Découvrez toutes nos stories Drupal… mais pas que

Tout d’abord, répondons à la question de pourquoi encrypterait-on ses données ? Simplement car un utilisateur peut trouver une faille qui lui donnera accès en lecture sur votre base de données (par exemple via une injection SQL) sans accès au code. Cependant, si les données sont encryptées et qu’il ne dispose pas de la clé (pour faire simple, généralement une grosse chaîne de caractères localisée dans le code), il ne lira que des chaînes de caractères sans aucun intérêt. Sa pêche aux informations aura donc été vaine.

Le souci de la sécurité, voici l’une des raisons pour lesquelles Drupal est couramment choisi. Il faut dire que, pour être sélectionné comme système à l’origine de sites gouvernementaux (l’Etat français en fait largement usage), la sécurité est un prérequis.
Si Drupal est « naturellement » sécurisé, il n’en reste pas moins régulièrement sujet à des failles de sécurité, comme tous les systèmes informatiques, et si votre administrateur choisit « admin » comme pseudo et mot de passe, le site restera ouvert aux quatre vents.

Les services associés à internet explosent. Le thème de la sécurité est donc évidemment central et nous concerne tous. Sans même le vouloir, nous sommes tous utilisateurs directement ou indirectement d'internet à travers tous ses innombrables services : messageries, mail, web, géolocalisation, streaming vidéo... Et nos usages ne cessent d'être toujours plus liés à internet. Nous sommes donc chacun d'entre nous des cibles potentielles !

Avec l'avènement des objets connectés, on est réellement entré dans l’ère du cyberespace. L’accès à internet est permanent, tout en étant discret, ce qui nous expose au travers de tous nos objets du quotidien à des menaces quasi imperceptibles.

Les architectures microservices sont de plus en plus communes, et s'opposent à l'approche monolithique. C'est en quelque sorte la décentralisation d'une application : de multiple services indépendants communiquent avec une application via des webservices/APIs. Quels sont les nouveaux challenges de cette approche en terme de sécurité ?

Avec de plus en plus d'articles et reportages grand public sur la cybersécurité, chacun est sensibilisé aux dangers auxquels fait face n'importe quel site web. On pourrait penser que la sécurité des sites web ne concerne que les sites e-commerce ou ceux des banques, mais en réalité les raisons qui poussent à pirater un site sont très nombreuses : vols de données, modifications de contenus, interruptions de services, utilisation de ressource matérielles (minage de crypto-monnaie), attaques décentralisées... Les raisons de se protéger au mieux sont donc nombreuses. En pratique, quels sont les points d'attention pour sécuriser un site ou une application web ?