Sécurité opérationnelle & durcissement

Qu'est-ce que le durcissement

Le durcissement (hardening) consiste à réduire les vulnérabilités d'un système en désactivant les services inutiles, en restreignant les accès, et en appliquant des configurations sécurisées. Un serveur fraîchement installé est rarement sécurisé par défaut.

L'objectif n'est pas de rendre le système impénétrable — c'est impossible — mais de compliquer suffisamment la tâche des attaquants pour qu'ils passent à une cible plus facile, et de limiter l'impact si une brèche survient malgré tout.

Les couches de sécurité

Pare-feu et filtrage réseau

Le pare-feu est la première ligne de défense. Il bloque les connexions non autorisées avant qu'elles n'atteignent les services. Seuls les ports strictement nécessaires doivent être ouverts : 80/443 pour un serveur web, 22 pour SSH (idéalement sur un port non standard).

Au-delà du pare-feu système (iptables, nftables), les pare-feu applicatifs (WAF) filtrent le trafic HTTP et bloquent les attaques courantes : injections SQL, XSS, tentatives de brute force.

Gestion des accès

L'accès root direct par mot de passe est une invitation aux attaques. Les bonnes pratiques : authentification par clé SSH uniquement, désactivation du login root, utilisation de sudo pour les opérations privilégiées, et fail2ban pour bloquer les tentatives répétées.

Services et ports

Chaque service actif est une surface d'attaque potentielle. Les services inutilisés doivent être désactivés. Les services nécessaires doivent être configurés de manière restrictive et maintenus à jour.

Audits de vulnérabilités

Un audit régulier identifie les failles avant qu'elles ne soient exploitées. Les scanners de vulnérabilités (Nessus, OpenVAS) détectent les versions obsolètes, les configurations dangereuses, les ports inattendus.

L'audit ne se limite pas aux outils automatiques. Une revue manuelle des configurations, des logs, et des accès complète l'analyse. Les résultats alimentent un plan de remédiation priorisé.

Cas concret : hébergeur web à Saint-Martin

Un hébergeur local avait subi plusieurs compromissions de sites clients. L'analyse a révélé des configurations PHP permissives, des versions WordPress obsolètes, et aucune isolation entre les comptes clients.

Le durcissement a inclus : mise en place de PHP-FPM avec pools séparés par client, restrictions open_basedir, désactivation des fonctions dangereuses, pare-feu applicatif ModSecurity, et monitoring des fichiers modifiés. Six mois plus tard, aucune nouvelle compromission.

Chiffrement et certificats

Les communications doivent être chiffrées. HTTPS pour les sites web, TLS pour les connexions aux bases de données, SSH pour l'administration. Les certificats Let's Encrypt sont gratuits et renouvelables automatiquement.

Le chiffrement au repos protège les données stockées. Si un disque est volé ou un backup compromis, les données restent illisibles sans la clé.

Journalisation et détection

Les logs sont essentiels pour détecter les intrusions et comprendre ce qui s'est passé après un incident. Ils doivent être centralisés, horodatés, et conservés suffisamment longtemps.

La supervision peut inclure des alertes sur les comportements suspects : connexions depuis des pays inhabituels, pics de requêtes, modifications de fichiers critiques.

Réponse aux incidents

Malgré toutes les précautions, un incident peut survenir. La préparation fait la différence : procédures documentées, contacts d'urgence, sauvegardes testées. Savoir qui fait quoi et dans quel ordre évite la panique.

Après un incident, l'analyse post-mortem identifie la faille exploitée et les mesures correctives. Sans cette analyse, le même incident peut se reproduire.

Conformité et réglementation

Certains secteurs imposent des exigences de sécurité spécifiques. PCI-DSS pour le paiement en ligne, HDS pour les données de santé, RGPD pour les données personnelles. La sécurité opérationnelle contribue à la conformité, mais ne la garantit pas seule.

Sécurité continue

La sécurité n'est pas un état mais un processus. Les menaces évoluent, les vulnérabilités sont découvertes, les configurations dérivent. La gestion des mises à jour et les audits réguliers maintiennent le niveau de protection dans la durée.