La plupart des organisations utilisent des serveurs FTP ou SFTP pour échanger des fichiers et d’autres documents professionnels stratégiques avec leurs partenaires commerciaux. alheureusement, ces serveurs sont devenus la cible privilégiée de pirates informatiques et sont exposés à un risque de fuite de données, synonyme de coûts élevés.
Bob Luebbe, architecte en chef GoAnywhere chez Fortra, vous propose un webinaire afin de vous aider à garantir la sécurité et la conformité de votre serveur FTP ou SFTP.Il était, à cette occasion, accompagné de Steve Luebbe, directeur de l’ingénierie, et de Dan Freeman, consultant senior en solutions.
Les trois piliers de la sécurité de l’information
Et puisque nous parlons de protection de serveurs, commençons par définir cette notion.
La sécurité de l’information peut être réunie sous un acronyme : CID. Les trois lettres de cet acronyme signifiant Confidentialité, Intégrité et, Disponibilité. « Confidentialité » réfère à l’idée que l’information n’est jamais divulguée à des individus, entités ou processus non autorisés. « Intégrité » signifie s’assurer que vos données restent exactes et inchangées. Enfin, « Disponibilité » suppose la disponibilité du système auprès des entités autorisées, sans interruption aucune.
Principales normes et réglementations de conformité
La conformité vis-à-vis des normes de sécurité industrielles est un enjeu qui met sous pression les organisations de toutes tailles.
Les défis en matière de conformité auxquels vous êtes confronté dépendent de votre secteur et de votre emplacement géographique.
Aux États-Unis, les réglementations les plus courantes comprennent notamment :
- La loi HIPAA (Health Insurance Portability and Accountability Act) : qui exige la protection de toutes les communications contenant des informations de santé (PHI, Protected Health Information) transmises par voie électronique sur des réseaux ouverts, afin d’empêcher leur interception par toute autre personne que leurs destinataires.
- La loi GLBA (Gramm-Leach-Bliley Act) : obligeant de la part des institutions financières le déploiement de mesures de sécurité destinées à garantir la sécurité, l’intégrité et la confidentialité des informations client, quelles que soient leurs méthodes de stockage et de transmission.
- La loi sur la vie privée spécifique à chaque État : stipulant que la plupart des États disposent de lois relatives aux notifications tandis que d’autres États sont plus spécifiques sur la façon dont les données personnelles doivent être protégées.
- La loi FISMA (Federal Information Security Management Act) : qui définit un cadre complet de protection des informations, opérations et actifs gouvernementaux face aux menaces d’origine naturelle ou humaine.
- La loi PCI DSS (Payment Card Industry Data Security Standard) : conçue pour les entreprises responsables du traitement des informations de carte de débit ou de crédit. Cette norme vise à protéger la confidentialité des informations des comptes client.
Comme pour les autres réglementations mentionnées ici, toute non-conformité vis-à-vis du PCI DSS de votre part peut entraîner des amendes, voire la résiliation de votre capacité à poursuivre des activités commerciales. Les banques et autres institutions de cartes de crédit sont alors exposées à des pénalités financières pouvant atteindre 500 000 $. Bien que le PCI DSS soit conçu pour les entreprises traitant les données des détenteurs de cartes bancaires, ses exigences détaillées en matière de sécurité sont un véritable outil de référence pour quiconque cherche à protéger des données sensibles. Durant ce webinaire, Bob et son équipe évoquent comment chaque conseil en matière de sécurité s’applique au PCI DSS.
La dernière version du PCI DSS comporte un certain nombre de modifications notables. Pour en savoir plus et sur la manière dont ces modifications impactent votre activité, consultez ce guide gratuitement.
Lecture connexe : Les cinq plus grandes atteintes à la conformité du PCI
Si vous résidez dans l’UE et traitez des données pour des résidents de l’UE, l’évolution majeure de ces 20 dernières années en matière de réglementation sur la confidentialité des données porte un nom : le Règlement Général sur la Protection des Données (RGPD). Adopté en 2016, il remplace la directive sur la protection des données personnelles tout en consolidant la législation sur la confidentialité des données partout en Europe. Les amendes pour non-respect du RGPD peuvent atteindre 20 millions d’euros ou 4 % des revenus de la société sur l’exercice financier précédent.
Les dix meilleurs conseils pour sécuriser les serveurs FTP et SFTP
Les mauvaises pratiques en matière de déploiement FTP sont monnaie courante, et exposent de nombreuses entreprises à un risque de violation de données ou de lourdes amendes pour non-conformité. Vous voulez vous assurer que vos serveurs sont à la fois sécurisés et conformes ? Découvrez nos dix meilleurs conseils en la matière :
1. Désactiver le FTP standard
Si votre serveur exécuter le protocole FTP, vous devez le désactiver dès que possible. Protocole vieux de plus de 30 ans, le FTP ne fait pas le poids face aux menaces de sécurité modernes. Le FTP ne garantit ni la confidentialité ni l’intégrité des données, mais facilite leurs accès, leurs captures et leurs modifications illicites lorsqu’elles transitent. C’est pourquoi, nous vous conseillons d’opter pour l’une des alternatives au FTP les plus sécurisées disponibles.
2. Utilisez un cryptage et un hachage forts
Les protocoles SFTP et FTPS utilisent des algorithmes de cryptage qui protègent les données lors de la transmission. Ces algorithmes complexes récupèrent les données d’origine et, avec la clé, produisent les données cryptées à transmettre. Avant toute chose, prenez soin de désactiver tous les algorithmes plus anciens et obsolètes, comme Blowfish et DES, pour n’utiliser que des algorithmes forts tels qu’AES ou TDES.
Les algorithmes de hachage ou MAC permettent de vérifier l’intégrité de la transmission. Là encore, pensez à désactiver les anciens algorithmes de hachage/MAC comme MD5 ou SHA-1, et optez uniquement pour des algorithmes forts de la famille SHA-2.
3. Placez vos données derrière une passerelle
La zone démilitarisée ou DMZ, est un segment courant du réseau dans lequel les organisations stockent leurs serveurs FTP. La DMZ possède un inconvénient majeur : elle fait face à l’Internet public, ce qui la rend particulièrement vulnérable aux attaques. Si le serveur FTP se trouve dans la DMZ, les fichiers de données de vos partenaires commerciaux et les identifiants des utilisateurs y sont généralement stockés, ce qui pose un risque considérable (et ce, même si les fichiers sont cryptés).
Par mesure de sécurité, certaines organisations ont décidé de déplacer les fichiers et les identifiants utilisateur dans un réseau privé. Problème : cette méthode nécessite l’ouverture de ports dans le réseau privé, ce qui peut poser problème vis-à-vis des règles de conformité et offre une voie toute tracée aux pirates informatiques.
Lecture connexe : Passerelle sécurisée DMZ : Des armes secrètes pour protéger les données
Une approche de plus en plus répandue consiste à utiliser une passerelle sécurisée DMZ, ou un proxy inverse amélioré. GoAnywhere Gateway est un logiciel que vous installez sur un serveur situé dans la DMZ.
Un canal de contrôle spécial est alors ouvert à partir du réseau privé dans la DMZ au démarrage. Vos partenaires commerciaux se connectent à Gateway qui envoie alors la session via le canal de contrôle au serveur FTP sur le réseau privé. Fichiers et identifiants utilisateur restent sur le réseau privé, et aucun port entrant n’est requis.
4. Déployez des listes noires et blanches d’adresses IP
Une liste noire d’adresses IP vous permet de refuser (temporairement ou définitivement) l’accès au système à une plage d’adresses IP. Vous pourriez, par exemple, vouloir bloquer l’accès à certains pays. Vous pouvez également faire en sorte que le serveur FTP établisse automatiquement une liste de noire pour certains types d’attaques, comme les attaques par déni de service (DoS).
Une autre méthode consiste à dresser une liste blanche réservée à certaines adresses IP autorisées à accéder au système, comme vos partenaires commerciaux.
Néanmoins, cette méthode fonctionne uniquement si la partenaire commercial utilise des adresses IP fixes.
5. Renforcez la sécurité de votre serveur FTPS
Si vous utilisez un serveur FTPS, vous pouvez prendre plusieurs mesures afin de contribuer à sa sécurité :
- N’utilisez pas FTPS avec chiffrement explicite, sauf si vous forcez le cryptage pour les canaux d’authentification et de données.
- N’utilisez aucune version de SSL ou TLS 1.0.
- Utilisez des algorithmes d’échange de clés Diffie-Hellman basé sur les courbes elliptiques.
6. Utilisez une gestion des comptes performante
Fournir aux partenaires commerciaux des comptes utilisateur de niveau SE est une stratégie risquée car elle crée des opportunités d’accès aux autres ressources sur le serveur. De même, les identifiants utilisateur doivent être tenus séparés de l’application FTP. N’autorisez aucun utilisateur anonyme ni compte partagé. Fixez un certain nombre de règles, par exemple en imposant un minimum de sept caractères pour les noms d’utilisateur des comptes ou la désactivation automatique des comptes après six tentatives de connexion infructueuses ou 90 jours d’inactivité.
7. Utilisez des mots de passe forts
Les mots de passe doivent compter au minimum sept caractères, inclure des chiffres et des lettres et au moins un caractère spécial. Veillez à ce que les mots de passe administrateur soient changés tous les 90 jours. N’autorisez pas la réutilisation des quatre derniers mots de passe utilisés, et stockez les mots de passe utilisateur à l’aide d’algorithmes de hachage forts, comme SHA-2.
8. Déployez une sécurité de niveau fichier et dossier
Un partenaire commercial doit uniquement disposer d’un accès aux dossiers dont il a absolument besoin. Par exemple, ce n’est pas parce qu’un partenaire doit pouvoir télécharger un élément situé dans dossier spécifique qu’il doit disposer de tous les droits sur ce même dossier. De la même manière, un utilisateur devant pouvoir téléverser des fichiers dans un dossier ne doit pas forcément bénéficier d’un accès en lecture à ce dossier. Cryptez les données « au repos », notamment s’ils sont stockés dans la DMZ, et conservez les fichiers sur le serveur FTP seulement pendant la période nécessaire.
9. Verrouillez l’administration
L’administration de votre serveur doit être rigoureusement contrôlée. Restreignez les tâches administratives à un nombre limité d’utilisateurs, et exigez une authentification à plusieurs facteurs. Ne stockez pas les mots de passe sur le serveur : stockez-les plutôt dans un domaine AD ou un serveur LDAP. N’utilisez pas d’identifiants administrateur courants, comme « root » ou « admin », car ce sont les noms que les pirates essaieront en premier.
10. Respectez ces meilleures pratiques
Dans ce webinaire, Bob Luebbe et son équipe partagent plusieurs recommandations :
- Gardez à jour les logiciels de serveur FTPS ou SFTP.
- Si vous utilisez des données du gouvernement des États-Unis, utilisez uniquement des algorithmes de cryptage validés par la norme FIPS 140-2.
- N’utilisez pas la version par défaut du logiciel SFTP qui s’affiche lors de votre première connexion, car cela donnera aux pirates un bon indice pour pouvoir ensuite exploiter le serveur.
- Conservez les bases de données en arrière-plan sur un serveur différent.
- Exigez la réauthentification des sessions inactives.
- Exigez la réauthentification des sessions inactives.
Pour découvrir deux conseils bonus non mentionnés dans cet article, rendez-vous à 44:01 dans la vidéo.
Évitez-vous ces dix principaux risques lors du transfert de fichiers ? Regarder le webinaire >
Transfert de fichiers sécurisé avec GoAnywhere MFT
Le transfert de fichiers géré GoAnywhere satisfait tous les critères de conformité et de sécurité abordés dans ce webinaire. Il offre en outre de puissants workflows automatisés qui rationalisent le mouvement des fichiers au sein de votre réseau et avec vos partenaires commerciaux.
GoAnywhere est compatible avec la plupart des systèmes d’exploitation (Windows, Linux, IBM i) et peut également être déployé dans un environnement virtuel. Cette solution prend en charge de nombreux protocoles et normes de cryptage, y compris SFTP et FTPS, et garantit la livraison grâce aux fonctionnalités de reconnexion et de reprise automatique des fichiers.
Vous cherchez spécifiquement une solution MFT Linux, Windows, IBM i, Azure ou AWS ? GoAnywhere s’exécute facilement sur toutes les plateformes.
Grâce à la consignation détaillée des audits GoAnywhere, il est très simple de maintenir la conformité de vos transferts de fichiers. Le module de reporting avancé vous permet même de vérifier que votre installation de GoAnywhere respecte les critères du PCI DSS.
Protégez votre organisation face aux risques de violation de données
Téléchargez notre livre blanc consacré à l’élaboration d’une stratégie efficace pour le cryptage des données :
