En 7 étapes vers un hébergement Mautic sécurisé

La mise en place et le fonctionnement d’une infrastructure sécurisée pour le marketing automation avec Mautic peuvent être difficiles. Nous le savons parce que nous avons passé des années à résoudre ces problèmes pour les start-ups technologiques, les PME et les grandes entreprises. Les pirates informatiques sont constamment à la recherche d’entreprises à cibler. Avec ces 7 étapes directement applicables, tu obtiendras un hébergement Mautic sûr.

Quels sont les principaux risques liés à l’hébergement de Mautic ?

Le risque n° 1 : l’exfiltration ! Les données sont le nouvel or, ta liste de contacts est donc une monnaie forte et donc attractive. Les pirates informatiques du monde entier tentent d’obtenir des données personnelles qui peuvent être revendues à des concurrents ou utilisées à des fins plus infâmes. Non seulement la vie privée de tes clients est menacée, mais tu risques également de lourdes amendes si des données personnelles tombent entre de mauvaises mains.

Un autre risque est que des pirates informatiques se fassent passer pour ton entreprise afin d’envoyer des campagnes de phishing. Ou bien ils utilisent ton serveur pour, par exemple, miner du bitcoin ou pour lancer des attaques de piratage contre d’autres personnes.

Les pirates informatiques sont constamment à la recherche de moyens d’abuser des données. Ton instance Mautic est alors rapidement repérée, car les pirates scannent aveuglément les IP à la recherche de ports ouverts ou vérifient les bases de données publiques de divulgation TLS. Dès que ton instance Mautic est trouvée, elle est analysée (de manière automatisée) à la recherche de vulnérabilités. Veillons donc à ce que les pirates ne puissent pas accéder à ton instance Mautic. En matière d’hébergement et en tant qu’utilisateur, tu peux faire des choses bien ici.

Comment obtenir un hébergement Mautic sécurisé ?

Utilise un cryptage TLS 1.3 fort

Tout d’abord, tu dois protéger ton trafic de données avec un cryptage TLS 1.3 puissant. Un ISP (Internet Service Provider) peut générer une clé TLS pour toi. Tu es alors responsable de l’installation des clés, de leur confidentialité et de leur remplacement régulier à leur expiration.

Si tu n’héberges pas toi-même le serveur Mautic, assure-toi que tu fais confiance à ton hébergeur. Car toute personne qui possède la clé privée peut se faire passer pour toi ou t’espionner.

Utiliser un pare-feu d’application web

Bien que Mautic ait des antécédents encourageants dans le domaine de la sécurité, même les technologies les plus éprouvées au combat peuvent présenter des failles. L’utilisation d’un pare-feu d’application web (WAF) comme CloudFlare ou mod_security bloquera un grand nombre d’attaques avant qu’elles ne t’atteignent.

En outre, un WAF te protège contre les attaques par déni de service distribué (DDoS). C’est le cas lorsque quelqu’un essaie de surcharger ton instance Mautic avec du trafic afin de déconnecter ton entreprise du réseau.

S’abonner aux bulletins de sécurité et faire des mises à jour

Enfin, assure-toi que tu es abonné à tous les bulletins de sécurité pour tous les logiciels que tu utilises : cela inclut au moins ceux de Mautic, les bulletins de sécurité de la base de données et du système d’exploitation. Dans de rares cas, il se peut alors que tu doives mettre à jour ton instance Mautic un dimanche à 3 heures du matin. Mais bon, mieux vaut être à l’abri que de snorer !

Comment rendre Mautic plus sûr en tant qu’utilisateur admin ?

Respecte le « principe du moindre privilège ».

Attribue différents rôles aux utilisateurs afin d’appliquer le « principe du moindre privilège ». Par exemple, quelqu’un qui crée des campagnes n’a pas besoin de pouvoir créer de nouveaux utilisateurs de Mautic.

Même si tu es le seul utilisateur de ton instance Mautic, il est recommandé d’avoir un profil d’administrateur et un autre profil d’utilisateur avec moins de droits. Si quelqu’un pirate ton autre profil d’utilisateur, il ou elle n’aura toujours pas accès à toutes les fonctions. Tu minimises ainsi les risques.

Utilise des mots de passe sûrs à usage unique

Utilise un gestionnaire de mots de passe comme 1Password pour créer des mots de passe longs et sûrs qui ne seront pas réutilisés pour différentes connexions. Les bons gestionnaires de mots de passe permettent également d’échanger des mots de passe de manière cryptée, par exemple lors de la distribution de mots de passe pour les nouveaux collaborateurs.

Désactiver les fonctions non utilisées

Par exemple, si tu utilises l’API, Basic Auth doit être désactivé et seul OAuth doit être utilisé. Les jetons OAuth ont une durée de vie courte et leur champ d’application est limité à la tâche concernée. C’est un autre exemple du « principe du moindre privilège ».

En revanche, les données d’accès Basic Auth ne peuvent être invalidées que par un changement de mot de passe. En outre, ils peuvent également être utilisés pour se connecter à l’interface utilisateur du Mautic. Cela permet aux pirates de faire tout ce que l’utilisateur concerné est autorisé à faire.

Sois prudent et connais les risques

Si tu héberges ou administres toi-même une instance Mautic, fais très attention aux conseils que tu reçois des autres. Certes, beaucoup de ces choses sont bien intentionnées et t’aideront à atteindre tes objectifs. Certains éléments peuvent toutefois conduire à des points faibles.

Par exemple, de nombreuses personnes utilisent encore FTP pour mettre à jour leurs instances Mautic. Ils ne sont probablement pas conscients de l’insécurité de ce protocole. Tu devrais au moins utiliser SFTP ou SCP pour copier des fichiers sur ton serveur.

Conclusion

Les données sont précieuses, pour toi en tant qu’entreprise, pour les personnes dont elles proviennent, mais malheureusement aussi pour les pirates informatiques. En cas d’attaque contre ton instance Mautic, le pire serait sans doute la perte de réputation. Mais des conséquences financières sont également à craindre. Accorde donc toute l’attention nécessaire à la protection des données très sensibles de tes clients. En adoptant la bonne attitude et en appliquant systématiquement les bonnes pratiques, tu sécurises ton hébergement Mautic contre les attaques de pirates. En investissant dans un hébergement sûr, tu peux aussi gagner des points auprès de tes clients. Cela en vaut donc la peine !

Tous les débuts sont faciles.

Une femme découvre la simplicité du marketing automation avec Aivie

Inscris-toi maintenant au webinaire gratuit.

Que vous soyez responsable marketing, créateur d’entreprise ou simplement curieux, notre webinaire de 30 minutes est fait pour vous. Il vous permettra d’en savoir plus sur le marketing automation avec Aivie.

Participer maintenant

Connais-tu quelqu’un qui pourrait bénéficier d’un hébergement Mautic plus sûr ? Nous serions heureux que tu partages ou fasses suivre cet article.

Laisser un commentaire