Ouverture des données sur le web : sécurisez votre système d’information

Maxime Yan

Maxime Yan

Ingénieur Recherche & Développement chez Naoned
Maxime Yan

Les derniers articles par Maxime Yan (tout voir)

De par sa facilité de mise en œuvre pour les entreprises et d’utilisation par le grand public, les technologies du web sont largement utilisées aujourd’hui. Cette utilisation massive et ouverte à tous implique un risque de diffusion de données critiques : des cas d’attaques d’applications web et de fuites de données font régulièrement la une des actualités.

 

INFOTEL, OWASP ET CWE POUR SÉCURISER VOS DONNÉES
En tant qu’éditeur de logiciel axé à 100% sur le web, nous nous devons d’apporter à nos clients des solutions sécurisées afin de leur garantir l’intégrité et la confidentialité de leurs données. C’est pourquoi nous avons intégré la sécurité en tant que priorité numéro un dans la mise en œuvre de nos solutions.

Notre logiciel de gestion Mnesys est confié aux experts en sécurité informatique de la société Infotel. Ils effectuent sur nos produits des audits et des tests d’intrusion pour chaque nouvelle version. Les failles identifiées sont corrigées avant publication et des améliorations sont régulièrement apportées, afin de garantir la sécurité des données.

Nous nous appuyons également sur les référentiels OWASP et CWE pour détecter et prévenir les risques relatifs à a sécurité.
Le CWE publie les plus fréquentes failles de sécurité et indique comment les éviter. Quant à l’OWASP, c’est une communauté travaillant sur la sécurité des applications web et publie les bonnes pratiques de développement permettant de produire des applications sécurisées.

 

Sécuriser une application au niveau de son code ou de son fonctionnement
ne garantit pas totalement la sécurité des données.

 

Afin de maximiser la sécurité de leurs données, nous encourageons fortement nos clients à suivre ces trois préconisations :

• Utiliser les dernières versions en date de nos logiciels. Chaque nouvelle version peut apporter des correctifs des dernières failles ou bonnes pratiques de sécurité recensées par les organismes mentionnés précédemment. Nous sortons généralement une version mineure tous les trois mois, ce qui demande peu d’investissement de mise à jour ;

• Installer un certificat SSL sur les serveurs, qu’ils soient ouverts sur Internet ou non. En effet, une intrusion peut provenir d’Internet, mais aussi du réseau local. Un certificat SSL permet d’utiliser le protocole HTTPS. Cela chiffre les données qui transitent entre le client et le serveur, empêchant l’attaquant d’accéder à des informations sensibles (comme des identifiants et mots de passe par exemple). L’utilisation d’un certificat est indiqué par le fameux cadenas vert affiché sur les navigateurs dont voici un exemple :

https-naoned

• Garder les composants du système à jour. Des failles récentes telles que HeartBleed, découverte en mars 2014, ont compromis un grand nombre de serveurs. Une simple mise à jour du composant OpenSSL a permis de corriger cette faille dès sa découverte.

 

Pour terminer, la version 3.14.6 de nos logiciels de gestion contient des correctifs de sécurité que nous avons mis en place avec notre partenaire.

Maxime Yan

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *