Recommandations pour sécuriser un serveur connecté à Internet
En quelques mots
Les mesures de sécurité sont des mesures comportementales, organisationnelles ou techniques qui cherchent à garantir la confidentialité, l’intégrité et la disponibilité d’un actif. Les mesures de sécurité cherchent à réduire les vulnérabilités exploitées par les menaces pour ainsi réduire les impacts. Elles sont définies lors de la phase de traitement du risque du processus gestion des risques.
Mesures de sécurité
- Il est fortement recommandé de mettre à jour régulièrement le système d’exploitation ainsi que les applications du serveur. L’exploitation de ces vulnérabilités techniques peut provoquer une corruption du fonctionnement du serveur ou un vol respectivement une destruction des fichiers et éventuellement des détournements des flux de données. Rédigez et faites respecter une politique sectorielle de développement et maintenance des systèmes.
- Il est fortement recommandé de restreindre la fonctionnalité du serveur à une seule tâche et de n’héberger aucune autre application sur ce même serveur virtuel, respectivement physique.
- Il est fortement recommandé de segmenter le réseau et de mettre le serveur dans une DMZ. L’accès au serveur doit donc passer un firewall et idéalement par un IDS/IPS. Rédigez et faites respecter une Politique sectorielle pour le contrôle d’accès.
- Il est fortement recommandé d’intégrer le serveur dans le plan de sauvegarde. Rédigez et faites respecter une politique sectorielle pour la gestion de l’exploitation et des télécommunications. Rédigez et faites respecter une politique sectorielle liée aux Aspects opérationnels et communications.
- Il est fortement recommandé de mettre en place une authentification forte pour tout accès depuis l’extérieur de l’entité. Rédigez et faites respecter une politique sectorielle pour le contrôle d’accès.
- Il est fortement recommandé d’imposer une certaine robustesse du mot de passe des utilisateurs, ainsi que pour le compte administrateur. Rédigez et faites respecter une politique sectorielle pour le contrôle d’accès.
- Il est fortement recommandé de mettre en place un système de journalisation (logging) s’il n’est pas déjà en place par défaut. De plus, il est évidemment important de pouvoir évaluer le contenu des fichiers journal; de ce fait l’utilisation d’outils d’aggrégation et d’analyse, voire d’alerte, de fichiers journal est très utile. Cette journalisation doit être conforme avec les lois sur la protection des données à caractère personnel - surveillance sur le lieu de travail (voir le site de la CNPD).
- Il est fortement recommandé de protéger ce serveur contre les codes malicieux. Le logiciel d’analyse antivirus doit être régulièrement mis à jour pour pouvoir reconnaître les derniers codes malicieux et les supprimer. Rédigez et faites respecter une politique sectorielle sur Aspects opérationnels et communications.
- Pour des serveurs classifiés comme importants ou vitaux, il est proposé de conclure un contrat de maintenance avec un délai d’intervention correspondant au niveau de classification du serveur. Rédigez et faites respecter une Politique sectorielle Sécurité physique et environnementale.
- Pour des serveurs classifiés comme importants ou vitaux, il est fortement recommandé d’utiliser des onduleurs pour assurer une sécurité électrique. Rédigez et faites respecter une Politique sectorielle pour la Sécurité physique et environnementale.
- Il est fortement recommandé de sécuriser l’accès physique au serveur aux seules personnes ayant droit. Rédigez et faites respecter une Politique sectorielle pour la Sécurité physique et environnementale.
- En cas de mise au rebut du serveur, il est fortement recommandé de physiquement détruire (par broyeur ou démagnétiseur) les disques durs. Rédigez et faites respecter une Politique sectorielle Sécurité physique et environnementale.
- Documentez les plus importantes manipulations sur le serveur (sauvegarde, mise en arrêt, démarrage,…). Rédigez et faites respecter une Politique sectorielle sur les Aspects opérationnels et communications.
