Embed Size (px)
Citation preview
Entretien et sécurité d'un site TYPO3
Christian RicardDirecteur informatique
Créée en 2002 – 10 ans cette année 20 employés Nouvelle division de Libéo Spécialiste TYPO3
Département Web
Équipe hautement qualifiée et efficace 6 ressources “Certified TYPO3 Integrator” Accessibilité – Ergonomie – Services conseils Implication international Développement PHP, TYPO3, Magento, ... Informatique décisionnelle (BI) avec Pentaho
Sommaire
- Mise en contexte
- Environnement de développement
- Développement Web
- Mise en production
- Récupération et sécurité serveur
- Outils de surveillance post-production
Aucune solution sécuritaire à 100%
Entretien et sécurité
La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.
Ainsi, la sécurité du système d'information doit être abordée dans un contexte global.
Wikipédia « Sécurité des systèmes d'information »
Cas vécus
Attaque robotisée &Piratage informatique
TYPO3 moins vulnérable ?
Open source vs Solution fermée
Sécurité par l'obscurité
Surveillance permanente
Moins de failles de sécurité
Processus efficace
Intervention rapide
Veille
TYPO3-announce
http://lists.typo3.org
Veille
Bulletin de sécurité
Bulletins de sécurité
Niveaux de sévérité
- Critique- Haut- Moyen- Bas
Statistique 2011
31 alertes de sécurité
5 alertes pour le noyau(1 critique, 1 haut, 3 moyens)
Extensions
Responsabilité des développeurs
Documentation
Mises à jour
MineurMajeur
LTS
4.5.164.7.1
LTS
Mineur
Majeur
Veille
TYPO3-announce
http://lists.typo3.org
2011
Deux mises à jour majeures4.5 lts et 4.6
Là où tout commence
Environnement de développement
Environnement sécuritaire
Inaccessible de l'externe
Mots de passe (Différents, complexes et modifiés régulièrement)
Développement sécuritaire
Une question de connaissance
Informations confidentielles
Vol d'identité
Injection SQL
Injection de code
Contournement d'autorisation
Cross Site Scripting (XSS)
Cross site Request Forgery (XSRF)
API TYPO3
Intval
FullQuoteStr
Prepared statment
Méthodes TYPO3
Enlever les extensions(PHPMyAdmin, QuixPlorer, KickStarter, …)
Production
Mots de passe sécuritaire(Différents, complexes et modifiés régulièrement)
Compte admin, Install Tool, compte édimestre
Authentification et sécurité
TYPO3 supporte de nombreux protocoles et de multiples mécanismes d'authentification
– https / SSL
– Active Directory / LDAP
– OpenID
– RSA Auth
– Salted Password
Gestion des droits
Édimestre
Administration contrôlée
Récupération
Historique TYPO3
GIT
Sauvegarde
Serveur sécuritaire
Système d'exploitation
ApacheMySQLPHPAutres librairies
Veille technologique
IMPORTANTE
Serveur&
TYPO3
Outils de surveillance
CactiOutil de performance réseau et serveur
Serveur
Solution de surveillance
Serveur
NessusAudit de sécurité
Serveur
Surveillance sécurité automatisée
TYPO3
Rapport d'état
TYPO3
Username
Alerte instantanée
TYPO3
Merci !
@C_Ricard@Infoglobe
http://typo3.org/http://typo3-fr.org/
blogue.infoglobe.ca
Questions ?
