Maximum de confidentialité des données?

Discussion dans 'Administration d'un site Web' créé par fraid26, 16 Juillet 2009.

  1. fraid26
    fraid26 WRInaute discret
    Inscrit:
    3 Octobre 2008
    Messages:
    125
    J'aime reçus:
    0
    Bonjour,

    je distribue un logiciel de gestion pour entreprise en mode SaaS.
    Le fait que les données de mes clients soit stockées en ligne pose problème à certain d'entre eux.

    Je souhaiterais donc savoir quels sont les moyens disponibles pour la sécurités des données ?

    => Le SSL : pour le transfert de données ?
    => Crypter le mot de passe du client dans la BDD (en php)

    mais à part ça ? en fait l'idée serait que même si qqn pénètre la base de données, il ne puisse se servir/comprendre les infos qu'il y trouve (noms des clients/fournisseurs, montants des contrats principalement).

    merci !

    Fred
     
  2. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 626
    J'aime reçus:
    0
    A partir du moment ou tu a besoin de décoder les données dans ton application, la personne qui réussirait à obtenir un accès à ta base pourra de toute façon les décoder.

    Crypter le mot de passe du client dans la BDD est indispensable. Mais si le hacker obtient la méthode de cryptage, il ne lui faudra pas très longtemps pour faire un brute force et trouver le mot de passe.

    Quant au SSL, c'est une bonne solution pour sécuriser le transfert oui.
     
  3. fraid26
    fraid26 WRInaute discret
    Inscrit:
    3 Octobre 2008
    Messages:
    125
    J'aime reçus:
    0
    donc étant donné que je dois réutiliser les infos saisies (noms, montants, etc.),
    il n'y a aucun moyen de les crypter ? (à part créer un script capable de crypter, et décrypter ?)
     
  4. prog-x
    prog-x WRInaute discret
    Inscrit:
    6 Janvier 2007
    Messages:
    75
    J'aime reçus:
    0
    Oui il est possible de les crypter/décrypter mais comme l'a expliqué kazhar si tu dois avoir tes données en clair dans ton application la personne malveillante pourra facilement les décoder puisqu'elle aura accès à ton script de cryptage/décryptage.

    Il faut que tu isoles les données cryptées de ton script de cryptage/décryptage,c'est-à-dire les mettre sur un autre serveur dans un autre endroit voir même un autre pays.

    Pas évident à mettre en place comme ça à première vue.
     
  5. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 626
    J'aime reçus:
    0
    Une bonne solution. Mais la, c'est de la paranoia.
    Tu force l'utilisateur à se connecter à un VPN pour accéder à l'interface d'édition du site.
    Et pour se connecter à ce vpn, tu impose d'utiliser un token physique.
    L'idée est d'avoir un badge qui fournit un code valide pour se connecter et auquel tu ajoute un mot de passe.

    La, tu augmente déjà ta sécurité. Mais encore une fois, c'est de la paranoia. Et vu le prix que cela va te couter, t'as intérêt à vraiment avoir besoin de sécuriser tes données (pour des noms, prénoms et adresses, c'est inutile autant le dire).
     
  6. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Comme déjà dit, tu peux effectivement chiffrer les données, mais la clef sera presque à coup sûr stockée sur la même machine, donc ça en limite la portée, mais c'est toujours ça de pris (suivant ce à quoi l'intrus a accés, ça peut aider: il pourrait exploiter une faille qui lui donne accès à la base de données mais pas aux sources de ton appli, par exemple).

    Tu peux aller plus loin en chiffrant les données avec une clef stockée côté client, fournie pendant la transaction mais jamais stockée sur le serveur. Tu peux éventuellement faire en sorte que les données soient transmises chiffrées et décodées côté client, mais ça devient compliqué.

    Evidemment tout ça peut se révéler extrêmement compliqué pour des choses comme des recherches en bases de données.

    D'un autre côté, tu peux (et dois probablement) assurer la sécurité de ton serveur: firewall, filtres, détection d'intrusion, utilisation d'outile de tests d'intrusion. Tu peux par exemple voir tu côté de McAfee Secure (www.mcafeesecure.com), pour faire des tests et afficher un sceau indiquant que tu es conforme. Tu peux même pousser jusqu'à une certification PCI DSS (obligatoire pour ceux qui stockent des données liées à des cartes bancaires). Il y a des services du même genre chez Comodo, Qualys, et bien d'autres.

    L'un dans l'autre, il n'y a jamais de sécurité absolue, il faut trouver le bon compromis entre les risques/la sensibilité des données (pas pareil de stocker des données bancaires, médicales ou militaires d'une part, et la liste des prospects de l'agence de comm du coin d'autre part) et le coût/la complexité.

    Jacques.
     
Chargement...
Similar Threads - Maximum confidentialité données Forum Date
Le poids maximum d'une page web aujourd'hui ? Développement d'un site Web ou d'une appli mobile 5 Novembre 2016
Nombre maximum de liens sur la page d'accueil ? Débuter en référencement 19 Septembre 2015
VIDEO: Comment obtenir le maximum de trafic avec des guest posts Référencement Google 25 Mars 2014
Nombre de fichiers maximum dans un répertoire? Développement d'un site Web ou d'une appli mobile 4 Juillet 2013
quel taux de similarité maximum entre deux textes? Rédaction web et référencement 13 Juin 2013
Nombre maximum d'mails envoyés depuis un serveur Netlinking, backlinks, liens et redirections 18 Février 2013
Balises Hn | Longueur maximum ? Débuter en référencement 27 Juillet 2012
Résolution maximum trop élevé Développement d'un site Web ou d'une appli mobile 19 Juillet 2012
Nombres de filtres (de profil) maximum Google Analytics 21 Mars 2012
Ancre et nombre de caractères maximum Référencement Google 10 Août 2011
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice