Retour conférence Blend Web Mix 2015 : La sécurité des sites Web (Stéphane Bortzmeyer)

Stéphane Bortzmeyer (@bortzmeyer) était présent au Blend Web Mix 2015. Il nous a donné un bon résumé sur l’état de la sécurité sur le web aujourd’hui. Ce post est une synthèse de ce qu’il a présenté durant sa conférence : «La sécurité des sites Web (Non, ce n’est pas seulement mettre Drupal à jour)». Vous pouvez voir l’intégralité de la conférence sur YouTube : ce que je vous recommande.

Au niveau applicatif, les principales failles de sécurité sont de types CSRF, XSS ou injections SQL (voir le top 10 OWASP). Ces failles sont aujourd’hui bien connues et tout un tas de bonnes pratiques nous permettent de les éviter :

  • Mises à jour systèmes et applicatives
  • Analyses statiques de code
  • Ou encore des outils d’audit automatisés

Cependant en 2015, les attaques les plus préoccupantes concerneraient plutôt les protocole DNS, HTTPS ainsi que les attaques de type DDOS. Ces dernières sont directement liées aux choix techniques de notre infrastructure. Par exemple, si l’on possède 3 serveurs DNS redondants, il faut s’assurer qu’ils ne se trouvent pas dans le même datacenter..

La sécurité est quelque chose qui se prépare, il faut anticiper tous les risques. Le fait d’avoir un applicatif sécurisé ne suffit pas ! Il faut sécuriser toute la chaîne (de l’infrastructure technique jusqu’au logiciel) et veiller à la tolérance aux pannes.

Et une citation pour finir :

« Security Is Not a Product; It’s a Process » (Bruce Schneier)

Aucun commentaire pour Retour conférence Blend Web Mix 2015 : La sécurité des sites Web (Stéphane Bortzmeyer)