Administration Sauvegarde et Sécurité

[Audio] Bonjour, Aujourdh'uit, j'aimerais bien aborder avec vous un sujet important et un axe qui a suscite un grand intérêt ces dernières décennies. On parle notamment de la sécurité et de la sauvegarde de sites web. L' évolution accrue des technologies de l' information et de la communication et la facilité d' accès et de la récupération du contenu des différents types et qui est parfois sensible et restreint, nécessite l' élaboration des techniques préventives efficaces pour diminuer au maximum le risque et les dégâts due aux cyberattaques sous forme de mécanismes et de bonnes pratiques à adopter par les administrateurs web et même par les utilisateurs standards. Les menaces actuelles exploitent le maillon le plus faible de la chaîne de protection des données: à savoir: le facteur humain, puisqu'il a accès à des informations précieuses de son organisme, peut, accidentellement ou intentionnellement, faire un mauvais usage des données qu'il saisit ; c'est pourquoi il est nécessaire de créer chez les personnes les niveaux de connaissance et les procédures à appliquer lorsqu'elles rencontrent un incident d' utilisation abusive des informations..

[Audio] La question qui se pose ? Quelles sont les préjudices que nous pourrons subir en cas de négligence de la partie Sécurité de notre système d' information ? • Perte et vol de données : Aucune entreprise n'est à l' abri de ce type d' événement, la perte pourra être partielle ou totale, elle pourra aussi concerner des données génériques ou des données vraiment qualifiées de sensibles comme la liste des comptes-utilisateurs, les données comptable de la société (les commandes et les transactions, les cartes bancaires enregistrées, etc.). Toutes les pertes de données n'ont pas la même gravité mais l' impact est toujours négatif. Le piratage peut en être la cause mais une divulgation involontaire reste la cause principale. • Perte d' image et de confiance : Le piratage nuit à vos utilisateurs donc à l'image qu'ils ont de votre entreprise ou de l'entreprise pour laquelle vous travaillée. La perte d'image peut vite se transformer en une perte de confiance qui entraine la défiance de vos directions, usagers et clients... • Atteinte au référencement : Si ce problème est détecté par les moteurs de recherche ceux-ci vont déclasser votre site voir même le supprimer purement et simplement des résultats de recherche. Cependant, il est possible de demander un nouveau référencement dès les problèmes résolus. • Pertes Financières : De grosses pertes financières peuvent être engendrées à cause des cyberattaques. - Manque à gagner pour l' indisponibilité de service pendant la défaillance de système. - Une éventuelle baisse de l' évaluation à cause de la désaffection des clients. - Présence des charges supplémentaires à cause du coût de maintenance et remise en service de votre site. - Sans oublier que touts manquements au Règlement général sur la protection des données est puni. L'entreprise qui ne respecte pas ce règlement sera exposé à des lourdes amendes qui peut atteindre dans quelques cas 300 000 euros. Tous les sites internet professionnels doivent afficher des mentions légales obligatoires pour l'information du public. L' absence de ces informations sur le site est également sanctionnée. Le site internet édité par un entrepreneur individuel ou une société doit contenir des mentions concernant son identité, ses conditions générales de vente, l' utilisation de cookies et le traitement des données personnelles des utilisateurs. Les cookies sont de petits fichiers textes enregistrés automatiquement dans votre navigateur par un site web lors de votre visite..

[Audio] Six critères ou six services de sécurité basiques doivent être assurés par tout système d' information performant : - Identification et authentification : Les utilisateurs doivent prouver leur identité par l' usage de code d'accès unique (on parle de l' identification, comme le numéro d' étudiant ou le numéro de la sécurité sociale) et un mot de passe (parlant de l'authentification (le fait qu' une personne prouve qu'elle soit bien celle qu'elle dit être)) ou des données biométriques. - Confidentialité : La confidentialité est le fait que l'information soit lue, consultée et modifiée le cas échéant uniquement par ceux qui en ont le droit et l' accès. Le but principal de restreindre la diffusion de l'information étant que l'information garde sa valeur en ne se retrouvant pas aux yeux de tout le monde. - Disponibilité : Le système doit rester opérationnel par la durée totale durant laquelle on aurait souhaité qu'il le soit. Une information qui n'est pas ou plus consultable au moment où nous en avons besoin ne présente rien de la valeur ajoutée et revient au même point que la non possession de l'information. - Intégrité : L' intégrité garantit que l'information ne subit aucune modification lors de sa transmission entre deux postes. Et les données qui circulent entre le client et le serveur ne doivent pas avoir été modifiées depuis leur création. -Non répudiation : Elle consiste en l' assurance qu'une action sur la donnée réalisée au nom d'un utilisateur (après authentification) ne saurait être répudiée par ce dernier ( exemple de l' achat en ligne). - Traçabilité : La traçabilité d'une information représente le fait de savoir d'où elle vient, par où elle est passée et où elle a terminé sa route (exécuter la commande tracert)..

[Audio] Selon l'ANCIEN PDG DE CISCO. « Il existe deux types d' organisations : celles qui ont été piratées et celles qui ne savent pas encore qu'elles ont été piratées. » JOHN CHAMBERS Cela ne signifie pas que tout est perdu, bien au contraire ! Cela doit nous inciter à reprendre le contrôle. Adopter les bons gestes couvre la majorité des menaces. Selon a une étude de menée en 2017, par une société de sécurité multiplateforme, WordPress continue d'être en tête des sites Web infectés sur lesquels ils ont travaillé (à 83%). Il n'est pas surprenant que des vulnérabilités existent et soient constamment découvertes, s'agissant du CMS le plus utilisé au monde. Je vais vous présenter dans ce qui suit les cyber attaques les plus courantes et comment faire face à leurs risques: l' hameçonnage est une technique peu coûteuse et simple d' accès. Cette pratique permet aux fraudeurs d'obtenir des renseignements personnels et/ou professionnels ( comptes d'accès, mots de passe…) ou données bancaires ( Informations de votre Carte bancaire ou de votre RIB) en se faisant passer pour un tiers de confiance et de commettre une usurpation d' identité. Il peut s'agir d'un faux message, SMS ou un appel téléphonique. -Le premier réflexe dans ce cas est de vérifier l'adresse du compte expéditeur. -Observez bien l'URL du lien, toute faute d' orthographe ou irrégularité doit attirer votre attention ; -Vérifiez que le site est sécurisé : un cadenas doit être présent dans l' URL et l' adresse du site doit commencer par HTTPS (et non HTTP) ; -Attention aux raccourcisseurs d' Url ( Bit.ly, tinyurl, etc) et aux QRCodes qui ne permettent pas de savoir si le site qui se cache derrière est malveillant. Ces Url courtes sont très présentes dans les SMS. -Saisissez vos noms d' utilisateur et mots de passe uniquement quand vous utilisez une connexion sécurisée..

[Audio] Une injection SQL permet à un pirate de "tromper" un site Web pour qu'il révèle des informations stockées dans sa base de données SQL ( données de connexion, mots de passe, informations de compte, etc.). Les injections sont un peu plus techniques qu' une stratégie de phishing. L' attaquant saisit des commandes SQL prédéfinies dans une zone de saisie de données (telle qu'un champ de connexion). Une fois injectées, les commandes exploitent une faiblesse dans la conception de la base de données et peuvent : Lire les données sensibles. Modifier ou supprimer définitivement les fichiers stockés. Le moindre privilège est le concept et la pratique consistant à restreindre les droits d' accès des utilisateurs, des comptes et des processus informatiques aux seules ressources absolument nécessaires pour exécuter des fonctions légitimes. Les instructions préparées sont des modèles prêts à l' emploi pour les requêtes dans les systèmes de base de données SQL, qui ne contiennent pas de valeurs pour les paramètres individuels, les valeurs sont substituées à chaque exécution..

[Audio] Une attaque de Scripts intersites ( XSS) exploite des sites Web vulnérables ( mal conçu) et permet à un pirate de configurer des scripts malveillants sur des pages Web et des applications. Il injecte un script utile avec du JavaScript ou du HTML malveillant dans une base de données de site Web qui s'exécute dans le cadre du corps HTML lorsque quelqu'un demande à ouvrir une page dans son navigateur pour installer de logiciels, et récupérer des cookies de sessions, etc. Généralement, ce type d'attaque peut réussir lorsque l' application Web ne valide pas les données saisies par l' utilisateur, et leur permet par exemple de fournir un code applicatif dans des formulaires HTML au lieu de chaînes de texte ordinaires. L' utilisation de navigateurs sécurisés et de logiciels mis à jour régulièrement permet également de limiter ces risques. L'utilisation d'un pare-feu permet également de se défendre contre les attaques XSS..

[Audio] Le déni de service ( DOS) est une cyberattaque qui visent à submerger un système, un serveur ou un réseau avec de fausses requêtes. Les attaquants spamment la cible jusqu'à ce qu'ils épuisent toutes les ressources ou la bande passante, rendant le système incapable de répondre aux demandes légitimes d'autres utilisateurs Le but du DOS n'est pas de voler des données mais de ralentir les opérations. Les attaques par déni de service peuvent être contrées en identifiant l' adresse IP de la machine émettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Une architecture répartie, composée de plusieurs serveurs offrant le même service gérés de sorte que chaque client ne soit pris en charge que par l' un d'entre eux, Selon les attaques il est également possible de mettre un serveur tampon qui filtre et nettoie le trafic. Ce serveur, « cleaning center » permet en cas d' attaques de faire en sorte que les requêtes malveillantes ne touchent pas le serveur visé. Limiter le nombre de tentative de connexion à un nombre strictement inferieur à 10..

[Audio] Un Malware (ou logiciel malveillant) est un logiciel nuisible qui perturbe ou vole les données d'un ordinateur, d'un réseau ou d'un serveur. Le logiciel malveillant doit s'installer sur un appareil cible pour devenir actif, en contournant les mesures de sécurité et exécutant une (ou plusieurs) des actions suivantes : Voler des fichiers. Endommager l' intégrité des données. Espionner l' activité des utilisateurs. Perturber ou même rendre le système inutilisable. Détourner le contrôle de l'appareil cible Ransomwares : un type de logiciel malveillant conçu pour bloquer l'accès à un système informatique jusqu'à ce qu'une somme d' argent soit payée. Comment se protéger des Malwares? Vérifiez qu'un antivirus est bien présent et à jour sur votre poste de travail si un site web vous semble douteux, ou qu'il propose des services illégaux, ne vous y rendez pas. De même, évitez de télécharger et d'utiliser un logiciel piraté ou " cracké". Si cela peut être attirant, notamment parce que cela évite l' achat du logiciel, sachez que non seulement c'est illégal, mais qu'ils sont généralement infectés par des virus. Les droits d'administration donnent un accès total au poste de travail. Les dégâts provoqués par un malware seront d'autant plus grands. C'est pour cette raison que l' université par exemple offre que des sessions utilisateur standards..

[Audio] La sécurité repose sur les mots de passe. Un mot de passe fort protège bien votre identité digitale et l' accès à un service numérique ( messagerie, réseaux sociaux, applications d' entreprise, etc.). Les tentatives de connexion par Brute-force utilisent des scripts automatisés pour exploiter les mots de passe faibles par analyse des différente combinaisons possibles afin d'accéder à votre site. Une attaque par dictionnaire est une autre stratégie dans laquelle un pirate utilise une liste de phrases secrètes courantes pour accéder à l' ordinateur ou au réseau de la cible. La plupart des pirates achètent des mots de passe précédemment piratés sur le Dark Web, mais certaines attaques par dictionnaire reposent uniquement sur des mots et des phrases courants. SplashData, société spécialisée dans la sécurité par mot de passe, a publié sa liste annuelle des mots de passe les plus couramment utilisés sur le Web, " 123456" et " password« ont pris respectivement la première et la deuxième place. parmi les moyens les plus simples et les plus efficaces pour prévenir Cassage de votre mot de passe : L' une des meilleures choses qu'un utilisateur puisse utiliser pour protéger sa vie privée est l' authentification à deux facteurs, ou comme Google l'appelle, la vérification en deux étapes. Cela ajoute une autre couche de sécurité lors de la connexion à une application. Avec cette méthode, lorsque vous saisissez le mot de passe pour ouvrir une application, vous recevez un message sur votre appareil personnel contenant un code à usage unique que vous devez saisir pour vérifier votre identité et ouvrir l'application. Il arrive souvent d'oublier l' un de nos mots de passe, une telle solution est d'utiliser un coffre-fort qui permet de garder en sécurité des mots de passe, des identifiants ou des informations. Les gestionnaires de mots de passe sont souvent recommandés pour mieux se protéger, éviter les piratages et surtout pour éviter de perdre ses mots de passe. KeePass et Bitwarden sont deux gestionnaires de mots de passe open source disponibles sur plusieurs plateformes : iOS, Android, Windows, macOS, et Linux..

[Audio] Les plugins de sécurité WordPress comprennent des fonctionnalités permettant de surveiller les modifications, d'analyser les logiciels suspects et de limiter les tentatives de connexion afin de protéger les sites Web contre les attaques malveillantes. Néanmoins, Lorsque vous choisissez un plugin de sécurité WordPress, veillez à ne garder que le plus adapté aux besoins de votre site Web. L' utilisation de plusieurs plugins ralentira votre site WordPress et pourrait même le faire tomber en panne. Projeté sur le tableau une sélection non exhaustive de quelques solutions qui me s'avère utile: La première catégorie s'appelle UTM, est une solution de sécurité tout-en-un, généralement une appliance de sécurité unique, qui fournit plusieurs fonctions de sécurité ( Pare-feu, Filtrage anti-spam, Système de détection ou de prévention d' intrusion ( IDS ou IPS). Wordfence Security est l' une des extensions WordPress de sécurité les plus populaires. L' un des principaux avantages de Wordfence est que vous pouvez avoir un aperçu des tendances générales du trafic et des tentatives de piratage ainsi qu'un diagnostic général des problèmes de sécurité. All In One WP Security est un produit 100% gratuit. Il fonctionne principalement en protégeant vos comptes utilisateurs, en bloquant les tentatives de forçage de votre connexion et en améliorant la sécurité de l' enregistrement des utilisateurs. La sécurité des bases de données et des fichiers est également incluse dans l'extension. L' extension de sécurité iThemes offre des fonctionnalités très similaires à celles assurées par les deux premiers. Il a l' avantage de détection des modifications de fichiers, ce qui est vital car la plupart des administrateurs web ne remarquent pas quand un fichier est modifié. Titan Anti-spam et Stop Spammers sont deux plugins de sécurité libres Chaque jour, les sites WordPress sont victimes de milliers de tentatives d' injection de Spam, plus un site génère du trafic, plus les commentaires "indésirables" et les messages promotionnels se multiplient. En plus, le spam et le robots peut affecter différentes zones et fonctionnalités de votre site, y compris vos commentaires, formulaires, commandes, enquêtes, listes de diffusion, etc. En outre, certains plugins de sécurité WordPress permettent de protéger votre site des attaques et des Spams. Mais, il est préférable de faire appel à des plugins spécialisé anti-spam ! Un certificat SSL ( Secure Socket Layer) est requis pour établir une connexion sécurisée, en utilisant HTTPS ( Hypertext Transfer Protocol Secure) pour crypter les communications entre le serveur et l' ordinateur du client. Sans la présence de HTTPS, toutes les données que vous entrez sur un site ( ex : nom d' utilisateur, mot de passe, carte bancaire, RIB ou tout autre information requise dans un formulaire) seront envoyées en format de texte brute et seront, par conséquent, vulnérables aux interceptions et à l' espionnage. C'est pour cette raison que vous devez toujours vérifier qu'un site utilise bien HTTPS avant d'y entrer quelques données que ce soit. Les certificats SSL peuvent être achetés auprès d'une autorité de certification comme HostGator et Verisign. L'un des moyens les plus simples de vous assurer que votre site Web WordPress adopte le SSL consiste à utiliser le fameux plugin Really Simple SSL..

[Audio] Shield est le seul plugin de sécurité pour WordPress qui donne la même priorité à la protection qu'à la réparation. Avec Shield, votre site commencera à bloquer les visiteurs dès qu'ils recherchent de vulnérabilités, et avant qu'ils ne puissent commencer à causer des dommages. Mais, après la détection des dommages, Shield met automatiquement en place des remèdes, comme la réparation des fichiers endommagés et infectés et le blocage des mauvais robots. WP fail2ban est un plugin simple qui n'a qu' une seule fonctionnalité principale, mais elle est assez importante : la protection contre les attaques par force brute. L' extension adopte une approche différente et plus efficace que ce que vous obtenez de certaines des extensions. il modifie dynamiquement les règles du pare-feu pour bloquer d'autres tentatives infructueuses Il fonctionne en analysant simplement le syslog pour tout indicateur de force brute. S'il y en a, il prend l' action pour arrêter l' attaque. Il est important de faire des sauvegardes des données de votre site web, puisque en cas de perte partielle ou totale de données. Sans sauvegarde précédente de ce site web, il sera impossible de procéder à une restauration. Il existe principalement deux principaux types de sauvegarde qui peuvent être adoptés par les entreprises selon leurs besoins. La sauvegarde complète permet de réaliser une copie conforme de toutes les données enregistrées de site. La sauvegarde incrémentale permet uniquement de sauvegarder les fichiers modifiés depuis dernière la sauvegarde précédente. UpdraftPlus est un plugin disposant des options backup classiques mais largement suffisantes . C'est l' un des meilleurs plugins de sauvegarde. Il permet de planifier les sauvegardes automatiquement ou de les exécuter manuellement, vérifier la conformité de la sauvegarde, stocker les données en Cloud, restaurer votre site internet après un dysfonctionnement. Merci pour votre attention, et à la séance prochaine…n'oubliez pas d'abonner à notre chaine..