Sécurité

Les sites Web statiques n'utilisent pas de langage serveur ni de base de données. C'est à la fois facile à héberger et très rassurant, puisqu'il n'y a que très peu de composants à sécuriser. C'est une préconisation de l'ANSSI. Le back-office est lui aussi sécurisé : nous mettons en œuvre les bonnes pratiques évitant le Top Ten OWASP, notamment l'authentification multifactorielle. Un audit de sécurité avec tests d'intrusion a été financé par la Région Nouvelle-Aquitaine et mené par la société Synacktiv fin 2023, et atteste du bon niveau de sécurité de l'application.

Les sites produits avec osuny sont statiques, c'est-à-dire qu'il s'agit d'un ensemble de fichiers, comprenant principalement des pages HTML, et aussi quelques fichiers CSS et JS. Il n'y a pas de base de données à pirater, pas de données confidentielles, pas de langage serveur (ni PHP, ni Java, ni Ruby, ni Node, ni Python...), ce qui fait d'autant moins de failles de sécurité possibles. L'utilisation de sites statiques quand cela est possible est une préconisation de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

Le back-office est une application multi-tenant développée en Ruby on Rails. Nous avons bénéficié par le passé de plusieurs audits de sécurité sur des systèmes que nous avons développés. Ceci nous a permis de durcir Ruby on Rails en déployant des bonnes pratiques de sécurité audelà de celles déjà intégrées au framework, notamment l'authentification multifactorielle. Suite à un audit de sécurité réalisé par Synacktiv (lien externe) et financé par la Région Nouvelle-Aquitaine, osuny atteint le plus haut niveau de sécurité (niveau de sécurité "Bon").

L'infrastructure cœur est infogérée par Scalingo sur des data-centers Outscale. Scalingo est une plateforme d'hébergement française, bénéficiant de la certification ISO 27001. Les images et fichiers uploadés sont hébergés sur un stockage Object Storage Scaleway, souverain et sécurisé, avec une durabilité de 99,99999999%.

Les comptes à privilèges sont techniquement séparés des sites Web, et concernent uniquement l'outil de gestion de contenu (back-office). Cet outil intègre par défaut l'authentification multifactorielle (MFA), et le respect du règlement général sur la protection des données (RGPD).

Nous surveillons en continu la qualité du code d'osuny (lien externe) avec l'outil Qlty (lien externe). Nous veillons à maintenir la dette technique aussi proche de zéro que possible. Les algorithmes critiques sont couverts par des tests automatisés. Par ailleurs, nous utilisons Github pour déceler en continu les vulnérabilités des composants logiciels (lien externe) que nous utilisons.