📄️ Sensibiliser
Peu importe votre rôle dans l'équipe, si vous avez un minimum de connaissances en cybersécurité, n'hésitez pas à vous assurer que chacun fasse le b.a.-ba.
📄️ Chiffrement SSL par défaut
Si vous avez choisi notre stratégie d'hébergement votre hébergeur vous permet en un clic d'activer la génération d'un certificat SSL afin de disposer d'une utilisation HTTPS sur votre nom de domaine. Cela permet au navigateur de vos utilisateurs de chiffrer leurs communications jusqu'à l'hébergeur, évitant ainsi qu'ils subissent des attaques de type man-in-the-middle.
📄️ Robustesse des mots de passe
Les pirates ont des bases de données de mots de passe déjà utilisés. Donc s'ils vous ont dans le collimateur, plutôt que de tester toutes les combinaisons imaginables pour accéder à votre compte, ils vont tester les mots de passe les plus évidents trouvés, puis ils peuvent aussi essayer des suites logiques de mots en analysant vos profils sur internet (nom d'un chien, nom d'un parent, ville… on appelle cela du reverse engineering).
📄️ Gestionnaire de mots de passe
Il faut utiliser des mots de passe différents sur chaque service que vous utilisez. Pourquoi ? Car si des pirates trouvent vos identifiants pour un site, ils auraient juste à tenter la même combinaison email + mot de passe sur d'autres sites pour y accéder.
📄️ 2FA / Security keys
Le problème d'une authentification avec un simple mot de passe, c'est que si quelqu'un vous voit l'écrire dans le train, ou vous le vole en étant à l'autre bout du monde avec un virus, c'est alors "open bar", vous n'avez aucun moyen de limiter la casse.
📄️ Accès restreints et alertes
Les accès à donner pour chaque service, outil ou fichier doivent être préalablement réfléchis. Pour aller droit au but : dites-vous qu'au niveau d'un produit, l'environnement de production ne doit être idéalement accessible que par 1 personne (voire 2 pour un peu de redondance).
📄️ RSSI
Peu importe à quelle entité vous êtes rattaché, vous avez sûrement dans votre hiérarchie un RSSI (responsable de la sécurité des systèmes d'information). Il est judicieux d'aller voir ce qui a été mis en place par cette personne et son équipe, afin d'être aligné avec leurs bonnes pratiques.
📄️ Surveiller les CVE
Les CVE (~ failles de sécurité) sont disponibles via plusieurs flux RSS comme ceux de l'ANSSI (exemple de celui qui rassemble tout). Comme beaucoup d'informations passent dedans il peut être difficile d'être concentré dessus en tant que simple technicien d'un produit.
📄️ En cas de fuite de données
Si vous constatez une fuite de données, le plus important est :
📄️ Audits de sécurité
L'ANSSI a lancé le service MonServiceSécurisé afin de permettre une autoévaluation sur les principes de sécurité mis en place dans votre produit. C'est sous forme de QCM donc même sans connaissance poussée en cybersécurité vous allez pouvoir faire un tour d'horizon, cela vous donnera des idées sur ce qu'il reste de judicieux à faire. À noter que les questions sont génériques, certaines peuvent ne pas être adaptées à votre produit.
📄️ Configurer les headers HTTP
Les headers HTTP venant de votre serveur vont dicter aux navigateurs internet comment ils peuvent agir (ou non). Certains doivent être réglés pour limiter les risques liés à la sécurité. Le plus simple est d'utiliser un outil comme Helmet.js pour définir par défaut la meilleure configuration à appliquer.
📄️ Sécuriser les URLs des fichiers hébergés
Que nous utilisions un hébergement de fichiers en base ou via des buckets S3, il faut garantir que les URLs de nos fichiers sensibles soient éphémères. Même si vous avez un identifiant de fichier aléatoire (UUID) et que vous estimez qu'on ne peut pas deviner l'URL :
📄️ Se prémunir des fichiers infectés
C'est malheureux mais il faut toujours se méfier des données qui entrent dans votre applicatif, encore plus quand il s'agit de fichiers. Quelques exemples :