Politique de sécurité des serveurs WEB

Les sites web sont des cibles particulièrement exposées à de nombreuses attaques. Cette page pose les objectifs de SSI vers lesquels tendre pour tous site web de l'université de Rennes 1.

Que la DSI soit ou ne soit pas en capacité d'héberger un serveur web, celui-ci doit respecter certains points de la Politique de Sécurité du Système d'Information.

  1. Le serveur web utilise un nom de domaine géré par la DSI. De nouveaux noms peuvent être choisis concertation avec la Direction de la Communication, l'option de renouvellement automatique est systématiquement positionnée pour éviter de "perdre" le domaine.
  2. Tous les flux sont chiffrés. Pour un site web, cela signifie utiliser du https et un certificat X509 reconnu par les navigateurs.
  3. Les accès directs sont limités au maximum, idéalement par le firewall de l'université. Les accès web se font en https exclusivement et si possible à travers les frontaux http de la DSI (service qui apporte entre autre la possibilité de faire du chiffrement). Les possibilités de rebond du serveur web vers les réseaux internes de l'Université sont contrôlés (filtrage réseau), les accès sortant du serveur passent par un proxi empèche des pirates de charger sur le serveur des outils pour acquérir de nouveaux privilèges (rootkit). 
  4. Tous les accès sont journalisés, les journaux ne sont pas accessibles depuis le site web lui même (quand un pirate a pris pied sur un serveur web, il ne peut effacer ses traces comme il le fait généralement ). Les frontaux http journalisent les accès sur un serveur dédié, l'attaque du site web ou même celle des frontaux ne permet pas de corrompre ces logs. Ils devraient être conservés un an.
  5. Les sites web sont en DMZ. Étant exposés à internet et souvent attaqués, il convient de les maintenir "à distance” des VLAN regroupant les machines sensibles du labo ou de la composante.
  6. Les sites web sont sauvegardés avec une durée de rétention d'un an environ (beaucoup d'attaques restent silencieuses plusieurs mois avant de d'être détectées). Après une attaque, seule une sauvegarde antérieure à celle-ci permet de revenir à un serveur sain.
  7. Les applications web utilisent l'authentification par le SSO CAS ou par fédération d'identité, de sorte que l'authentification réponde à la politique de l'université.
  8. Le système, le serveur http et les applications web sont maintenus à jour. Les CMS et leurs plugins sont des cibles systématiques car leur failles sont partagées entre les pirates.
  9. En cas de prestation externe pour la réalisation ou l'hébergement du site,
    • le contrat de service protège l'université sur la propriété du site dans son ensemble (possibilité de reprise en interne)
    • le domaine est acquit par l'université (faire un ticket à ce sujet) et non par le prestataire externe.
    • le contrat de service indique l'obligation de maintien en condition de sécurité (ce qui implique les mises à jour, Il est important de noter qu'un développement à façon d'une application est un investissement rapidement perdu si une faille touche une dépendance de ce logiciel propriétaire.) et celle de conseil dans le domaine de la SSI. Le contrat doit autoriser l'université à procéder à des tests d'intrusion en en avisant préalablement le prestataire.
  10. Les traitements de données à caractère personnel des applications du site web sont mis en conformité avec le Référentiel Général de Protection des Données (RGPD).
  11. Les données sensibles sont stockées en France (Obligation de la PSSI de l'Etat).
  12. Le site web dispose d'une notice légale qui identifie le responsable technique, le responsable éditorial et le directeur de la publication.

Mise à jour : 01/22/2020 - 15:21