Skip to content

z

Jump to bottom
CharlesRobe edited this page Apr 18, 2025 · 1 revision

Analyse de sécurité

Assurer la sécurité de l’infrastructure Docker est essentiel pour protéger données et services contre les menaces internes et externes. Nous adoptons une approche par étapes pour couvrir la confidentialité, l’intégrité et la disponibilité.

1. Identification des biens

  • Hôte Docker (VPS)

  • Conteneurs :

    • BDD : mariadb:11.1 (port 3306)

    • Web : web-nginx (Nginx 1.26.3, ports 80/443)

    • PHP : web-php (PHP-FPM 9000)

    • Mail : docker-mailserver (SMTP/IMAPS/POP3S)

    • DNS : dns2-dns (Bind9 9.18, port 53)

  • Domaines : l1-1.ephec-ti.be, mail.l1-1.ephec-ti.be

  • SSL : Let's Encrypt couvrant *.l1-1.ephec-ti.be

2. Vulnérabilités & menaces

  • VPS : SSH brute-force, fuite de configs

  • BDD : injection SQL, port 3306 exposé

  • Web : DoS HTTP, XSS via formulaires

  • PHP : inclusion/RCE, path traversal

  • Mail : spam, interception (TLS non forcé)

  • DNS : cache poisoning, DDoS amplification

3. Analyse des risques

Menace | Probabilité | Impact | Contre-mesure -- | -- | -- | -- Injection SQL | Moyenne | Fort | Requêtes paramétrées, WAF SSH brute-force | Moyenne | Moyen | Fail2Ban, mots de passe forts DoS Web | Moyenne | Moyen | Limitation connexions, reverse proxy Spam & phishing | Élevée | Faible | SpamAssassin, DMARC DNS cache poisoning | Faible | Fort | DNSSEC Interruption Docker (crash) | Faible | Fort | Monitoring, restart automatique

4. Contre-mesures

  • Gestion des accès : mots de passe forts, Fail2Ban sur SSH

  • Firewall : iptables/UFW, blocage ports non utilisés

  • Hardening : mise à jour régulière des images, AppArmor/SELinux

  • SSL/TLS : certificats Let’s Encrypt, chiffrement in transit

  • Backups : BDD auto. toutes 2 h, rétention 30 j, VPS hebdo

5. Risques résiduels & procédures

  • Détection : logs centralisés, alertes Prometheus

  • Réaction : playbook incident (isolation, analyse)

  • Récupération : DRP, restauration sous 30 min (RTO)

6. Amélioration continue

  • Veille CVE et OWASP

  • Révisions trimestrielles

  • Tests de mise à jour et de restauration réguliers

Clone this wiki locally