Avant toute chose, il est important de préciser que TouchWeb est uniquement spécialisé dans la cybersécurité de sites Web (et d'applications Web) sous Debian (GNU/Linux). Nous n'avons pas vocation à sécuriser autres choses, ce n'est pas l'objet de notre agence d'infogérance E-Commerce pour Prestashop et Magento.
Pourquoi sécuriser Prestashop, Magento ou Drupal ?
Voici quelques questions qu'il est important de se poser :
- Êtes-vous en conformité avec le RGPD ?
- Qui s'occupe de contrôler les accès à votre site Internet ?
- Vos données peuvent-elles intéresser des tiers ? Exemple, un email d'un client qualifié, suivant les secteurs d'activité, peut valoir entre 0,10 € et 10€. Si votre base client possède 50 000 prospects qualifiés, elle peut valoir plus de 500 000€.
- Êtes-vous amené à vous connecter à votre site Web sur des réseaux publics ? (3G / 4G, Wifi libre)
- Êtes-vous sur un secteur d'activité à risque ? (Banque, crédit, assurance, informatique etc)
- Vos visiteurs peuvent-ils être amenés à interagir avec vos serveurs (dépôt de fichiers, formulaires, ...) ?
- Stockez-vous des données sensibles ? (comme un mot de passe - la plupart des gens utilisent le même mot de passe partout, y compris pour se connecter à des services en ligne ayant un accès direct à leurs comptes en banque)
Si, à une seule de ces questions, votre réponse est "Oui", alors il est nécessaire que vous vous interrogiez sur les politiques de sécurité mises en place.
Certains vous diront peut-être que cela est surdimensionné ou disproportionné. Si vous entendez cela, nous vous invitons à leurs demander "Pourquoi ?" car
avec des astuces simples, on peut mettre en place une politique de sécurité adaptée n'entraînant aucun surcoût (automatisation).
Comment faire pour sécuriser Magento, Prestashop, Drupal ou Wordpress ?
Il existe deux axes bien distincts de sécurisation : un BACK-END et un FRONT-END.
Le BACK-END est ce que vous ne voyez pas : il faut sécuriser votre serveur via une politique de sécurité adaptée à votre secteur d'activité et à la sensibilité des données que vous gérez.
Le FRONT-END est ce que vous voyez : il faut sécuriser l'accès à votre site Web et le traitement des données envoyées par vos visiteurs
En résumé,
quand vous souhaitez un service sécurisé, plus concrètement vous souhaitez bénéficier d'un PAR digne de ce nom (Plan d'atténuation des risques).
Le de Touch'Web : Tous nos serveurs sont sécurisés dès l'entrée de gamme.
Un avantage du monde informatique par rapport à d'autres secteurs est que nos travaux sont hautement réutilisables.
Ainsi nos outils nous permettant d'exercer en tant qu'
infogérance Magento, Prestashop et Drupal ont été conçus, dès l'origine, pour garantir une sécurisation avancée et non contraignante sur ces deux axes, sans surcoût pour le client - grâce à une réutilisation astucieuse des dizaines de composants formant la base de notre superviseur système et applicatif.
Par ailleurs, tous nos clients profitent de nos méthodes de
mutualisation systématique de la maintenance curative. Dès qu'une anomalie est rencontrée chez un client, elle est rapidement identifiée puis, tous les serveurs/sites de nos autres clients sont vaccinés préventivement.
Côté BACK-END : Nous avons mis en place une procédure automatique qualitative et standard de sécurisation de nos serveurs :
- randomisation systématique des ports d'accès SSH / SFTP / FTPES (protection anti port-scanner) avec remontée automatique des logs à votre hyperviseur
- impossibilité de se connecter en SSH par mot de passe (protection anti brute-force) avec mode bastion activable (via une gateway SSH dédiée et load-balancée sur plusieurs centres de données)
- conservation rigoureuse des historiques serveurs avec rotation intelligente et sauvegarde avancée (propagation journalière sur 4 serveurs de stockage dans un contexte multi-site et multi-hébergeur) ayant permis depuis 10 ans de remonter à la source de TOUS les actes malveillants détectés.
- protection avancée des accès à votre serveur dont le serveur Web (protection anti-ddos/slowloris et veille sur les potentielles tentatives d'intrusion)
- contrôle de cohérence du trafic Web avec bannissement préventif (entre autres : lutte contre Avalanche et divers botnets)
- analyse journalière antivirale supervisée en toute transparence sur notre système d'hypervision (protection anti-virus via ClamAV et sur demande Yara)
- surveillance de l'intégrité des structures et index des bases de données (protection contre les arnaques de tiers malveillants qui surfacturent abusivement pour réparer un sabotage difficilement décelable)
- surveillance avancée des serveurs et de leurs zoosphères applicatives (charge système, espace disponible sur les disques, inodes et la mémoire, santé des applications systèmes dont PHP-FPM, NGinx, Apache2, MariaDB/MySQL, Varnish, Memcache, Elastic Search, etc)
- surveillance professionnelle de l'intégrité des configurations des applications systèmes, avec reporting automatique en cas de détection d'une mise à jour (smart diff)
- contrôle de la santé de vos applications métiers (Prestashop, Magento, Drupal et Wordpress) avec reporting automatisé en cas de défaut (liste noire/grise sur des centaines de modules dans une version précise donnée)
- analyse des modules exploités par votre application métier avec reporting automatisé en cas d'anomalie (API Prestashop hors service, incident bancaire, etc) - contrôle des services de vos fournisseurs
- verrouillage par HTPASSWD (mot de passe bas niveau) des zones sensibles avec contrôle anti-brute force (PHPMyAdmin, PageSpeed, Kibana)
- tolérance zéro aux anomalies via une méthode stricte de développement avec reporting automatique et patch correctif sous 24 heures
- sécurisation de vos serveurs emails pour qu'ils envoient vos mails de manière sécurisée (TLS / SSL) soumis à SpamAssassin (anti-spam russe Prestashop)
- activation de DNSSEC sur vos noms de domaine (protection anti cache-poisoning) si l'autorité gérant votre zone DNS le permet
- contrôle avancé avec filtrage automatique des séquences suspectes de toutes les données issues de vos visiteurs
- mise à disposition gratuitement d'un réseau d'attaque d'infrastructure pour contrôler que les mécaniques suscitées fonctionnent correctement (stress-test toutes les heures des mécaniques de cyberdéfense - contrôle de fonctionnement de l'IDS TW)
- en cas de crash applicatif, mise à disposition d'un crash report photographiant l'ensemble du système pour audit avec extraction automatique des propriétaires des IP possiblement responsables du crash (auto whois avec extraction des CIDR pouvant enclencher un éventuel range ban massif - protection contre les ddos d'envergure - plus de 10 000 ips d'attaque)
Côté FRONT-END : tout est fait pour que cela soit le moins contraignant possible pour nos clients et leurs visiteurs
- contrôle non contraignant des données issues de vos visiteurs (les vrais contrôles se font côté BACK-END)
- gestion avancée des processus d'identification via OTP (One Time Password : Google Authenticator, Yubikey) ou pour plus de simplicité, par OAuth (Google et Facebook)
- déploiement d'un certificat SSL PRO (DV/OV/EV) pour bénéficier de la navigation sécurisée par HTTPS avec mise en conformité HSTS sur-demande (Garantie A+ sur le test Qualys)
Grâce à cela, votre
serveur OVH est sécurisé ainsi que votre site Web comme vous êtes en droit de l'attendre en 2024, sans surcoût car tout est automatisé (hors achat de certificats SSL PRO et serveurs nécessaires au bastion).
Le saviez-vous ? La police et la gendarmerie sont souvent impuissantes sur Internet.
A cause des rouages d'Internet, les services publics rencontrent de grandes difficultés à exercer leurs fonctions de "protecteur".
Pourquoi ?
Internet autorise n'importe qui à faire n'importe quoi, sans que personne ne soit généralement capable de remonter à la source (VPN, TOR, fermes offshores, ...). Résultat : les tiers sont rarement identifiés.
Vous n'êtes pas convaincu ? Nous vous invitons à sonder votre entourage pour savoir si une seule personne a déjà réussi à se faire dédommager des préjudices subis dans le cadre d'un DDOS (attaque par saturation de service) et de manière plus générale, d'un piratage (très majoritairement entrepris via des fermes de serveur géolocalisées dans des zones difficiles d'accès à la législation française)
Cela renforce la nécessité de consolider les protections en amont. Tout le monde est exposé, et tout le monde peut se faire pirater (absolument tout le monde :
nos confrères nous le rappellent sans cesse).
Ce que l'on vous garantit ici, c'est de complexifier le plus possible la tâche aux assaillants pour qu'ils se lassent, le plus rapidement possible. Bien évidemment, dans la limite de nos capacités et de vos contrats - avec une entrée de gamme à 30€ HT / mois / serveur : vous vous doutez bien que nous ne passons pas nos journées à auditer vos historiques serveurs.
Cependant
nous auditons chaque dysfonctionnement avéré et en conséquence, nous adaptons les protocoles de sécurité supervisés par notre intelligence artificielle.
Tout en vous assurant un PRA digne de ce nom (voir :
comment Touch'Web sauvegarde vos données)
Dans notre agence d'
infogérance Magento, Prestashop et Drupal, c'est notre quotidien de sécuriser vos serveurs et vos CMS.