StoïkBlogCybersécurité

Comment bien configurer un serveur pour protéger son entreprise ?

Alexandre Grisey
Dernière mise à jour :

Quand on parle de serveur informatique on pense souvent à ces grandes salles remplies de machines qui traitent de la donnée 24h/24. Mais quel est réellement le rôle d’un serveur informatique ? Quelles sont toutes ces données qui passent par cette machine qui impressionne tant ?

Le serveur informatique a un rôle central en entreprise : c’est lui qui gère tout ou la majorité du système d’information et qui permet notamment d’accéder au réseau intranet de l’entreprise, aux emails et aux documents internes, par exemple.

Le configurer correctement est indispensable pour en assurer la sécurité et éviter au maximum les risques de cyberattaques, de plus en plus courantes.

configuration serveur

La place et l’importance du serveur informatique en entreprise

Quelle est la fonction d’un serveur ?

Le serveur informatique, par définition, rend des “services” à l’entreprise. Il permet à une entreprise de mettre à disposition des collaborateurs ou des clients plusieurs services nécessaires à son bon fonctionnement comme :

  • un service mail ;
  • un réseau intranet ;
  • héberger un site web ;
  • les authentifications, les droits des utilisateurs du réseau interne ;
  • le stockage des données (liées à l’entreprise, ses salariés, les clients, ventes, etc.) ;
  • l’accès aux divers éléments y étant connectés (imprimantes, disques durs, etc.).

Même si, en fonction du type d’entreprise, ces services ne sont pas tous existants, le serveur reste le point névralgique du système informatique (SI) nécessaire au bon fonctionnement de l’entreprise. Il existe par exemple des entreprises qui ne disposent pas de réseau intranet.

En quoi configurer un serveur est primordial ?

Plus un serveur a un rôle central dans en entreprise, plus il est important de le configurer et de le sécuriser correctement. Un serveur mal configuré peut créer des failles de sécurité, exposant ainsi toute l’entreprise à une cyberattaque.

“Une seule porte ouverte, aussi petite soit-elle, peut provoquer des dégâts irréparables.”

Il existe différents types de cyberattaques : attaque par force brute, virus, piratage de compte, ou encore l’usurpation de l’identité d’une machine etc. Et il suffit d’une seule porte ouverte pour permettre à un attaquant d’entrer dans le SI d’une entreprise et d’y faire de gros dégâts.

Comment sécuriser un serveur d’entreprise ?

Il existe différentes façons de sécuriser un serveur d’entreprise. Et si toutes ne sont pas forcément applicables dans chaque entreprise, il convient d’adopter le plus possible ces bonnes pratiques.

Voici la liste des principaux moyens existants pour configurer un serveur.

Sécuriser l’accès physique au serveur

Quand on pense cyberattaque, et notamment à l’encontre d’un serveur interne, on s’imagine des pirates s’infiltrant dans le système via diverses méthodes (hameçonnage, cheval de Troie, etc.), tout cela à distance. Et si c’est vrai la plupart du temps, le risque d’une attaque par accès physique au serveur ne peut pas être exclu.

Se faire passer pour un consultant ou un technicien devant intervenir dans la salle serveur, ou dans l’entreprise pour ensuite s’infiltrer dans le serveur, est tout à fait possible.

Pour éviter ce risque, il convient de mettre en place quelques règles simples : accès par badge magnétique, registre des accès, installations de caméras de sécurité, etc.

Limiter l’accès informatique au strict minimum

Plus il y a d’utilisateurs ayant accès au serveur (que cela soit un accès physique ou à distance), plus le risque de faille est grand. À distance, par exemple, il ne faut donner aux utilisateurs qui peuvent accéder au serveur que le minimum de droits, en fonction de leurs besoins.

Par exemple, un collaborateur travaillant au service client n'aura pas besoin d'avoir d'accès aux outils d'administration (configuration du serveur mail, accès à un catalogue de produits, etc.) ; on ne lui donnera donc pas ces droits. Si son compte se fait pirater, les accès au serveur qu'aura volé l'attaquant seront ainsi limités.

Sécuriser son site via HTTPS

HTTPS est un protocole permettant de sécuriser les échanges de données entre un client (un utilisateur via un navigateur, par exemple) et un serveur (qui reçoit et traite les demandes). Le contenu de chaque requête et de chaque réponse HTTP est alors chiffré de sorte qu’il n’est pas possible pour un attaquant écoutant la conversation d’en comprendre le contenu.

Pour cette raison, la mise en place de ce protocole (via la couche de chiffrement TLS), fait partie des bonnes pratiques, lorsque l'on veut sécuriser un serveur.

Mettre en place un pare-feu

L'installation et la configuration d'un pare-feu est aussi essentiel lorsque l'on parle de protection d'un serveur informatique. Un pare-feu est un outil qui surveille les communications faites sur le réseau, contrôle, et filtre les flux de données. Bien configuré, il sera à même de repérer les premiers signes témoignant d’une attaque en cours et permettra d’y mettre un terme précocement.

Faire les mises à jour dès qu’elles sont disponibles

Les logiciels ne sont jamais à l'abri du risque de comporter des failles de sécurité, et ceux qui font tourner les serveurs ne font pas exception. Heureusement, elles sont généralement rapidement repérées et des mises à jour sont vite disponibles. Il faut y être vigilant et ne jamais tarder à mettre les logiciels à jour.

mise à jour ordinateur

Adopter une politique de mots de passe forte

Chaque utilisateur d’une entreprise ayant un accès au serveur peut présenter un risque, même s’il n’a pas beaucoup de droits et même s’il ne s’agit que de l’accès à sa boite mail.

C’est pour cela qu’il faut adopter une politique d’entreprise de mots de passe robustes. C’est-à-dire qu’il faut définir certaines règles quant aux mots de passe, par exemple :

  • changer de mot de passe dès qu’il y a une suspicion ;
  • avoir des mots de passe d’au moins 12 caractères, contenant au moins un chiffre, une majuscule, et un caractère spécial ;
  • mettre en place un blocage après 3 essais infructueux ;
  • ne pas réutiliser le même mot de passe pour différent services ;
  • stocker tous ses mots de passe dans un coffre-fort de mots de passe.

Suivant le niveau de sécurité requis, on peut aussi envisager la mise en place d’une double authentification : elle conditionne la connexion à un autre élément, en plus du mot de passe (code reçu par e-mail ou par SMS, par exemple).

NB : Un mot de passe, aussi robuste soit-il, est inutile si le collaborateur le donne à des pirates. Entraîner les utilisateurs, et en particulier ceux possédant des accès à des ressources sensibles, à reconnaître les tentatives de phishing est donc essentiel.

Bon à savoir
Des règles de choix de mot de passe trop strictes pousseront les utilisateurs à simplifier leurs mots de passe au maximum (pour s’en rappeler plus facilement), voire à les écrire sur des post-it ou sur tout autre support ; ce qui les rend évidemment plus vulnérables. C’est pourquoi, nous recommandons de changer de mot de passe uniquement s’il y a suspicion de compromission de celui-ci.

Installer un logiciel détecteur de malwares

S'il existe des failles (non utilisation de HTTPS, pare-feu mal configuré, etc.), il est possible qu'un attaquant en profite pour s'infiltrer dans le serveur pour ensuite y installer des malwares, ou logiciels malveillants.

Déployer des logiciels anti-virus sur les serveurs, à l’image de ceux qui doivent être installés sur chaque poste de travail, permet de palier à ce risque.

Limiter l’accès depuis l’extérieur

Moins il y a d’accès à un serveur depuis l’extérieur, plus il est sécurisé. Il est cependant compliqué d’y couper tous les accès. Un collaborateur en télétravail, par exemple, devra forcément y avoir accès de chez lui.

Il faut néanmoins faire en sorte d’avoir le moins de portes d’entrée possible. Cela peut se faire en :

  • mettant en place un VPN comme unique point d’entrée pour les collaborateurs en télétravail ayant besoin d’accéder à des services internes ;
  • fermant les accès aux services non utilisés ;
  • mettant en place une authentification forte avec une clé SSH ou avec un mot de passe robuste.

Effectuer des sauvegardes régulièrement

Il est impossible d’éliminer 100% des risques, il faut alors prendre des mesures préventives, si jamais un problème vient à surgir. Qu’il s’agisse de cyberattaque, d’un sinistre naturel ou d’une défaillance matérielle, la perte des données du serveur n’est jamais à exclure.

Dans ce cas, il est recommandé de faire des sauvegardes régulières, sur plusieurs périphériques, et d’en stocker au moins une copie en dehors du site de l’entreprise.

Sensibiliser les collaborateurs

Enfin, la dernière étape pour optimiser la sécurité d’un serveur en entreprise, c’est d’y sensibiliser le personnel. Même s’il s’agit de personnes qui n’auront jamais accès au système d’information, leur expliquer les risques d’une intrusion et comment les éviter fait partie des bonnes pratiques pour limiter autant que possible la cyberattaque.

Sources :