Quand on parle de serveur informatique on pense souvent à ces grandes salles remplies de machines qui traitent de la donnée 24h/24. Mais quel est réellement le rôle d’un serveur informatique ? Quelles sont toutes ces données qui passent par cette machine qui impressionne tant ?
Le serveur informatique a un rôle central en entreprise : c’est lui qui gère tout ou la majorité du système d’information et qui permet notamment d’accéder au réseau intranet de l’entreprise, aux emails et aux documents internes, par exemple.
Le configurer correctement est indispensable pour en assurer la sécurité et éviter au maximum les risques de cyberattaques, de plus en plus courantes.
Le serveur informatique, par définition, rend des “services” à l’entreprise. Il permet à une entreprise de mettre à disposition des collaborateurs ou des clients plusieurs services nécessaires à son bon fonctionnement comme :
Même si, en fonction du type d’entreprise, ces services ne sont pas tous existants, le serveur reste le point névralgique du système informatique (SI) nécessaire au bon fonctionnement de l’entreprise. Il existe par exemple des entreprises qui ne disposent pas de réseau intranet.
Plus un serveur a un rôle central dans en entreprise, plus il est important de le configurer et de le sécuriser correctement. Un serveur mal configuré peut créer des failles de sécurité, exposant ainsi toute l’entreprise à une cyberattaque.
“Une seule porte ouverte, aussi petite soit-elle, peut provoquer des dégâts irréparables.”
Il existe différents types de cyberattaques : attaque par force brute, virus, piratage de compte, ou encore l’usurpation de l’identité d’une machine etc. Et il suffit d’une seule porte ouverte pour permettre à un attaquant d’entrer dans le SI d’une entreprise et d’y faire de gros dégâts.
Il existe différentes façons de sécuriser un serveur d’entreprise. Et si toutes ne sont pas forcément applicables dans chaque entreprise, il convient d’adopter le plus possible ces bonnes pratiques.
Voici la liste des principaux moyens existants pour configurer un serveur.
Quand on pense cyberattaque, et notamment à l’encontre d’un serveur interne, on s’imagine des pirates s’infiltrant dans le système via diverses méthodes (hameçonnage, cheval de Troie, etc.), tout cela à distance. Et si c’est vrai la plupart du temps, le risque d’une attaque par accès physique au serveur ne peut pas être exclu.
Se faire passer pour un consultant ou un technicien devant intervenir dans la salle serveur, ou dans l’entreprise pour ensuite s’infiltrer dans le serveur, est tout à fait possible.
Pour éviter ce risque, il convient de mettre en place quelques règles simples : accès par badge magnétique, registre des accès, installations de caméras de sécurité, etc.
Plus il y a d’utilisateurs ayant accès au serveur (que cela soit un accès physique ou à distance), plus le risque de faille est grand. À distance, par exemple, il ne faut donner aux utilisateurs qui peuvent accéder au serveur que le minimum de droits, en fonction de leurs besoins.
Par exemple, un collaborateur travaillant au service client n'aura pas besoin d'avoir d'accès aux outils d'administration (configuration du serveur mail, accès à un catalogue de produits, etc.) ; on ne lui donnera donc pas ces droits. Si son compte se fait pirater, les accès au serveur qu'aura volé l'attaquant seront ainsi limités.
HTTPS est un protocole permettant de sécuriser les échanges de données entre un client (un utilisateur via un navigateur, par exemple) et un serveur (qui reçoit et traite les demandes). Le contenu de chaque requête et de chaque réponse HTTP est alors chiffré de sorte qu’il n’est pas possible pour un attaquant écoutant la conversation d’en comprendre le contenu.
Pour cette raison, la mise en place de ce protocole (via la couche de chiffrement TLS), fait partie des bonnes pratiques, lorsque l'on veut sécuriser un serveur.
L'installation et la configuration d'un pare-feu est aussi essentiel lorsque l'on parle de protection d'un serveur informatique. Un pare-feu est un outil qui surveille les communications faites sur le réseau, contrôle, et filtre les flux de données. Bien configuré, il sera à même de repérer les premiers signes témoignant d’une attaque en cours et permettra d’y mettre un terme précocement.
Les logiciels ne sont jamais à l'abri du risque de comporter des failles de sécurité, et ceux qui font tourner les serveurs ne font pas exception. Heureusement, elles sont généralement rapidement repérées et des mises à jour sont vite disponibles. Il faut y être vigilant et ne jamais tarder à mettre les logiciels à jour.
Chaque utilisateur d’une entreprise ayant un accès au serveur peut présenter un risque, même s’il n’a pas beaucoup de droits et même s’il ne s’agit que de l’accès à sa boite mail.
C’est pour cela qu’il faut adopter une politique d’entreprise de mots de passe robustes. C’est-à-dire qu’il faut définir certaines règles quant aux mots de passe, par exemple :
Suivant le niveau de sécurité requis, on peut aussi envisager la mise en place d’une double authentification : elle conditionne la connexion à un autre élément, en plus du mot de passe (code reçu par e-mail ou par SMS, par exemple).
NB : Un mot de passe, aussi robuste soit-il, est inutile si le collaborateur le donne à des pirates. Entraîner les utilisateurs, et en particulier ceux possédant des accès à des ressources sensibles, à reconnaître les tentatives de phishing est donc essentiel.
S'il existe des failles (non-utilisation de HTTPS, pare-feu mal configuré, etc.), il est possible qu'un attaquant en profite pour s'infiltrer dans le serveur pour ensuite y installer des malwares ou, ou logiciels malveillants.
Déployer des logiciels anti-virus sur les serveurs, à l’image de ceux qui doivent être installés sur chaque poste de travail, permet de palier à ce risque.
Moins il y a d’accès à un serveur depuis l’extérieur, plus il est sécurisé. Il est cependant compliqué d’y couper tous les accès. Un collaborateur en télétravail, par exemple, devra forcément y avoir accès de chez lui.
Il faut néanmoins faire en sorte d’avoir le moins de portes d’entrée possible. Cela peut se faire en :
Il est impossible d’éliminer 100% des risques, il faut alors prendre des mesures préventives, si jamais un problème vient à surgir. Qu’il s’agisse de cyberattaque, d’un sinistre naturel ou d’une défaillance matérielle, la perte des données du serveur n’est jamais à exclure.
Dans ce cas, il est recommandé de faire des sauvegardes régulières, sur plusieurs périphériques, et d’en stocker au moins une copie en dehors du site de l’entreprise.
Enfin, la dernière étape pour optimiser la sécurité d’un serveur en entreprise, c’est d’y sensibiliser le personnel. Même s’il s’agit de personnes qui n’auront jamais accès au système d’information, leur expliquer les risques d’une intrusion et comment les éviter fait partie des bonnes pratiques pour limiter autant que possible la cyberattaque. Enfin, l'ANSSI recommande à l'entreprise de mettre en place un Plan de Continuité d'Activité (PCA) pour être prêt en cas d'attaque cyber.
Sources :