Sécurité : Sécuriser les serveurs


Renforcer les mesures de sécurité appliquées aux serveurs.

La sécurité des serveurs doit être une priorité car ils centralisent un grand nombre de données.

Les précautions élémentaires

Désinstaller ou désactiver les services et interfaces inutiles.

Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. Utiliser des comptes de moindres privilèges pour les opérations courantes.

Adopter une politique spécifique de mots de passe pour les administrateurs. Changer les mots de passe, au minimum, lors de chaque départ d’un administrateur et en cas de suspicion de compromission.

Installer les mises à jour critiques sans délai, en particulier les correctifs de sécurité, que ce soit pour les systèmes d’exploitation ou pour les applications, en programmant une vérification automatique hebdomadaire.

Utiliser des logiciels de détection et de suppression de programmes malveillants (ex. : antivirus) régulièrement mis à jour.

En matière d’administration de bases de données ;

  • utiliser des comptes nominatifs pour l’accès aux bases de données et créer des comptes spécifiques à chaque application ;
  • mettre en œuvre des mesures contre les attaques (ex : attaque par injection de code SQL, scripts)

Effectuer des sauvegardes et les vérifier régulièrement (voir la fiche n°10 : Sauvegarder et prévoir la continuité d’activité).

Mettre en œuvre le protocole TLS (en remplacement de SSL), ou un protocole assurant le chiffrement et l’authentification, au minimum pour tout échange de données sur Internet et vérifier sa bonne mise en œuvre par des outils appropriés. (Pour le protocole TLS, il existe par exemple : https://www.ssllabs.com/ssltest/ ou https://ssl-tools.net/)

Ce qu’il ne faut pas faire

  • Utiliser des services non sécurisés (authentification en clair, flux en clair).
  • Utiliser pour d’autres fonctions les serveurs hébergeant les bases de données, notamment pour naviguer sur des sites web ou accéder à la messagerie électronique.
  • Placer les bases de données sur un serveur directement accessible depuis Internet.
  • Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs utilisateurs).

Pour aller plus loin

 

Les mots clés associés à cet article