Recommandations pour sécuriser un serveur connecté à Internet
En quelques mots
Les mesures de sécurité sont des mesures comportementales,
organisationnelles ou techniques qui cherchent à garantir la
confidentialité,
l’intégrité et la
disponibilité d’un
actif. Les mesures de sécurité
cherchent à réduire les
vulnérabilités exploitées
par les menaces pour ainsi
réduire les impacts. Elles sont
définies lors de la phase de traitement du risque du processus gestion des risques.
Mesures de sécurité
- Il est fortement recommandé de mettre à jour régulièrement
le système d’exploitation ainsi que les applications du serveur.
L’exploitation de ces vulnérabilités techniques
peut provoquer une corruption du fonctionnement du serveur ou un vol
respectivement une destruction des fichiers et
éventuellement des détournements des flux de données. Rédigez et
faites respecter une politique sectorielle de développement et maintenance des systèmes.
- Il est fortement recommandé de restreindre la fonctionnalité du
serveur à une seule tâche et de n’héberger aucune autre application
sur ce même serveur virtuel, respectivement physique.
- Il est fortement recommandé de segmenter le réseau et de mettre le
serveur dans une DMZ. L’accès au serveur doit donc passer un
firewall et
idéalement par un IDS/IPS.
Rédigez et faites respecter une Politique sectorielle pour le
contrôle d’accès.
- Il est fortement recommandé d’intégrer le serveur dans le plan de
sauvegarde. Rédigez et faites respecter une politique sectorielle
pour la gestion de l’exploitation et des télécommunications. Rédigez
et faites respecter une politique sectorielle liée aux Aspects
opérationnels et communications.
- Il est fortement recommandé de mettre en place une
authentification forte
pour tout accès depuis l’extérieur de l’entité. Rédigez et faites
respecter une politique sectorielle pour le contrôle d’accès.
- Il est fortement recommandé d’imposer une certaine robustesse du
mot de passe des utilisateurs, ainsi que pour le compte
administrateur. Rédigez et faites respecter une politique
sectorielle pour le contrôle d’accès.
- Il est fortement recommandé de mettre en place un système de
journalisation (logging) s’il n’est pas déjà en place par défaut. De
plus, il est évidemment important de pouvoir évaluer le contenu des
fichiers journal; de ce fait l’utilisation d’outils d’aggrégation et
d’analyse, voire d’alerte, de fichiers journal est très utile. Cette
journalisation doit être conforme avec les lois sur la protection
des données à caractère personnel - surveillance sur le lieu de
travail (voir le site de la CNPD).
- Il est fortement recommandé de protéger ce serveur contre les codes malicieux.
Le logiciel d’analyse
antivirus doit être
régulièrement mis à jour pour pouvoir reconnaître les derniers
codes malicieux et les supprimer. Rédigez et faites respecter une politique
sectorielle sur Aspects opérationnels et communications.
- Pour des serveurs classifiés comme
importants ou vitaux, il est proposé de conclure un contrat de
maintenance avec un délai d’intervention correspondant au niveau
de classification du serveur. Rédigez et faites respecter une
Politique sectorielle Sécurité physique et environnementale.
- Pour des serveurs classifiés comme
importants ou vitaux, il est fortement recommandé d’utiliser des
onduleurs pour assurer une sécurité électrique. Rédigez et faites
respecter une Politique sectorielle pour la Sécurité physique et
environnementale.
- Il est fortement recommandé de sécuriser l’accès physique au
serveur aux seules personnes ayant droit. Rédigez et faites
respecter une Politique sectorielle pour la Sécurité physique et
environnementale.
- En cas de mise au rebut du serveur, il est fortement recommandé de
physiquement détruire (par broyeur ou démagnétiseur) les disques
durs. Rédigez et faites respecter une Politique sectorielle Sécurité
physique et environnementale.
- Documentez les plus importantes manipulations sur le serveur
(sauvegarde, mise en arrêt, démarrage,…). Rédigez et faites
respecter une Politique sectorielle sur les Aspects opérationnels et
communications.