La sécurité des hébergements mutualisés
I. Présentation
Pour l'hébergement d'un site Internet ou d'une application Web, il y a plusieurs modèles proposés par les hébergeurs. Ces modes d'hébergement offrent plus ou moins de souplesse et de liberté, et cela impacte directement le coût de la location, mais aussi les connaissances nécessaires à l'administration de l'hébergement. En fonction de la charge à supporter, le choix peut très vite se restreindre.
Dans cet article, je vous propose de faire un petit tour d'horizon des principaux types d'hébergements pour un site Internet, avec un focus sur la partie sécurité concernant les hébergements mutualisés, sans forcément rentrer dans la technique.
II. Les différents hébergements
Pour ces infrastructures Cloud et l'hébergement Web, nous avons le choix entre plusieurs options :
- L'hébergement mutualisé, c'est-à-dire un serveur partagé entre plusieurs clients sur lequel vous avez un accès restreint et avec des ressources limitées (généralement en nombre de processus simultanés). J'entends par là que sur un même serveur, il y a aura plusieurs sites Internet hébergés, appartenant à X clients différents. Cela offre l'avantage d'avoir une plateforme prête à l'emploi, gérée par l'hébergeur hormis pour la partie applicative qui est à votre charge (votre site Internet, votre application). A titre d'exemple, les paquets Apache, PHP ou MySQL seront déjà installés, il n'y aura plus qu'à les exploiter.
- Le serveur VPS, qui correspond à une machine virtuelle mise à disposition par l'hébergeur sur une infrastructure de virtualisation qu'il gère. Sur cette VM, vous pouvez installer différents systèmes d'exploitation (Windows ou Linux) et c'est à vous de configurer le système, de le sécuriser et de mettre en place votre application. Si vous souhaitez héberger votre site Internet, vous devez installer les différents paquets nécessaires, que ce soit Apache, NginX ou un autre. L'avantage c'est que vous avez la main sur l'intégralité de la plateforme. Avec ce type de solution il est généralement possible d'activer une option pour avoir des sauvegardes automatiques de votre machine virtuelle. L'administration d'un VPS peut être simplifiée par l'utilisation d'un outil comme cPanel qui permettra de réaliser la configuration du système et des services via une interface web.
- Le serveur dédié, comme son nom l'indique est un serveur physique qui vous est dédié. Sur le même principe que le serveur VPS, vous avez accès à l'intégralité du serveur. Vous pouvez alors envisager d'installer un hyperviseur sur l'hôte, que ce soit avec VMware, Hyper-V ou encore Proxmox. Après, vous allez configurer toute la couche virtualisation et créer vos VMs. L'autonomie est totale mais la charge de travaille et de mise en oeuvre sera plus conséquente.
Finalement, ces trois options sont classés de la moins coûteuse à la plus coûteuse, de la moins souple à la plus souple, mais aussi de la moins complexe à la plus complexe à mettre en oeuvre. En fonction de vos besoins, le choix pourra s'orienter plus facilement et naturellement.
De manière générale et peu importe la solution retenue, l'hébergeur se doit d'assurer la sécurité du réseau et de son infrastructure sur chacun de ses datacenters. Cela est invisible pour le client final mais nécessite des moyens importants pour redonder l'alimentation électrique des équipements, les liens réseaux, etc... et maintenir à la bonne température tout ce beau monde.
III. Hébergement mutualisé et sécurité
Puisqu'un hébergé mutualisé est partagé entre plusieurs clients, on peut s'interroger de façon légitime sur la sécurité de cette solution. Pour assurer la sécurité des hébergements mutualisés, l'hébergeur va :
- Réaliser des sauvegardes automatiques du serveur
- Cloisonner chaque client de manière à ce qu'il accède seulement à ses données
- Limiter les ressources disponibles pour chaque client pour réduire l'impact sur les autres clients du même serveur
- Mettre en oeuvre de la géo-redondance pour assurer la continuité de service
- Intégrer des solutions de protection contre les attaques informatiques, notamment par déni de service (DDoS), que ce soit au niveau de votre site Internet en lui-même mais aussi au niveau de l'infrastructure de l'hébergeur
Note : l'hébergeur se doit d'intégrer une protection anti-DDoS (Distributed Denial of Service) et de fournir les informations quant à son système de protection. Cela est important pour rassurer ses clients et c'est un point à vérifier avec attention, voici un exemple avec OVH. En complément, le système de sécurité peut inclure une protection permettant de détecter les attaques par brute force, c'est-à-dire par dictionnaire afin de tenter de devenir un identifiant/mot de passe valide sur un serveur.
- Réaliser l'installation des correctifs de sécurité sur la plateforme (Apache, PHP, MySQL et les modules connexes)
- Surveiller, filtrer et inspecter les flux à l'aide de firewall
L'hébergement mutualisé représente une bonne solution pour héberger de façon responsable son site Internet, étant donné que la sécurité et la configuration du serveur dans son ensemble est à la charge de l'hébergeur. Une vue d'ensemble des hébergeurs est proposée à cette adresse. D'autant plus que cette solution a un coût faible et qu'elle est rapide à mettre en oeuvre, ce qui est idéal pour les startups ou les petites entreprises. Généralement, l'hébergeur met en avant les fonctionnalités incluses à son offre directement sur la page des hébergements mutualisés, c'est le cas de Ionos par exemple.
Néanmoins, vous devez garder à l'esprit que la sécurité de votre site Internet en lui-même reste à votre charge. Si vous installez WordPress et que vous ne le mettez pas à jour pendant 2 ans ou que vous utilisez "password" comme mot de passe, les risques liés à la sécurité seront biens présents.
La sécurité de votre site Internet passe, à minima, par quelques actions basiques :
- Maintenir à jour votre CMS et les extensions associées (et n'installez pas n'importe quelle extension)
- Utiliser un mot de passe sécurité et limitez le nombre de compte "Administrateur"
- Réaliser des sauvegardes (cela peut être en complément de la sauvegarde de l'hébergeur)
- Utiliser une connexion HTTPS plutôt que HTTP
- Utiliser des extensions liées à la protection de votre application, pour par exemple, protéger l'accès à votre interface d'administration, bloquer les requêtes malicieuses, etc... vraiment au niveau de votre site Internet en lui-même puisque l'hébergeur n'intervient pas à ce niveau
Dans certains cas, notamment si vous avez besoin de ressources importantes ou d'installer des paquets spécifiques pour votre application, il ne sera pas possible d'utiliser un hébergement mutualisé et vous serez contraint d'utiliser une autre solution (VPS ou serveur dédié).