Mesures de prévention contre les programmes malveillants - Bonnes pratiques

General Information ID:    INFO1295
Version:    1.0
Published:    01/21/2010

Description

Prévention des infections par programmes malveillants

Empêcher l'apparition de programmes malveillants sur votre site Web est plus simple que vous ne le pensez. Pour protéger vos systèmes, vous n'avez pas nécessairement besoin de beaucoup de temps, d'argent et de ressources. En suivant les bonnes pratiques de prévention et en utilisant les ressources dont vous disposez déjà, vous pouvez déjà réduire de façon significative les chances qu'un programme malveillant ne vienne infecter votre site Web.

Discutez de ces conseils et de ces directives avec vos développeurs et administrateurs serveur. Voyez si ces bonnes pratiques sont bien appliquées dans votre entreprise et, le cas échéant, de quelle manière elles sont appliquées. Définissez des politiques administratives et de développement en fonction de ces bonnes pratiques et des recommandations de vos administrateurs de confiance.

Sauvegardez votre serveur Web !

  • La mesure de prévention qui serait éventuellement la plus significative serait en fait de vous préparer au pire scénario. Que faites-vous si votre site Web est infecté et que vous ne pouvez tout simplement pas supprimer le programme malveillant ? Dans cette situation, vous devez être sûr de pouvoir récupérer tout ce que vous utilisez pour exécuter votre site Web.
  • Maintenez un serveur Web de sauvegarde à jour et redondant. Si votre serveur actif est infecté, vous pourrez alors basculer sur le serveur de sauvegarde non infecté. Vos clients ne feront pas l'expérience d'un temps d'arrêt pendant que vous nettoyez le serveur infecté.
  • Si le maintien d'une sauvegarde redondante vous coûte cher et nécessite un grand nombre de ressources, faites en sorte de bien avoir des copies de sauvegarde de tout le système d'exploitation et des logiciels d'application, et notamment des programmes de corrections et des mises à jour.
  • Faites surtout en sorte de sauvegarder régulièrement toutes les données. Si vos données commerciales ou clients sont compromises ou endommagées, vous pourrez restaurer les données avec un temps d'arrêt minimum pour des caractéristiques spécifiques – au lieu de mettre l'intégralité de votre site Web hors ligne.

Sécurisez votre serveur Web.

  • •L'accès utilisateur doit être sécurisé. Vos administrateurs et développeurs doivent utiliser des mots de passe complexes, modifier leurs mots de passe régulièrement ou utiliser des droits d'accès octroyés par un administrateur de confiance.
  • Suivez le « principe des privilèges moindres. » Faites en sorte de savoir qui a accès à votre serveur et que seules les personnes ayant besoin d'un accès en bénéficient. De plus, restreignez les privilèges utilisateur personne par personne ; donnez à vos administrateurs et développeurs uniquement les privilèges dont ils ont besoin pour travailler.
  • Les transferts de fichiers doivent être encryptés. Utilisez les outils Secure FTP (SFTP) ou Secure Copy (SCP) pour transférer les fichiers. Les outils FTP ne sont pas encryptés.
  • Pratiquez le développement des applications sécurisées. Dans votre code back-end, validez le type d'entrée utilisateur et éliminez les trous de sécurité (connus sous le nom de « vulnérabilités ») tels que le dépassement de la mémoire tampon, l'injection SQL et le cross-site scripting (XSS).
  • Sur le site Web destiné au client, ne donnez aucune information dont vos clients n'ont pas besoin : ces informations pourraient être utiles aux pirates. Par exemple, dans les messages d'erreur, n'affichez jamais le type de votre serveur ou sa version et ne dites jamais « impossible de se connecter à la base de données ». Ne fournissez aucune erreur spécifique de connexion comme « votre mot de passe est erroné » : ce message indique au pirate qu'un compte avec ce nom d'utilisateur existe.

Ayez confiance en la personne au clavier.

  • Assurez-vous que toute personne ayant accès à votre serveur Web comprend et est consciente des méthodes de piratage psychologique. Le piratage psychologique consiste à convaincre une personne de faire quelque chose ou de révéler des informations confidentielles, en se faisant généralement passer pour une personne d'autorité ou d'influence. Comme on dit : « il est plus facile de pirater une personne que de pirater une machine ».
  • Grâce au piratage psychologique, un programme malveillant peut démarrer sans même avoir à toucher à votre serveur Web. Avec seulement très peu d'informations sur votre entreprise, un pirate peut se faire passer pour un dirigeant de l'entreprise ou une autorité externe (telle que la police ou un avocat) au téléphone. Si le pirate est suffisamment convaincant, il peut persuader un développeur junior d'installer inconsciemment un programme malveillant ou d'installer un lien à ce programme.
  • Toutes les personnes ayant accès à votre serveur Web doivent être fiables et vous devez pouvoir leur faire confiance. Cependant, quelque soit votre niveau de confiance, votre serveur devra pouvoir tracer les connexions utilisateur et toutes les actions pendant la connexion.
  • Confiance et responsabilité sont les clés de la prévention de la menace la plus directe : un travail de l'intérieur, une attaque délibérée d'un employé ou d'un collègue. Que les motivations soient personnelles ou contraintes par un tiers, cette personne dispose déjà de tous les accès et privilèges nécessaires pour l'implantation de programmes malveillants sur votre site Web.
  • Pour tout changement sur votre site Web, disposez d'un processus de déconnexion clair. Vous devez également disposer de plans d'urgence dans le cas où les personnes critiques ne sont pas disponibles, afin que tout le monde sache comment agir si vous ou votre administrateur système n'êtes pas joignables.

Utilisez votre serveur Web pour une chose et une chose uniquement : exécuter votre site Web.

  • N'utilisez jamais votre serveur pour naviguer sur le Web, vérifier votre courrier électronique, votre messagerie instantanée, votre blog sur vos vacances ou pour envoyer des photos de votre réunion de famille de la semaine précédente à votre mère. L'infiltration des pirates représente une menace bien suffisante : ne les aidez pas en navigant activement sur l'Internet.
  • Supprimez tous les programmes non utilisés de votre serveur Web. Les applications populaires sont parfois connues pour leurs vulnérabilités et les pirates peuvent facilement les exploiter. Si un programme n'est pas utilisé, supprimez-le afin qu'il n'y ait aucun point d'attaque possible.
  • Si vous le pouvez, supprimez la documentation logicielle du serveur et stockez-la ailleurs. En effet, la documentation qui comprend le nom des applications, les numéros de version et les résolutions de bogue permet aux pirates de savoir ce qui se trouve sur le serveur et comment y avoir accès.

Programme de correction, programme de correction, programme de correction. Maintenez votre logiciel serveur, vos systèmes d'exploitation et vos applications à jour.

  • Vous devez savoir quels logiciels se trouvent sur votre serveur. Faites une liste de tous les systèmes d'exploitation et des logiciels d'application installés sur le serveur, ainsi que les numéros de version.
  • Maintenez tous les logiciels du serveur à jour et utilisez les versions les plus récentes. Elles incluent souvent les résolutions pour les vulnérabilités connues. Les résolutions de vulnérabilité ferment les failles que les communautés de pirates et de programmes malveillants savent exploiter. Pour en savoir plus sur les programmes malveillants. Reportez-vous à l'article de base des connaissances AR1293, Introduction aux programmes malveillants.

 

Knowledge Center


Search Tips