Les 10 commandements de l'ANSSI pour sécuriser votre CMS

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), c'est l’autorité nationale chargée d’accompagner et de sécuriser le développement du numérique en France. Autant dire, LA référence en matière de veille, de détection, d’alerte et de réaction aux attaques informatiques. L'organisme vient de publier dix bonnes pratiques pour la mise en place de votre futur CMS.

1. Evaluer les offres CMS disponibles (ex. : Wordpress, Wix, Drupal, Joomla) de façon à choisir une offre compatible avec les critères de sécurité listés dans ce document (en même temps ça serait dommage d'en choisir un qui ne l'est pas...)
   
   
2. Activer HTTPS en se référant aux exemples de configuration de l’annexe B du guide Recommandations de sécurité relatives à TLS.
   Pour aller plus loin, mettre en oeuvre l’ensemble des recommandations du guide. Des outils de tests automatisés de la configuration, tels que le Mozilla Observatory, peuvent aider à atteindre une conformité à l’état de l’art. Chez Hodi, on vous dit comment faire ici.
   
   
3. Limiter au strict nécessaire l’utilisation d’extensions (plugins) et de thèmes.
   Utiliser des extensions et des thèmes qui sont activement maintenus et qui ont fait l’objet d’une validation de la part de l’éditeur. Pour aller plus loin, mettre en oeuvre les recommandations du chapitre 6 du guide Recommandations pour la mise en oeuvre d’un site web, relatives à la maîtrise des contenus et des composants d’un CMS.
   
   
4. Mettre en oeuvre les bonnes pratiques d’administration sécurisée relatives au durcissement du poste d’administration, à la minimisation des ports en écoute, à l’utilisation de protocoles sécurisés tels SSH ou TLS, à l’utilisation de comptes d’administration dédiés et au maintien en condition de sécurité du guide Recommandations relatives à l’administration sécurisée des systèmes d’information
   
   
5. Mettre en place l’authentification multifacteur pour les administrateurs fonctionnels du site. En particulier, vérifier la compatibilité du CMS avec les recommandations relatives au cycle de vie des facteurs d’authentification, à la limite des tentatives d’authentification, à l’innocuité des messages d’erreur, à la définition d’une politique de sécurité des mots de passe, au stockage sécurisé des mots de passe, et au changement des valeurs par défaut, à compléter par la désactivation de l’utilisateur par défaut du CMS (ce dernier étant généralement administrateur), du guide Recommandations relatives à l’authentification multifacteur et aux mots de passe.
   
   
6. Sauvegarder le contenu du site ainsi que la configuration du CMS (prévu en standard sur votre hébergement Hodi !)
   
   
7. Mettre en oeuvre HTTP Strict Transport Security, Content Security Policy, et la sécurisation des cookies de session, tel que prescrit par le guide Recommandations pour la mise en oeuvre d’un site web.
   
   
8. Identifier et limiter au strict nécessaire les flux d’interconnexion du CMS avec Internet et l’ouverture des ports, garantir la disponibilité du service et sa résilience face aux attaques en déni de service en suivant les recommandations du guide Recommandations relatives à l’interconnexion d’un système d’information à Internet. Vérifier l’applicabilité des recommandations du chapitre 4, entièrement dédié à la sécurisation de l’accès aux contenus hébergés sur le Web, pour traiter le cas de la récupération de contenus externes par le CMS.
   
   
9. Collecter, analyser et alerter sur les journaux du CMS. Se référer à l’annexe A du guide Recommandations d’architecture pour la sécurité d’un système de journalisation pour la constitution d’un socle minimal de journalisation, ainsi qu’à l’annexe C pour une introduction à la détection des incidents de sécurité.
   
   
10. Durcir l’environnement d’exécution du CMS en appliquant le principe du moindre privilège :
    • au runtime sous-jacent au CMS (ex. : Manuel pour la sécurité de PHP) ;
    • aux droits de la base de données (ex. : exemple pour PostgreSQL) ;
    • à la configuration système (prévu en standard sur votre hébergement Hodi !)

Voilà de quoi occuper vos agences et développeurs web !
Si vous avez besoin d'un coup de main pour vérifier la sécurité de votre CMS actuel ou avant de vous lancer dans son installation, faites appel à notre équipe de choc !

Le lien original des recommandations sur le site ANSSI