Eske delidoc sekirize ?

 


DELIDOC, se yon sit gouvènman an fenk pibliye pou moun fè demand paspò ak kat idantite an liy, li pibliye vandredi 31 mas 2023 la menm pa konnen nan ki dat yo te komanse se devlopel, aspè dizay lan parèt pasab, e avi pam ap yon ti jan baze sou sekirite, se la ki domèn mwen. Mwen se Djefferson Saintilus, mwen ap aprann sekirite enfòmatik, spesyalitem se sekirite ofansiv, sekirite web se lam pi bon, mwen fè "secure code", savle di mwen ka ede devlopè web dekouvri fay lojik nan code yo, e lot fay ki ka riske mete platfòm yap devlope a an dezavantaj ak atakan yo.

Mwen panse koze sekirite a paka rezoud byen fasil selon jan majorite a panse sitou pou koze https ke DELIDOC pa genyen an, ann di ke https la, ki se sa yo rele yon sètifika ssl, jis ki rasirew ke pouw stoke done pèsonel ak fè tranzaksyon pa kat fok genyen sètifika sa a pou rasire konfidansyalite kominikasyon an, ant sèvè a ak kliyan an(DELIDOC ak chak moun ki vin fè yon demand), e ke pa gen yon moun ki ka chanje aspè done sa yo, donk lèw gen https li fèw konnen ke pyès moun paka chanje aspè done ou antre e repons "server" a voye ba ou tou(MITM).

Pale de sekirite platfòm wèb la an jeneral, DELIDOC la an gwo, ann di deja objektif li se kenbe done pèsonel moun, donk fòk ta kòmanse gen yon "audit" ki fèt soti a la baz, sa vle di sòti nan ki peyi "hébergeur" la ye, ki teknoloji yo itilize, eske "version" yo a jou, aprèsa pouw remonte pi wo, chèche nan aplikasyon web la ki langaj devlopè yo itilize, ki "server" web(apache, nginx, microsoft IIS,..), epi konnen ki vèsyon chak "server" sa yo, oswa eske se sou yon CMS, eske yo itilize yon tèm ki pa gen fay "0day", elatriye ... aprè "audit" la, sak pase ? tout bagay fini ? Non.

Ebyen pral dwe gen yon "pentest" pou verifye fo positif, sa vle di fay nou te panse ki sa men vrèman yo pa sa epi yo pa two genyon gwo enpak sou DELIDOC,aprè pentest la soumèt li ak yon pwogram "bug bounty" prive, yon "bug bounty" paske se nan pwogram konsa wap vrèman konnen ki nivo sekiritew ye, lèw fin asirew kew sekirize vre a a yon sèten nivo; an pasan yon "bug bounty" pwogram se yon rechèch vilnerabilite apwofondi de yon sistèm. Fòk ta toujou gen yon "team" sekirite,ki aktif pou ap verifye, e monitore tout rezo a an ka de atak iminan, ou pasif(circle PDCA). 

Anfen li rete pou fè demand yon lwa ak reglèman ki pale sou sekirite done nimerik an Haïti, epi entèdi moun fè "scan actif" oswa atake sit lan san otorizasyon, sinon sanksyon, lap depann de ki nivo sa moun lan arive fè, bref mennenl devan yon tribinal paske depi gen lwa ou ka mennen'l, epi se jis apresa tout sa yo wap ka genyon ti nivo nan sekirite a, paske sekirite 100% pa egziste, e apati de la moun yo ka kòmanse ranpli fomilè yo ak done pèsonel yo san krent.

Comments

Post a Comment

Popular posts from this blog

Générateur de mot de passe et MFA #2

 La sécurité des mots de passe est un sujet important pour tout utilisateur d'Internet, car de nombreux comptes en ligne sont protégés par un mot de passe. Cependant, il peut être difficile de créer et de se souvenir de mots de passe forts et uniques pour chaque compte. C'est là qu'interviennent les générateurs de mots de passe. Selon Troy Hunt, expert en sécurité informatique et créateur de Have I Been Pwned : "Les générateurs de mots de passe sont importants car ils peuvent créer des mots de passe forts et uniques pour chaque compte, ce qui réduit le risque de violations de sécurité." Les générateurs de mots de passe utilisent des algorithmes complexes pour créer des mots de passe aléatoires qui sont difficiles à deviner ou à craquer. Il est important d'utiliser des générateurs de mots de passe fiables pour garantir que les mots de passe créés sont suffisamment sécurisés. En plus des générateurs de mots de passe, une autre mesure de sécurité importante est l...
Read more