximum les 'erreurs' de programmation.

N'hésitez pas à nous contacter pour de plus amples informations.