Afin de faire face aux différentes attaques Internet et vous prémunir des dégradations de vos pages, de votre image, de l’altération de vos données ou d’un usage malveillant de celles-ci, nous avons renforcé la sécurité et la performance de nos services.

Vous trouverez ci après les principales actions mises en place dans ActiPAGE pour lutter contre ces attaques.

Actipage et la sécurité


Filtrage des adresses IP Nouveau
ActiPAGE dispose d’un filtre de sécurité permettant de bloquer l’accès aux pages d’administration. Il est ainsi possible de définir une liste d’adresses IP autorisées ou une liste d’adresses IP à interdir. La saisie de plages d’adresses IP est également possible et cumulable avec une liste d’adresses IP.


Sécurisation des mots de passe  Nouveau
Nous utilisons l’algorithme de hachage SHA512 afin de ne pas conserver les mots de passe en clair. Nous obligeons les utilisateurs à utiliser un mot de passe de 8 caractères contenant au moins un chiffre et des lettres.
Mot de passe faible :
Nous obligeons les utilisateurs à utiliser un mot de passe de 8 caractères contenant au moins un chiffre et des lettres.


Sécurisation renforcée par accès https différencié vers le back-office par une double identification 
L’administration se situe sur un autre nom de domaine et est séparée des sites. Le système d’authentification s’effectue en deux temps :  désignation du réseau puis par la saisie du nom de l’utilisateur et de son mot de passe.


Contrôle PHP d’injections de codes SQL 
Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité. Les données envoyées par les visiteurs dans le backoffice ainsi que sur le site public sont contrôlées automatiquement par l’ORM Doctrine que nous utilisons. Les caractères spéciaux contenus dans les chaînes de caractères entrées par l’utilisateur sont alors substituées par des caractères rendant inopérantes les requêtes malveillantes .


XSS (cross-site scripting)
Le cross-site scripting (abrégé XSS pour ne pas les confondre avec les feuilles de style CSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. De la même manière que pour les injections de codes SQL nous contrôlons et filtrons les données envoyées par l’utilisateur avec des caractères spéciaux (fonction htmlentities).


Protection Anti-DDoS
Tous nos sites disposent d’une protection Anti-DDoS qui permet de bloquer les attaques par un envoi massif de requêtes automatiques sur nos sites. Une attaque DDoS vise à rendre le site indisponible, en surchargeant la bande passante du serveur par des requêtes multiples, ou en accaparant ses ressources jusqu'à épuisement. Notre hébergeur intègre en série une solution de mitigation basée sur la technologie VAC. Il s’agit d’une combinaison exclusive de techniques qui analysent en temps réel et à haute vitesse le trafic de votre site. Elles détectent et interceptent automatiquement les attaques, tout en laissant passer les requêtes légitimes.


Haute disponibilité
Les sites sont hébergés sur un environnement assurant la haute disponibilité, les sites sont hébergés sur des serveurs de fichiers avec de nombreuses réplication des données.

Loadbalancing
Plusieurs serveurs exécutent le code source du site en parallèle ce qui permet de répartir les requêtes sur plusieurs serveurs et ainsi améliorer le temps de réponse. En cas de panne d’un serveur, le trafic est automatiquement redirigé sur les autres serveurs disponibles. Ces mesures permettent de garantir un taux de disponibilité de 99,9%.

Mise à jour régulière des versions logicielles utilisées
L'utilisation d'une version PHP à jour permet de profiter des dernières innovations, comme l'optimisation PHP-FPM. Avec PHP-FPM, les éléments et instructions invoqués lors d’une requête sont conservés en mémoire, c’est-à-dire mis en cache au niveau du serveur, pour être réutilisés directement si cette même requête est à nouveau demandée. ActiPAGE et les logiciels périphériques sont régulièrement mis à jour et bénéficient de nouvelles fonctionnalités renforçant la sécurité. L’architecture centralisée facilite le déploiement des nouvelles versions pour l’ensemble des utilisateurs.


Informations sensibles dans la base de Whois
Le whois permet d'effectuer des recherches sur les bases de données des Registries. Ce service contient les adresses, emails et numéros de téléphone des propriétaires de noms de domaine. Toutes les informations du contact peuvent être masquées (nom et prénom exclus) pour toute personne physique, seul l'email peut être masqué pour toute personne morale. Actigraph masque systématiquement (Whois Obfuscateur) vos informations personnelles du whois, pour tous les noms de domaine gérés par ses soins et se terminant en .com, .net, .org, .biz, .info, .mobi, .tv, .cc et .me.


Sauvegardes
Les sauvegardes nécessaires à la sécurisation des éléments constitutifs des services hébergés font l’objet d’une attention particulière (Structure arborescente, pages, données et documents, base de données).?Les sauvegardes sont réalisées via des dispositifs différents, à des fréquences élevées, en des lieux distincts, par 3 intervenants (Le client, Le prestataire d’hébergement, Actigraph).?
Les différents types de sauvegarde disponibles avec Actipage :
Sauvegarde automatisée par les clients via Actipage

  • sauvegarde des dump de la base de données (à plusieurs adresses emails - fréquence ajustable

Sauvegarde par Actigraph

  • Sauvegarde journalière des dumps par nos services?
  • Sauvegarde des dumps disponibles sur les 15 derniers jours (J-15)
  • Sauvegarde des fichiers du site (PHP, images, vidéo, pdf…) tous les jours
  • L’ensemble des sauvegardes est stocké sur un disque situé en nos locaux
  • Une copie de ce disque est effectuée toutes les semaines et stocké dans un autre endroit géographique

Sauvegarde par notre prestataire d’hébergement

  • Sauvegarde de l’ensemble de l’environnement du site tous les jours (purge au bout de 14jours)