Notre infrastructure de sécurité

Il ne se passe pas une semaine sans que l’actualité nous offre des exemples d’entreprises ou d’organismes gouvernementaux ayant souffert d’attaques de pirates informatiques (« hackers ») ayant subtilisé des données, ou rendu un site web inaccessible.

Il va sans dire qu’il est inconcevable de nos jours d’opérer un ou plusieurs site web sans porter une attention particulière à la sécurité. Voici ce que nous faisons pour protéger vos données et sites web.

Serveurs

Il est impossible d’accéder physiquement à nos équipements, car ceux-ci sont virtualisés et disséminés à travers les centres de données de notre hébergeur, Linode.

L’accès à chaque serveur lui-même est hautement sécurisé; l’authentification n’est possible qu’avec des clés SSH encryptées. Chacun de nos serveurs dispose également d’un certificat SSL (« HTTPS ») pour en assurer l’authenticité (et à venir bientôt pour tous les sites d’agents sur la plateforme Immo).

Nous n’utilisons aucun panneau de contrôle, serveur de courriel, serveur FTP, ou autre service permettant un accès non-sécurisé. Nos serveurs ne permettent l’accès que sur les ports 80 et 443 (traffic web), ainsi que SSH.

Et finalement, chacun de nos serveurs bénéficie d’un backup complet quotidien vers un autre centre de donnée. Il nous est possible de cloner et démarrer un serveur additionnel en 30 minutes, en cas de problème majeur.

Système d’opération

Nous utilisons une version sécurisé de Linux 64-bit qui bénéficie de mises-à-jour quotidiennes. Nous utilisons également un ensembles de pares-feu (« firewalls ») qui sont également mise-à-jour quotidiennement. Ces mises-à-jour sont automatisées, et en cas de problème, les serveurs sont configurés pour redémarrer automatiquement (reboot).

Tous les sites web fonctionnent sous des usagers à droits très restreints, limitant les accès possibles si une faille devait survenir. Et les adresses IP de tous les accès sont conservés dans un journal d’évènement.

Plateformes web

Les logiciels qui propulsent nos plateformes sont également sécurisés. Que ce soit par l’utilisation de plugins de sécurité pour les sites WordPress, ou l’usage de mots de passe complexes pour nos autres plateformes, nous apportons une attention particulière à cet aspect. Nous pouvons détecter et bannir les adresses IP générant des requêtes non-désirées, et ainsi protéger la performance de nos infrastructures.

 

Naturellement, aucun site ne peux garantir une protection absolue contre les menaces webs qui évoluent sans cesse. Mais nous avons mis en place les outils et approches pour réduire les risques au minimum, et nous sommes préparés en cas de pépin pour minimiser l’impact et revenir rapidement opérationnels.