L'audit de sécurité Drupal, quel intérêt ?

Vendredi 12 Février 2016

Fortement exposés aux attaques, les sites ou applications web sont des outils vulnérables si la sécurité n’est pas assurée. Drupal ne fait pas exception. Pour éviter les risques, et surtout les coûteuses interventions en urgence, nous vous proposons un audit de sécurité ...

Audit sécurité Drupal

Fortement exposés aux attaques, les sites ou applications web sont des outils vulnérables si la sécurité n’est pas assurée. Drupal ne fait pas exception. Pour éviter les risques, et surtout les coûteuses interventions en urgence, nous vous proposons un audit de sécurité qui vous permettra de continuer à utiliser votre site sereinement et à mettre en place les bonnes pratiques de maintenance préventive.

Un audit de sécurité : Quel intérêt ?

Injections SQL, violation de gestion d’authentification de session, failles XSS, références directes non sécurisées à un objet, exposition de données sensibles, attaques CSRF, la liste non exhaustive des failles de sécurité montre que la sécurité d’un site web est un élément inévitable pour assurer sa viabilité. Pourtant de nombreux sites demeurent fragilisés à cause des mises à jour de sécurité qui n’ont pas été faites.

Mené par nos experts Drupal, l’audit de sécurité est une étude système et applicative de votre site Drupal qui vise le respect des bonnes pratiques et la sécurité de la plateforme. L’audit de sécurité comprend plusieurs étapes d’interventions qui permettent de détecter les failles de sécurité présentes dans votre site ou application Drupal et de proposer des solutions de sécurisation adaptées.

Le déroulement de l’intervention

Les analyses menées concernent :

  • La migration temporaire du site et des données dans notre environnement de développement ;
  • La vérification des configurations ;
  • La vérification des scripts ajoutés ;
  • L'établissement de la liste des modules actifs ;
  • L'utilisation d’outils Drupal pour vérifier l’intégrité du Core et des modules contribués (sur lesquels nous devrons procéder à des mises à jour régulières) ;
  • La vérification des modules PHP nécessaires au fonctionnement du site - Module Hacked ;
  • La relecture du code spécifique, vérification des standards de développement Drupal et du répertoire temporaire ;
  • L'analyse de la politique de droit d’accès au système de fichier et des réglages de cloisonnement applicatif ;
  • L'analyse des réglages serveurs (Apache/ Nginx/ Varnish, pare-feu, PHP, etc.)

A l’issue de l’audit

L’audit de sécurité comprend l’analyse et le recensement des failles de sécurité mais aussi la proposition de mesures de protection de votre plateforme. Ainsi, deux documents de préconisations incluant la liste des outils nécessaires à la sécurisation de la plate-forme et les configurations conseillées, vous seront remis :

  • Un rapport d’audit décrivant les tests et leurs résultats ;
  • Une annexe technique des configurations préconisées.

Coût de l’audit de sécurité -
L’audit de sécurité dure 2 jours pour un prix estimé à 975€ HT.