Quantcast
Channel: IDEIA - sécurité
Viewing all articles
Browse latest Browse all 2

Audit de sites Drupal : tout comprendre en 6 questions

0
0

Quels sont les risques encourus par un site Drupal?

Notre expert : Il existe des outils (botnets) qui scannent le net de manière automatisée à la recherche de vulnérabilités dans les sites. Les attaques les plus courantes consistent à utiliser les failles identifiées pour injecter du code malicieux. Nous parlons alors de cross site scripting (XSS). Il est indispensable de s'en protéger.

Certes, la sécurité est au cœur de Drupal qui est utilisé par des agences gouvernementales très exigeantes. Une équipe de sécurité est même en charge de repérer, corriger et alerter la communauté. Les sites développés en Drupal sont donc bien protégés à condition d'avoir été développés dans les règles de l'art. Dans les cas sensibles il faut même pousser la démarche plus loin et sécuriser toute la chaîne logicielle de manière cohérente et approfondie par un audit de sécurité.

Pourquoi préconisez-vous l'audit d'un site Drupal avant sa mise en production?

Notre expert : Les développeurs ne sont pas des administrateurs et vice versa. Il existe un angle mort pour la sécurité a l'intersection de ces 2 métiers très différents. Les développeurs sont rarement sensibilisés aux aspect sécuritaires, et les administrateurs ne s'occupent généralement que de la partie "serveur". Il y a donc un risque que les 2 mondes ne collaborent pas toujours parfaitement. J'ai le souvenir d'une organisation prestigieuse qui avait mis en ligne un nouveau site. Dès le lendemain il était hacké et les hackeurs s'en vantaient sur twitter!

Tous les sites Drupal doivent être audités ?

Notre expert : La sécurisation d'un site a un coût, qui peut être très lourd si on pousse la logique jusqu'au bout. Il faut donc trouver un bon compromis et un audit permet de déterminer le meilleur gain de sécurité pour le coût le plus faible.

Combien faut-il de temps pour auditer un site ?

Notre expert : Tout dépend de la complexité du site. L'auditeur procède comme un orpailleur, par tamis successifs de taille de plus en plus fine. On peut donc, dans une certaine mesure adapter le temps passé pour effectuer l'audit. Sur la base de notre expérience, nous considérons que le temps moyen d'un audit pour un site est de 3 jours.

Comment se déroule un audit?

Notre expert : Notre démarche d'audit respecte un canevas bien précis. Dans un premier temps l'auditeur va s'assurer qu'il n'y a pas eu de modifications des modules du cœur de Drupal ou de la communauté. Ensuite, il va examiner le code des modules custom et du theming. Les logs sont aussi une bonne source d'information pour repérer les failles. Ensuite il va s'assurer que les droits d'accès et d'administration sont correctement assignés à l'aide d'une "grille" qui permet de ne pas oublier de cas particuliers (vues, blocs, types de contenus, indexation, etc...).

Quelles sont les solutions pour minimiser les risques ?

Notre expert :Respecter les bonnes pratiques est essentiel. Ensuite on peut s'aider de certains modules qui permettent d'aller plus loin dans la sécurisation d'un site. IDEIA en a identifié plusieurs selon le contexte. D'une manière générale la démarche consiste à cacher toutes les informations non indispensables pour ne pas donner de prise aux hackers.

Catégorie: 

Viewing all articles
Browse latest Browse all 2

Latest Images

Vimeo 10.7.0 by Vimeo.com, Inc.

Vimeo 10.7.0 by Vimeo.com, Inc.

HANGAD

HANGAD

MAKAKAALAM

MAKAKAALAM

Doodle Jump 3.11.30 by Lima Sky LLC

Doodle Jump 3.11.30 by Lima Sky LLC

Doodle Jump 3.11.30 by Lima Sky LLC

Doodle Jump 3.11.30 by Lima Sky LLC

Vimeo 10.6.2 by Vimeo.com, Inc.

Vimeo 10.6.2 by Vimeo.com, Inc.

Vimeo 10.6.1 by Vimeo.com, Inc.

Vimeo 10.6.1 by Vimeo.com, Inc.

Vimeo 10.6.0 by Vimeo.com, Inc.

Vimeo 10.6.0 by Vimeo.com, Inc.

Re:

Re:

Trending Articles


All About Tagalog Quotes


Ardilla para colorear


Di: Andreavedy


Version 0.8.5 – Peb txhawb tus Lao heev


Sa ar tylli ki iew khappud ha Bholaganj bad Ryngku, rai ka Jylla bad ka...


Sdang ialam bakla ki bor pyniaid ka MBOSE halor ka Exam SSLC 2024


Animales bebes para colorear e imprimir


Vimeo 10.2.0 by Vimeo.com, Inc.


Vimeo 10.7.0 by Vimeo.com, Inc.


Oncogrid





Latest Images

Vimeo 10.7.0 by Vimeo.com, Inc.

Vimeo 10.7.0 by Vimeo.com, Inc.

HANGAD

HANGAD

MAKAKAALAM

MAKAKAALAM

Doodle Jump 3.11.30 by Lima Sky LLC

Doodle Jump 3.11.30 by Lima Sky LLC

Doodle Jump 3.11.30 by Lima Sky LLC

Doodle Jump 3.11.30 by Lima Sky LLC

Vimeo 10.6.1 by Vimeo.com, Inc.

Vimeo 10.6.1 by Vimeo.com, Inc.

Vimeo 10.6.0 by Vimeo.com, Inc.

Vimeo 10.6.0 by Vimeo.com, Inc.

Re:

Re:

Re:

Re: