Le RGPD désigne le Règlement Général sur la Protection des Données. Il oblige toute entreprise à prendre effectivement en compte la gestion des habilitations informatiques. Au sujet de la loi informatique, par exemple, le RGPD est censé s’assurer que les données à caractère personnel des différentes entreprises bénéficient d’un niveau de sécurité informatique assez élevé pour garantir la préservation leurs confidentialités. C’est la raison pour laquelle les entreprises qui détiennent les données à caractère personnel doivent impérativement prendre des mesures techniques et organisationnelles appropriées pour favoriser à tout prix la protection des serveurs, car elles centralisent le plus grand nombre de données.
Pour qu’une entreprise s’assure d’être en conformité avec le RGPD, elle doit a priori établir les droits pertinents pour accéder aux données, mettre sur pied une sauvegarde sous-traitée, effectuer la sécurisation du réseau informatique à travers la mise en place d’un pare-feu, assurer la protection des impressions par la mise en marche d’un applicatif de contrôle, protéger la messagerie, utiliser les droits d’accès et stratégies de mots de passe, éviter les failles liées à la sécurité en appliquant les mises à jour nécessaires et faire la définition d’une stratégie de mise à jour matérielle et logicielle. Il convient également d’utiliser un anti-spam, protéger les postes informatiques par la mise en place d’un antivirus, communiquer, sensibiliser et former les utilisateurs. Il faut aussi protéger physiquement son matériel informatique en sécurisant de prime abord l’accession aux salles sensibles, notamment les archives et les salles de serveurs, par les moyens anti-intrusifs (contrôle d’accès, clés et cameras de surveillance).
Autres astuces pour garantir la sécurité des serveurs
Étant donné que les serveurs centralisent une bonne partie des données au sein d’une entreprise, il convient de veiller scrupuleusement à ce que chaque utilisateur ait accès aux seules données dont il en a besoin. Pour protéger les serveurs, les entreprises peuvent entre autres procéder à :
• La réduction de l’accès aux outils et interfaces d’administration afin d’accorder la priorité uniquement aux personnes utilisatrices. Par exemple, pour effectuer des opérations ordinaires, il vaut mieux utiliser les comptes peu privilégiés.
• L’adoption d’une politique spécifique de mots de passe. À chaque départ d’un administrateur de l’entreprise ou encore en cas d’éventuel soupçon, il est important de procéder au changement des différents mots de passe.
• L’installation des mises à jour critiques de façon régulière, tout en établissant une vérification automatique hebdomadaire, que ce soit pour les applications ou encore pour les systèmes d’exploitation.
En ce qui concerne l’administration des différentes bases de données, il est judicieux d’accomplir les actions suivantes :
• Procéder à la mise sur pied des mesures de sécurité pour lutter efficacement contre les attaques par injection du code SQL et des scripts, entre autres.
• Utiliser les comptes à caractère nominatif pour accéder aux bases de données et procéder à la création des comptes distinctifs pour chacune des applications.
Pour effectuer les sauvegardes ainsi que leurs vérifications de façon fréquente, il est conseillé de mettre en marche le protocole TLC pour remplacer le SSL, à défaut de faire usage d’un protocole chargé d’assurer l’authentification et le chiffrement pour tout échange de données sur Internet. Il faut aussi s’assurer du bon fonctionnement du protocole choisi, tout en utilisant les outils appropriés.
Au sujet des mots de passe, il est aussi important de respecter les bonnes pratiques proposées par la CNIL. Selon cette dernière, les actions d’administration des serveurs devraient se faire via un réseau discret, accessible après une authentification certaine et une traçabilité renforcée. Chaque système qui traite des données sensibles doit bénéficier d’un environnement isolé. Parlant des logiciels, dont la mission principale est de s’exécuter uniquement sur les serveurs, il est préférable de faire usage des outils de détection des vulnérabilités. Ces derniers peuvent être les logiciels scanners de vulnérabilités (constitués du nikto, de nessus, du nmap, etc.), pour les traitements les plus sensibles afin de détecter le plus vite possible d’éventuelles failles de sécurité. Il est aussi possible de faire usage des systèmes de détection et de prévention des attaques sur les serveurs sensibles et douteux. On peut par ailleurs interdire ou restreindre l’accès physique aux ports de diagnostic et de configuration à distance.
Le choix idéal de l’emplacement du serveur
L’emplacement du serveur est très déterminant dans sa sécurité. C’est la raison pour laquelle il doit être choisi avec soin. Selon certains spécialistes, il faut éviter d’installer le serveur dans les sous-sols et le dernier étage d’un bâtiment, ceci en raison des risques plus importants d’infiltration d’eau. Préférez les revêtements antistatiques pour les serveurs et évitez les moquettes ! La pièce dans laquelle le serveur se trouve doit comporter très peu d’ouvertures, voire même aucune, en dehors de la porte. Il en est ainsi afin d’éviter le risque d’intrusion physique. Il est préférable de choisir une pièce éloignée des ascenseurs à cause des phénomènes électrostatiques. Installez vos serveurs dans une pièce fermée à clé et loin d’un lieu de passage, car ils sont prévus pour fonctionner entre 10° et 35° en moyenne, même si certains supportent une température plus élevée ! Si vous installez vos serveurs dans une petite pièce, la température risque d’augmenter assez vite. C’est pourquoi, il faut prévoir un système de climatisation. Il ne faut pas manquer de se prémunir contre les phénomènes de condensation. Il est donc impératif d’installer un onduleur avec un arrêt automatique du serveur en cas de coupure prolongée d’électricité.
L’élimination des menaces autour de votre entourage
Il est essentiel de veiller scrupuleusement à ce que le serveur ne soit pas en contact direct avec les rayons du soleil ou une source de chaleur. Pour les mêmes raisons, il est important de ne pas stocker les produits inflammables autour de votre serveur. Étant donné que le matériel informatique à la base n’aime pas la chaleur, veillez à ce que les tuyauteries et les gaines de climatisation ne dominent pas le serveur ! Dans la mesure où un liquide jonche le sol, il est également recommandé de surélever le serveur pour éviter une éventuelle faille. Et pour prévenir les risques de surcharge, il est nécessaire de ne pas faire usage des chapelets de blocs multiprises.
Ce qu’il faut absolument éviter
Pour garantir le bon fonctionnement des serveurs, les experts conseillent d’éviter :
• L’utilisation des comptes partagés entre plusieurs utilisateurs ;
• L’usage des services sans protection ;
• L’installation des bases de données sur un serveur directement accessible à internet ;
• L’utilisation des serveurs hébergeant pour d’autres fins, notamment pour l’accession à la messagerie électronique et la navigation sur les sites web, etc.
Lorsqu’une entreprise ne respecte pas le RGPD, la Commission Nationale de l’Informatique et des Libertés (CNIL) se charge de prendre des décisions strictes à son égard. Elle peut alors procéder à la prononciation d’un rappel à l’ordre, ordonner de mettre le traitement en conformité, limiter de façon temporaire ou définitive un traitement, effectuer la suspension des flux de données, répondre aux demandes d’exercice des droits des personnes. La CNIL peut également émettre une amende administrative de manière proportionnée et dissuasive.
Quelques risques liés aux serveurs endommagés
Les dégâts causés par l’humidité ambiante de la pièce peuvent entrainer la détérioration du serveur. Ceux des feux peuvent entrainer la destruction partielle ou totale du serveur. Tandis que les dysfonctionnements liés à l’électricité peuvent entrainer à leur tour la perte des données contenues dans le serveur. La température ambiante due effets du rayonnement solaire direct et le dysfonctionnement de la climatisation peuvent entrainer la destruction du serveur, dans la mesure où la température dépasse 35°. En outre, si le serveur est endommagé, l’entreprise risque les courts circuits entraînant la rupture des services et équipements. Dans le même sens, les pertes financières (système d’information hors service, pertes de données cruciales…) et de crédibilité en cas de divulgation des données confidentielles ne sont pas à exclure.
