Cyber Menaces & Cyber Attaques, Hacking, Defacing, Spamming... sont des termes que tout webmaster connait (plus ou moins bien) mais redoute (énormément) lorsqu'il porte la responsabilité du bon fonctionnement des sites Internet de ses clients !
Se prémunir contre ces menaces n'est pas chose aisée. Cela exige une réelle expertise technique ainsi que de très nombreuses heures de travail, tant préventif que curatif... l'investissement humain, matériel et financier dépend directement de ce qui doit être protégé. En effet, les attaques sont radicalement différentes selon qu'il s'agisse d'un simple site vitrine local parfaitement anodin ou, a contrario, d'un site gouvernemental voire celui d'une grande entreprise détentrice de secrets industriels. Les hackeurs ne sont pas les mêmes. Leur expertise non plus !
A notre niveau, il y a peu de chance que nous intéressions les meilleurs hackeurs de la planète opérant - sous contrat - à détourner ou détruire les données à très forte valeur ajoutée. Leur action, toujours à notre niveau de ressources, est virtuellement indétectable. Mais cela ne veut pas dire que nous ne soyons pas à l'abri des nombreuses attaques automatiques ni des dégradations enjouées de "script kiddies". Un site détruit c'est un client très mécontent, une image de marque en chute libre et de nombreuses heures de travail à notre charge pour le restaurer.
Joomla!, que nous utilisons comme base de travail quotidienne, est parfaitement sûr et sécurisé installé seul et tenu à jour au sein d'un hébergement réputé de qualité... jusqu'à ce que l'on analyse - en tant que webmaster - nos 4 zones à risques :
Risques Internes : au bureau, notre propre infrastructure technique (nos ordinateurs, nos OS, nos logiciels), nos habitudes de travail et leurs faiblesses (firewall, antivirus, mots de passe, cryptage des données de travail, confidentialité des données...)
Risques Réseaux : nos flux de données ADSL sont-ils toujours "en clair", ouverts aux 4 vents, seulement FTP, HTTP, parfois un peu de SSH ? Ou établissons-nous toujours une connexion VPN avant de joindre nos espaces hébergés via SFTP et HTTPS validés par des certificats SSL de qualité ? La différence d'exposition aux risques est radicale !
Risques Serveur : les plus importants à nos yeux, les risques induits par un serveur mal protégé sont la porte d'entrée de la quasi totalité des attaques réussies. Devons-nous nous contenter de faire confiance aux routines d'un hébergement mutualisé ou avons-nous la chance (et la lourde charge) d'avoir notre propre serveur (dédié ou VPS) ?
Risques Joomla! : Joomla! tout seul est sûr ! Les problèmes surviennent lorsque nous installons de nouvelles extensions tierces... avons-nous étudié au préalable la réputation du développeur d'extension, sa probable pérennité et sa réactivité face aux failles détectées dans son code, la qualité de son support technique ? Avons-nous instauré une gestion rigoureuse et rapide d'application des patches à toutes les installations Joomla! et leurs extensions que nous hébergeons ?
Une sécurité optimale - non pas totale, à 100% (ça n'existe pas) - résulte de la maîtrise de nombreux périmètres techniques et d'une expertise qui ne s'acquiert pas du jour au lendemain.
Participez à notre Hangout sur le sécurité appliquée à Joomla!
Pour approfondir votre expertise en sécurité Joomla, NosyWeb et Wantoo Network vous propose de participer gratuitement à ce Hangout Joomla! (conférence web) qui aura lieu le Mardi 20 Mai à 14h30, ou bien de le suivre en streaming ou en différé sur la chaine NosyWeb. Je vous exposerais les points Sécurité qui seront facilement à votre portée et ceux que vous pourriez (ou devriez) soit acquérir dans le temps, soit déléguer en infogérance externe.
- Participez au Hangout
- Confirmez votre participation auprès de la communauté NosyWeb
- Pour en savoir plus sur ce Hangout