Sécurité: externaliser ou non son serveur web?

Sécurité: externaliser ou non son serveur web? - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 30-07-2009 à 12:08:01    

Bonjour,
 
Une petite question se pose à moi
Dans le cas d'une entreprise limitée en RH au niveau de l'informatique, on peut manquer de spécialistes sécurité et réseau.
 
Ne vaut il donc pas mieux completement externaliser son serveur web?
Je m'explique:
Le fait d'avoir un front office connecté à son back office, et ce même via une DMZ, n'assure pas 100% de protection.
On met en place une entrée sur son réseau interne, même protégé mais une entrée tout de même, qui bien exploité permettrait d'utiliser toute faille (logiciel, materiel, mauvaise config...).
 
Le fait d'externaliser totalement son serveur web, quitte à utiliser du ftp (ou autre méthode) si il y a connection back/front office, ne permet il pas de s'affranchir de se genre de risque? ... quitte à payer plus chère mais être tranquille.
 
voila voila, qu'en pensez vous?
merci


Message édité par akabis le 30-07-2009 à 12:09:47
Reply

Marsh Posté le 30-07-2009 à 12:08:01   

Reply

Marsh Posté le 01-08-2009 à 21:44:48    

Si tu as un appareil filtrant performant et mis à jour entre ton front office et ton back office je pense pas que l'ouverture de port lié au service web soit critique.
 
Reste a voir pour quel service tu dois ouvrir des ports entre tes deux réseaux.
 
A mes yeux le problème le plus sérieux lors de l'hébergement d'un site web est le code qu'il contient.
 
Si le site web est bien codé, qu'il ne comporte pas de faille de sécruité, que celle les ports 80/443 sont ouverts entre les deux réseaux ou même sur Internet le risque est très faible.
 
Après c'est sûre que l'hebergement externalisé t'enlevera le soucis de la sécurité pour ton réseau local mais pas pour le site Internet. Modification des pages/accès au compte root de la machine si des failles existe sur le site.
 
L'audit de ton site par des spécialiste pourra lever bien des risques.

Reply

Marsh Posté le 04-08-2009 à 15:27:48    

la sécurité du site n'est pas en question, je dirais presque que c'est accessoire et ne me concerne pas.
C'est le rôle des dev web, quitte à externaliser le développement afin de reporter les responsabilités sur le prestataire en cas de faille/problème.  
 
C'est vraiment la sécurité des données, appli et systèmes de l'entreprise qui m'importent.
Mais ce que tu me dis et le peu de réaction, malgré les près de 200 consultations de ce post, me confortent sur l'idée que j'avais de la problématique.
merci


Message édité par akabis le 04-08-2009 à 15:28:39
Reply

Marsh Posté le 04-08-2009 à 16:57:04    

ben tout dépend si ton site web toi avoir accès au reste de ton infra en temps réel ou pas.
J'ai un peu le même problème: mise en place d'un site commercial relié à notre application métier (dev par la même boite). Pas trop envi de le laisser dans le réseau local même avec une DMZ. Le hic c'est qu'il faut avoir accès à l'appli métier en temps réel car le site web ne sait pas gérer le mode déconnecté. Donc obligé de mettre en place sdsl et dmz.
 
J'aurai pu aussi tout déporter Appli métier et site web mais si la (ou les lignes) tombes ben la boite elle ne fait plus rien. Donc on conserve tout en local en attendant un peu mieux.

Reply

Marsh Posté le 04-08-2009 à 17:53:03    

Pour ma part j'ai aucun soucis à positionner le "frontal web" en DMZ et le backend (base de données, appli métier...) en Lan. Il suffit de bien bétonner les regles au niveau de ton/tes firewall. Et régulièrement faire des "audits" de tes serveurs + maj OBLIGATOIRE (patch de sécu...etc..).
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 05-08-2009 à 10:29:11    

oui mais c'est quand même mieux d'avoir un mode déconnecté je trouve.

Reply

Marsh Posté le 05-08-2009 à 11:11:48    

en effet mais c'est pas toujours possible


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 05-08-2009 à 12:17:37    

edouardj>
Dans le cas d'un site commercial, je comprend tout à fait que le temps réel est imposé et que cela peut obliger à internaliser les services web.
Si le mode pull ne fonctionne pas, le mode puch peut peut être résoudre le pb?
C'est le rôle de l'architecte de proposer des solutions applicatives + ou - lourd/leger.
Mais je ne me suis pas penché sur le pb n'etant pas dans une telle config, j'ecris sans y avoir vraiment réfléchi.
 
vrobaina>  
On aura beau installer DMZ, firewall, sonde, authentification, regles... c'est tout de même une ouverture supplémentaire potentiel sur son réseau. C'est pour ça que je m'interroge.
Quel interêt d'heberger son propre serveur web si on n'est pas dans le cas de figure de edouardj?
J'avoue n'avoir aucune réponse en faveur de cette solution (même pas l'argument financier). Mais ce n'est pas parceque je n'ai pas la réponse que je suis dans le vrai.


Message édité par akabis le 05-08-2009 à 12:24:53
Reply

Marsh Posté le 05-08-2009 à 12:29:38    

En effet je ne peux nier que cela fait une "ouverture" donc un risque potentiel mais non avéré, nuance. De plus par expérience, je peux te garantir que les soucis que je rencontre chez mes clients ne proviennent pas d'une "pénétration directe Web=> Lan"  mais plutot à cause de négligence au sein meme du lan (généralement au niveau des postes de travail, genre ordi portable....)
 
Et en admettant que tu fasse héberger ton serveur web par un presta spécialisé. Ok pas de soucis et ton backend ? tu le mets ou ?. Celui-ci reste dans ton Lan. il y aura donc une connexion Serveur Web ==> Serveur Backend et donc  on en revient à la même problématique.
à moins que tu souhaite externaliser l'ensemble de de ton infra et là le problème n'est plus du tout le meme.


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 05-08-2009 à 12:35:34    

Alors hébergement or not hébergement. C'est pas simple à répondre. En fait cela dépend de ton architecture applicative. Si c'est un simple serveur web avec une petite base de données derrière alimentée de manière asynchrone depuis ton lan alors tu peux envisager l'hébergement complet (web + mini-base). Mais de toute façon ton hébergeur ne te garantira JAMAIS contractuellement la parfaite intégrité de l'ensemble.
 
Mais si c'est un applicatif "temps réel" avec une bonne grosse base de données (SAP, Oracle MFG/Pro...). avec 300 à 500 users dans ton Lan connectés dessus en permanence alors hébergé uniquement la partie web ne te garantira jamais une totale sécurité et en plus il faudra un lien assez costaud depuis ton hébergeur vers ton Lan afin que le dialogue frontal/backend puisse se faire dans de bonnes conditions.
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 05-08-2009 à 12:35:34   

Reply

Marsh Posté le 06-08-2009 à 14:43:53    

... en gros ça dépend si ça dépasse :)
Au cas par cas.
merci

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed