BLUE ACACIA
AUTEURS :
25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM
BLUE ACACIA
ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER
LA SECURITE SUR LE WEBBest Practice en matière de sécurité de sites web
BLUE ACACIA
Slide
Slide
Slide
Slide
Slide
Slide
Slide
Slide
Slide
Slide
Slide
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 2
Sommaire
Introduction1 04
Leçon numéro 1 : Sensibiliser ses équipes2 06
Leçon numéro 2 : Sécuriser les URL3 08
Leçon numéro 3 : Protéger les formulaires génériques des attaques JavaScript4 10
Leçon numéro 4 : Verrouiller les formulaires d’identification5 16
Leçon numéro 5 : Contrôler son CMS6 21
Leçon numéro 6 : Protéger ses bases de données7 24
Leçon numéro 7 : Sécuriser ses passerelles8 26
Leçon numéro 8 : Protéger ses serveurs d’hébergement9 30
Leçon numéro 9 : Protéger son réseau local10 33
Fin11 37
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 3
Introduction
Qui peut aborder ce sujet en toute sérénité ?
Après 10 ans d’expérience dans le web, plusieurs centaines de projets développés, plus de 400 clients, presque une centaine de sites marchands, Blue acacia a une certaine légitimité a répondre à cette vaste problématique. Par contre, c’est un thème risqué car il implique : une absence de langue de bois et surtout des cas concrets. J’attire votre attention sur le caractère illicite de certaines manipulations évoquées.
Blue acacia est concernée car notre structure est exposée …
Þ A la fois développeur et hébergeur / Répartition sur 2 sites distants / Profil technophiles (wifi, oma, owa, vpn, …) Þ Croissance organique (de 33 personnes en 2008 à 54 personnes actuellement),Þ Un parc serveur important (40 machines dédiées) / Plus de 2.000 urls hébergées,Þ Plusieurs millions d’internautes chaque mois / 20 millions d’e-mails routés en 2008,
… et parce que nos clients et les données sont sensibles :
Þ Honda (Division Moto / Division Equipement / Intranet des 220 concessions),Þ Presque 100 sites marchands,
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 4
Introduction
MAIS …
1) De façon générale, iI devient de plus en plus difficile de hacker.
2) De façon plus particulière, nous capitalisons sur une meilleure expérience chaque année.
3) Les systèmes proposés par les banques assurent une bonne sécurité pour la vente en ligne.
4) La loi protège nos clients et nous sommes couverts par une RC (non obligatoire).
5) Les technologies sont de plus en plus performantes :Þ WAFÞ Langages (.Net)Þ Virtualisation
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 5
SCREENSHOT DE TENTATIVES DE HACKING SERIEUSES SUR UN DE NOS SITES
INTERCEPTEES PAR LE WAF ET L’IDS
1) Injection SQL
2) Attaque cross scripting
3) Brut force
4) …
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 1 : Sensibiliser ses équipes
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 7
LECON NUMERO 1 / Sensibiliser ses équipes
Créer une hiérarchie dans les développeurs :
Þ Directeur technique
Þ Responsables de Pôles (.Net, Php, Flah,…)
Mettre en place des fiches de procédures :
Þ Chez Blue acacia nous avons une « Blue school » pour éduquer nos développeurs (Chaines de connexion ou d’identifications par exemple)
Imposer un socle commun :
Þ Framework (3.5 sur le .Net, Zend en Php,…)
Þ Méthode de développement (MVC)
Þ Logiciels et pratiques de développement (VSS pour le .Net et SVN pour le reste)
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 2 : Sécuriser les URL
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 9
LECON NUMERO 2 / Sécuriser les URL
Définir une liste de caractères interdits dans une url :Þ <SCRIPT> / SELECT / FROM / …
Choisir du SSL pour les sites marchands :Þ Démo vidéo sur le déploiement d’un SSL sur du .Net
Interdire la navigation anonymeÞ Blocage du mode « Parcourir » sur les serveurs web.
Contrôle de provenance :Þ Pour éviter le pishing ou le cross scripting, toutes les pages ayant une action directe vers la base de données embarquent dans leurs entêtes un script anti hameçonnage « anti pishing ».Þ Contrôle de l’url de provenance via une commande « request.ServerVariables("HTTP_REFERRER_X") » pour vérifier quel’internaute ne tente pas de lancer une page de traitement depuis une iplocale et/ou différente de celle du serveur du site.
Prévoir un système de surveillance :Þ Déclencher des alertes pour l’utilisateur et pour l’administrateur.Þ Exemple :
http://www.aeroclub-st-tropez.com/aeroclub_st_tropez.asp?langue=fr&rubrique=1&id=8 and true
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 3 : Protéger les formulaires génériques des attaques JavaScript
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 11
LECON NUMERO 3 / Démo d’attaque par injection JavaScript
Saisie dans un formulaire d’un script malveillant pour rendre indisponible une interface d’administration :
Þ <SCRIPT LANGUAGE="Javascript">for(i=0;i<3;i++){;alert("Admin indisponible");}</SCRIPT>
<SCRIPT LANGUAGE="Javascript">for(i=0;i<3;i  ){;alert("Admin indisponible");}</SCRIPT>
Þ Url de démo : [URL DE FRONT OFFICE SUPPRIMEE : pour des raisons de confidentialité] [URL DE MIDDLE OFFICE SUPPRIMEE : pour des raisons de confidentialité]
Accès direct aux pages ayant des traitements avec la base de données :
Þ [URL SUPPRIMEE : pour des raisons de confidentialité]
Þ <SCRIPT>window.open("http://<% response.write(request.servervariables("SERVER_NAME")&request.servervariables("PATH_INFO")&"?"&request.servervariables("QUERY_STRING")) %>")</SCRIPT>
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 12
LECON NUMERO 3 / Mesures de protection à mettre en place
Définir une taille maximum sur les champs input :
Þ Mettre une propriété de type « Maxlength » sur les champs des formulaires.Þ Le contrôle de la taille des champs « input » permet d’éviter la saisie de code.
Mettre en place des scripts pour contrôler le format des saisies faites par l’internaute :
Þ Contrôle de saisie pour éviter le stockage de données erronées(exemple du contrôle du format des e-mails).
Mettre en place des règles de gestion pour contrôler la syntaxe des contenus envoyés aux bases de données :
Þ Tous les formulaires devraient embarquer un script permettant de contrôler le type de données envoyées dans la base de données.Þ Contrôle de caractères interdits via une liste d’expressions surveillées (%, script, drop table, …) pour éviter l’injection SQL.Þ Formatage des données via un script « server.htmlencode » pour désactiver dans la base d’éventuels scripts malveillants.
Mettre en place un moteur de surveillance :
Þ Stockage de l’adresse IP de la personne effectuant la manœuvre non autorisée,Þ Envoi d’une alerte e-mail à l’administrateur du site et au responsable sécurité de Blue acacia, Þ Affichage d’un avertissement sur le navigateur de l’internaute.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 13
LECON NUMERO 3 / Exemples de scripts
CONTRÔLE SUR LA PROVENANCE DES PAGES APPELLEES
POUR EVITER LE CROSS SCRIPTING
CONTRÔLE DU DOMAINEET DU REFERRER DE
L’INTERNAUTE
CONTRÔLE DES VARIABLES
VOYAGEANT DANS LES URLS
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 14
LECON NUMERO 3 / Exemples de scripts
1) DEFINITION D’UNE LISTE DE CARACTERE INTERDITS
(script, nvarchar, drop table, …)
2) CONTRÔLE SUR LEUR SYNTAXE (ascii, base 64,
binaire, avec et sans espace, …)
3) ENCODAGE DES CARACTERES EN BASE DE DONNEES
4) RECUPERATION DE L’ADRESSE IP (même masquée derrière un proxy)
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 15
LECON NUMERO 3 / Démo une fois les protections mises en place
Attaque par manipulation de variable dans l’url :
Þ [URL SUPPRIMEE : pour des raisons de confidentialité]
Þ Redirection vers l’accueil
Attaque par injection de Javascript dans le formulaire :
Þ [URL SUPPRIMEE : pour des raisons de confidentialité]
Þ Données non injectées en base + alerte
Attaque par tentative d’accéder à une page qui a traitement avec une base de données :
Þ [URL SUPPRIMEE : pour des raisons de confidentialité]
Þ Page non accessible + alerte
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 16
LECON NUMERO 3 / Démo une fois les protections mises en place
1) Tout cet arsenal de développement que nous avons mis en place sur les dix dernières annéesest entrain de disparaître grâce aux nouveaux framework (surtout le .Net) qui embarquent désormais la grande majorité des protections sur mesure que nous avions développé !
2) Concernant ce point Microsoft est largement en avance sur les environnements concurrents.
3) Astuce : l’attaque du smtp par détournement de fonctionnalité :Récolter les e-mails d’une dizaine d’internautes qui se plaignent de spamLes inscrire à une newsletter ne nécessitant aucun confirmation.
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 4 : Verrouiller les formulaires d’identification
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 18
LECON NUMERO 4 / Casser une identification par injection SQL
Attaque par détournement du couple login/mot de passe sur un extranet client :
Þ Exemple de faille sur un site e-commerce [URL SUPPRIMEE : pour des raisons de confidentialité]
Þ Exemple de faille sur un site de compagnie aérienne [URL SUPPRIMEE : pour des raisons de confidentialité]
Attaque par détournement du couple login/mot de passe sur une interface d’administration :
Þ Exemple de faille sur l’admin d’un site e-commerce d’une grande marque de Luxe [URL SUPPRIMEE : pour des raisons de confidentialité]
Þ Exemple de faille sur l’admin d’un corporate d’un groupe leader dans l’Industrie [URL SUPPRIMEE : pour des raisons de confidentialité]
Exemples d’injection :
Þ ' or ''='
Þ ' OR 1=1'); //
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 19
LECON NUMERO 4 / Verrouiller les formulaires d’identification
Complexifier l’accès aux pages de l’interface d’administration :
Þ Ne pas créer un répertoire « /admin/ » à la racine du site.
Þ Privilégier une url complexe, un alias ou une authentification forte.
Þ Insérer une balise <META NAME="robots" content="noindex, nofollow"> dans les pages.
Þ Fichier robots.txt avec une variable de type « Disallow: /admin/ » pour bloquer l’accès aux répertoires parents/enfants.
Désactiver les injections SQL :
Þ Définir un nombre de tentatives maximum.
Þ Proposer du reset de mot de passe plutôt que de l’envoi par mail.
Þ Stocker les adresse IP des personnes identifiées et prévoir un systèmede surveillance et d’alertes.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 20
LECON NUMERO 4 / Verrouiller les formulaires d’identification
Mettre en place des règles pour la génération de futurs comptes :
Þ Pwd simple : Login = mot de passe = adresse IP (triple concordance).
Þ Pwd complexe : Login = mot de passe (couple simple avec un minimum de caractères imposés).
Sécuriser les mots de passe :
Þ Une des meilleurs techniques consiste à adopter une fonction de hachage cryptographique (conçue par la National Security Agency).En 1995, la norme était le « SHA 1 » (Secure Hash Algorithm), cassée en 2005.Une nouvelle norme doit voir le jour en 2012.Chez Blue acacia nous utilisons du SHA 512 (proposé par le Framework .Net)combiné avec un 2nd hash sous forme de variable additionnelle (« SALT »).
Þ Créer un premier compte dans la base de données, dont les droits seront désactivés avec une alerte en cas de connexion.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 21
LECON NUMERO 4 / Exemples de scripts
1) VERIFICATION DU CONTENU DES CHAMPS
2) VERIFICATION DU COMPTE DE SECURITE (1ERE LIGNE DE LA BASE DE DONNEES DESACTIVEE)
3) VERIFICATION DE LA CHAINE DE CONNEXION
4) VERIFICATION DE LA CONCORDANCE AVEC L’ADRESSE IP
5) CREATION DE LA SESSION ET AFFECTATION DES DROITS CORRESPONDANTS
6) LES SYSTEMES DE CAPTCHA NE SERVENT A RIEN SI UNE COUCHE W.A.F. EST INSTALLEE.
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 5 : Contrôler son CMS
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 23
LECON NUMERO 5 / Failles des CMS
Pourquoi sur FCK : parce qu’il existe en asp, en php, en .Net, en coldfusion ….
Þ Accéder à la médiathèque [DEBUT DE L’URL SUPPRIMEE POUR RAISON DE SECURITE]/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
Þ Naviguer dans l’arborescence serveur [DEBUT DE L’URL SUPPRIMEE POUR RAISON DE SECURITE]/editor/filemanager/browser/default/browser.html?Type=../../&Connector=connectors/asp/connector.asp
Historique de quelques petites failles sur d’autres CMS :
Þ Obtenir le code source d’une page en asphttp://www.monsite.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full http://www.votresite.com/votrepage.asp::$DATA / http://www.votresite.com/global.asa+.htr
Þ Devenir administrateur d’un site utilisant Joomlahttp://www.example.com/index.php?option=com_gmaps&task=viewmap&Itemid=57&mapId=-1/**/union/**/select/**/0,username,password,3,4,5,6,7,8/**/from/**/jos_users/*
Þ Devenir administrateur d’un site utilisant PHP 123 http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/admin/*
http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/users/
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 24
LECON NUMERO 5 / Contrôler son CMS
1) AUDITER LE CODE DU CMS
2) METTRE DES SESSIONS SECURISES SUR TOUTES LES PAGES D’UN CMS
3) VERIFIER QUE LE CMS N’OUTREPASSE PAS LES DROITS SERVEURS
(Navigation anonyme, arborescence libre, upload d’exécutables)
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 6 : Protéger ses bases de données
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 26
LECON NUMERO 6 / Protéger ses bases de données
Protection des données :
Þ Crypter les données des champs importants (mot de passe, …).
Þ Avant nous utilisions des tables avec une variable client différente pour qu’un hacker ne puissepas utiliser une injection identique d’un site à l’autre. Nous avons abandonné cette pratique depuisque nos développeurs utilisent l’objet.
Þ Activation de l’option « TDE » (Transparent data Encryption) : encryptage des donnéesde type log (« .ldf »), dump et base de données (« .mdf ») au cas ou un utilisateur accède aux données sans passer par le logiciel de Microsoft.
Protection des accès :
Þ Serveur SQL uniquement accessible sur le LAN de Blue acacia.
Þ Vérification de l’emplacement de stockage des répertoires des dump.Un hébergeur très connu stocke ses dump MySQL sur un même répertoire intitulé /code&sql/Le répertoire est accessible en navigation anonyme et que la syntaxe du dump est identique.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 27
LECON NUMERO 6 / Protéger ses bases de données
1) A la différence de MySQL, SQL server ne peut pas être accédé depuis le port 80 avec un simple navigateur.
2) Il faut une couche logicielle (SQL Server Management Studio) ou un connecteur Access.Toute connexion laisse donc des traces.
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 7 : Sécuriser ses passerelles
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 29
LECON NUMERO 7 / Démo d’attaque sur un site Flash et Php
Accès aux scripts et analyse des failles d’une passerelle de type AMFPHP :
Þ Récupération du code et des classes du FlashÞ Recherche de la passerelle amfphp dans le code extraitÞ Accès direct à la passerelle via le navigateurÞ Premier test (accès direct au browser de la passerelle, qui n’a manifestement pas été sécurisée par les développeurs)
Accès aux scripts et analyse des failles :
Þ Récupération du code et des classes du FlashÞ Accès aux newsletters envoyéesÞ Accès aux répertoire imagesÞ Accès aux fichiers XML de chaque utilisateurs …Þ Plus embêtant : accès à la liste des inscrits de la base (nom, login, e-mail, mot de passe, …)Þ accès aux sessions (avec la possibilité de créer une session par exemple …)Þ Accès au code source avec la possibilité d’ « overwrite files ». On peut par exemple, directement modifier le code source de la page PHP qui ouvre les sessions des utilisateurs inscrits et sauvegarder les modifications de la page php : ce qui ferait planter le système d’authentification.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 30
LECON NUMERO 7 / Récupération d’un contenu protégé
Le cas des sites portails délivrant des contenus payants : [NOM SUPPRIME POUR RAISON DE SECURITE]
Þ Taper « %temp% » dans l’invite de commandesÞ Vider la mémoire cacheÞ Utiliser un logiciel permettant d’unlocker le cache du navigateur utiliséÞ Lancer en ligne l’écoute d’un fichierÞ Récupérer et copier le fichier « plugtmp.php »Þ Renommer le fichier « plugtmp.php » en le fichier « mp3 »
Le site [NOM SUPPRIME POUR RAISON DE SECURITE] en v2
Þ Taper « %temp% » dans l’invite de commandesÞ Vider la mémoire cacheÞ Utiliser un logiciel permettant d’unlocker le cache du navigateur utiliséÞ Lancer en ligne l’écoute d’un fichierÞ Récupérer et linker les 5 fichiers (Grâce au byte array, le Flash permet de lire le fichier)
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 31
LECON NUMERO 7 / Mesures de protection à mettre en place
Exemples de techniques :
Þ Vérifier que le fichier SWF passe bien par la page qui diffuse le Flash (le client passe bien par le serveur web).Þ Utiliser de l’authentification sécurisée (le FMS récupère l’id de la session, la transmet au serveur qui vérifie son existence et donne
en retour une nouvelle clé unique au FMS qui la diffuse à son tour au client).Þ Générer éventuellement un fichier SWF côté serveur qui expire.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 32
LECON NUMERO 7 / Mesures de protection à mettre en place
1) CELA NE SERT PLUS A RIEN D’OBFUSQUER LE CODE DU SWF (EXEMPLE DE HP SCAN)
2) IL VAUT MIEUX SE CONCENTRER SUR LA SECURITE DE LA PASSERELLE ELLE-MEME (COTE SERVEUR)
3) L’EQUIVALENT MICROSOFT (FLUORINE) EST BEAUCOUP MIEUX SECURISE
4) NOUS SOMMES ENTRAIN DE TESTER LA SECURITE DE LA TECHNOLOGIE DE SMOOTH STREAMING DE MICROSOFT
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 8 : Protéger ses serveurs d’hébergement
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 34
LECON NUMERO 8 / Protéger ses serveurs d’hébergement
Firewall redondé (Solution Pfsense) :
Þ Machine redondéeÞ Blocage des ports
Þ Hébergement normal : blocage de tous les ports sauf le port 80 (web)Þ Hébergement SSL : blocage de tous les ports sauf les ports 80 (web) et 443 (SSL)Þ Messagerie : blocage de tous les ports sauf le smtp
Þ Blocage des paquets
IDS (Intrusion Détection System)
WAF (Web Application Firewall)
Þ Protection contre l’injection SQLÞ Protection contre la manipulation des variables dans l’URLÞ Protection contre le cross scripting
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 35
LECON NUMERO 8 / Protéger ses serveurs d’hébergement
Serveurs :
Þ Protection physique : Datacenter certifié sécurisé, Contrôle d’accès, Baie fermée par digicode.
Þ Protection disques dur (Raid) : Protection électrique, Double alimentation, Matériel auto protégé.
Þ Protection thermique.
Þ ParamétrageÞ Bios protégé par mot de passe / Interdiction de boot sur cédérom et USB.Þ Compte administrateur par défaut désactivé (surveillé par l’IDS).
Þ Réseau étancheÞ Les serveurs (y compris les virtuels) sont isolés entre eux au cas où une machine soit infectée (Solution Cisco : PV Lan).
Services :
Þ Pool application.
BLUE ACACIA
BLUE ACACIA
LECON NUMERO 9 : Protéger son Lan
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 37
LECON NUMERO 9 / Protéger son LAN
Réseau :
Þ InternetÞ Firewall (Solution PFsense).Þ Filtrage des url (Solution Microsoft : Internet Security & Acceleration Server).Þ Antivirus (Solution Kaspersky).
Þ WifiÞ Avant : SSID masqué par brouilleur.Þ Maintenant : réglage de la portée par orientation de la diffusion et de la puissance du signal.Þ Clé WPA 2.
Þ RJ45 : Seule chose autorisée : accès au web (Si client en visite : réseau web étanche à part).
Þ VPN (Solution Microsoft)Þ Groupe direction (3 associés et directeur technique) : accès permanent.Þ Autres profils : gestion des droits à la volée. Par défaut aucun accès VPN n’est autorisé sauf demande exceptionnelle.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 38
LECON NUMERO 9 / Protéger son LAN
Utilisateurs :
Þ Utilisateurs gérés par des groupes (Solution Microsoft : Advanced Group Policy Management).Þ Organisation par services et métiers (direction, commercial, réseaux, …).Þ Gestion fine (cas particuliers).
Parc informatique :
Þ Déploiement centralisé et gestion des mises à jour des logiciels Microsoft (Solution Microsoft : Windows Server Update Services).
Þ Migration progressive vers Windows Seven.Þ Actuellement 31 postes sur les 61.Þ Migration totale avant la fin de l’année.
Þ Antivirus (Solution Kaspersky)Þ Serveurs
Þ Usage interne (Intranet, Comptabilité, …) : Mot de passe changé tous les mois (15 caractères complexes).Þ Usage mixte (Serveurs de développement, …) : DMZ.
BLUE ACACIA
BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 39
LECON NUMERO 9 / Protéger son LAN
Parc informatique :
Þ Machines clientsÞ Disques cryptés avec un mot de passe (Solution Microsoft : Windows BitLocker).Þ Désactivation du stockage de masse USB (interdiction des périphériques USB).Þ Politique cédérom : Si cd d’installation : pas de pb car aucun droits / Si cd de contenu : autorisé.Þ Mots de passe : Min 7 caractères (alpha/numériques/spéciaux) / Obligation de changer tous les mois.
Þ Méthode de travailÞ VSS pour les sites .Net (Solution Microsoft : Visual SourceSafe).Þ SVN pour les sites Flash et Php (Solution Subversion).Þ FTP : non accessible de l’extérieur (sauf demande du client).
Þ Données backupées (Solution Microsoft : System Center Data Protection Manager 2007 SP1)Þ Retour arrière possible sur 2 semaines.Þ Copies externalisées sur LTO-4.
BLUE ACACIA
AUTEURS :
25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM
BLUE ACACIA
ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER
MerciFrançois Sutter - Directeur Associé
Olivier Baillet - Directeur Associé [email protected]
Xavier Baillet - Directeur Associé [email protected]
Valérie Herbelot- Directrice du développement [email protected]
Sébastien Serra – Chargé de clientè[email protected]