La sécurité de vos systèmes et données, notre priorité
Configurations des services web
Si vous souhaitez héberger vos applications, vous devez savoir qu'il vous faut tout d'abord un serveur sur lequel faire tourner ces applications. Outre les hébergements standards vous offrant la totalité des services (tel que nous le proposons), vous pouvez également disposer d'un serveur en tant que tel, que ce soit un serveur stocké sur votre réseau ou sur Internet (serveur dédié ou encore virtualisé).
Cependant, la possession d'un serveur n'est pas suffisante pour pouvoir faire tourner vos applications. Il vous faut en effet installer par la suite l'ensemble des serveurs au niveau de la couche logiciel, par exemple le serveur web Apache2 et le serveur de bases de données MySQL.
Afin de faciliter la mise en place de ses services de base et éventuellement des outils associés, nous vous proposons nos expertises. Celles-ci couvrent l'installation et la configuration de serveurs Apache (PHP), Tomcat (JAVA) et MySQL ainsi que leur sécurisation (voir ci-dessous). En plus de ses configurations de base, nous pouvons vous proposer des outils et configurations annexes vous simplifiant l'administration de votre serveur (installation d'outils comme PHPMyAdmin, maintenance).
Références
Dans le cadre de nos activités, nous avons déjà effectué de telles prestations pour des grandes comptes français (notamment de l'installation et de la configuration) ainsi que des petites entreprises (installation, configuration et maintenance). Contactez-nous pour plus d'informations ou toute demande de devis.
Sécurisation des services web
Afin d'assurer une sécurité optimale, nous vous proposons non seulement la configuration applicative des serveurs (physiques et logiciels) mais aussi leur sécurisation. Cette deuxième configuration comprend plusieurs niveaux.
Premièrement, nous vous proposons la mise en place d'une politique de sécurité aboutie visant à isoler les serveurs logiciels, que ce soit par un isolement au niveau des processus (un utilisateur différents par processus, avec des privilèges limités) ou par un isolement logiciel (chroot). Ainsi, chaque serveur est vue comme une entité indépendante et la compromission d'un service limite les risques de propagation de la compromission.
Deuxièmement, nous vous proposons la mise en place d'une politique de sécurité au niveau du serveur, en définissant notamment les règles de sécurité quant au flux entrant et sortant. Cette deuxième configuration permet de limiter les risques en bloquant certains points d'entrée du serveur (ports) ou en limitant les accès à des adresses prédéfinis. Pour cela, nous personnalisons iptables.
Troisièmement, nous vous proposons une surveillance de l'activité du réseau, afin d'analyser le trafic lié à votre serveur. Ce service vous permet d'obtenir éventuellement un rapport journalier du flux réseau, simplifié et clair. Grace aux outils que nous avons développés, nous pouvons également vous proposer un suivi en temps réel (réception automatique et instantanée des alertes, gestion immédiates des alertes critiques).
Références
Dans le cadre de nos activités et de nos partenariats (notamment avec la société YourOSoft), nous avons déjà effectué de telles prestations. Contactez-nous pour plus d'informations ou toute demande de devis.
Sécurisation des applications web
Le développement d'une application sécurisée requiert la prise en considération des problématiques de sécurité dès la conception de l'application. Le processus de développement intègre alors l'ensemble des processus de sécurité nécessaire à la bonne mise en place de la politique de sécurité.
Afin d'arriver à un niveau de qualité optimale, nous pouvons vous proposer une analyse complète des besoins en termes de sécurité : quel besoin ? Quelle politique de sécurité : DAC, RBAC,... A partir de la définition de cette politique, nous pourrons alors vous accompagner pour sa mise en œuvre.
Dans le cadre des solutions PHP, si vous avez déjà considéré la mise en place d'une politique de sécurité, nous pouvons également vous proposer une analyse des vos solutions afin de valider les flux d'informations (flux internes, requêtes AJAX, ..) autorisés par votre application. Notre méthodologie repose sur des outils internes ainsi que des outils opensource tels Spike, PHPSecInfo et PHPSecurityScanner.
Références
Dans le cadre de nos activités, nous avons par exemple été amenés à spécifier une politique de sécurité et de contrôle des redondances lors de la synchronisation en JAVA de deux systèmes de données (MySQL et SyBase). Cette spécification nous a permis de proposer une politique de sécurité claire détectant les éventuels conflits et autorisant dans certains cas une synchronisation bilatérale et dans d'autres cas unilatérale. Cette spécification fut accompagnée de sa mise en œuvre ainsi que la mise en œuvre du module de synchronisation dans sa totalité.
Si vous souhaitez obtenir plus d'informations sur les solutions que nous avons développées ou pour tout devis, n'hésitez pas à nous contacter.
Sécurisation de vos données
La sécurisation des applications peut toutefois ne pas être suffisante. En effet, des attaques peuvent se produire à d'autres niveaux tels par des attaques directes, au niveau physique (destruction, vol), ou encore au niveau réseau et serveurs. Afin de garantir la sécurité de vos données, il est donc également nécessaire d'assurer une sauvegarde automatisée et quotidienne de vos données. Cela permet de contrer toute attaque (destruction, suppression, compromission) mais aussi de parer à toute autre éventualité (problème matériel, coupure de réseau, ...).
Afin de vous garantir ce niveau de sécurité et de sûreté, nous avons mis en place
- un outil assurant une sauvegarde automatique quotidienne de vos bases de données
- une interface vous permettant de récupérer facilement ces sauvegardes
- un outil effectuant un rappel quotidien vous invitant à télécharger ces sauvegardes
- une interface 100% adaptée et configurable
- un outil effectuant une sauvegarde incrémentale de vos données (répertoires annexes par exemples pour Drupal)
Certificats SSL
Un besoin important
Afin d'assurer la sécurité des transactions, l'utilisation de techniques de chiffrement est devenue essentielle. Nous vous proposons donc l'intégration de certificats SSL au niveau de votre hébergement sur nos serveurs. Ces certificats vous permettrons par la suite d'utilise des connexions en mode HTTPS. Afin d'assurer la bonne qualité de ces certificats, nous vous recommandons notre partenaire DigiCert en partenariat avec la société YourOSoft KFT.
Si vous possédez déjà un hébergement, nous vous pouvons d'autres prestations. Premièrement, nous pouvons gérer l'ensemble des vos certificats ainsi que leur installation sur votre serveur (en fonction des configurations de celui-ci). Cela vous évite d'avoir à assurer leur stockage ou de dialoguer avec un nième intermédiaire. Nous serons votre unique contact! Deuxièmement, comme indiqué sur le site de notre partenaire DigiCert, plusieurs types de certificats existent. Nous pouvons vous conseiller afin que vous choisissiez l'offre la plus adaptée a vos besoins.
Quelle sécurité ?
Le choix du certificat SSL est fortement lié à votre situation. En fonction du niveau de sécurité désiré, de la confiance à apporter aux clients ou encore de la configuration de votre solution, vous pouvez choisir entre un certificat Unified, à validation étendue ou encore wildcard.
Le certificat Wildcard vous permet d'utiliser un seul et unique certificat pour votre domaine. Cela a des avantages importants si par exemple vous utilisez de nombreux sous-domaines. Toutefois, un seul sous-domaine corrompu peut entrainer la corruption du certificat wildcard et donc de l'ensemble de votre domaine.
Le certificat Unified Communications vous permet d'utiliser un certificat pour au plus trois sous-domaines. Les utilisateurs sont sensibles à ce niveau de sécurité, une icône "connexion protégé" telle étant disponible à coté de votre adresse.
Enfin, le certificat Extended Validation vous permet d'utiliser un certificat pour au plus trois sous-domaines et apporte un niveau de confiance optimale : votre sécurité est validée par le fournisseur du certificat et les utilisateurs le remarquent aisément via la barre de navigation en vert dans leur navigateur.
Vous ne savez pas quel certificat choisir ? Vous ne savez pas comment gérer un certificat ou alors vous souhaitez déléguer la gestion de celui-ci ? Contactez-nous !
certificat Digicer Wildcard - certificat DigicerUnified Communications - certificat Digicert Extended Validation