<p>Sur le serveur est installé le système d'exploitation <ahref="https://ubuntu.com/"target="_blank">Ubuntu 18.04 LTS<a></p>
<p>Les services sont déployés dans une architecture conteneurisée basée sur Docker et publiés sur <ahref="https://hub.docker.com/search?q=lefilament&type=image"target="_blank">Docker Hub</a></p>
<p>Les bases de données et services internes ne sont pas accessibles depuis l’extérieur, seul le front-end est servi sur l’interface publique du serveur et protégé par un reverse proxy <ahref="https://containo.us/traefik/"target="_blank">Traefik</a></p>
<p>Le déploiement du serveur, les mises à jour, et les vérifications de conformité sont toutes réalisées depuis Ansible, à partir des rôles publiés sur <ahref="https://github.com/lefilament/ansible"target="_blank">https://github.com/lefilament/ansible</a>.</p>
</div>
<divclass="content-chatons manifest-div">
<h3>Politique de sécurité</h3>
<p>La politique de sécurité mise en place par <ahref="https://le-filament.com"target="_blank">Le Filament</a> pour les services libres proposés gratuitement s’appuie sur plusieurs volets :
<ul>
<li>Utilisation d’un protocole sécurisé par SSL/TLS (HTTPS), protégé par un Certificat provenant de <ahref="https://letsencrypt.org/"target="_blank">Let’s Encrypt</a> et renouvelé automatiquement tous les deux mois.</li>
<li>Les serveurs hébergeant les services (loués auprès d’<ahref="https://www.ikoula.com/fr"target="_blank">Ikoula</a> en France) est lui même accessible uniquement par SSH (avec clés privées) par les salariés de la SCOP <ahref="https://le-filament.com"target="_blank">Le Filament</a></li>
<li>Les bases de données et services internes ne sont pas accessibles depuis l’extérieur, seul le front-end est servi sur l’interface publique du serveur et protégé par un reverse proxy <ahref="https://containo.us/traefik/"target="_blank">Traefik</a></li>
<li>Utilisation d’un protocole sécurisé par SSL/TLS (HTTPS), protégé par un Certificat provenant de <ahref="https://letsencrypt.org/"target="_blank">Let’s Encrypt</a> et renouvelé automatiquement tous les deux mois. automatiquement par Traefik</li>
<li>Les serveurs hébergeant les services est lui même accessible uniquement par SSH (avec clés privées) par les salariés de la SCOP <ahref="https://le-filament.com"target="_blank">Le Filament</a></li>
<li>Les accès au serveur sont protégés par un pare-feu logiciel <ahref="https://doc.ubuntu-fr.org/iptables"target="_blank">IPTables</a></li>
<li>Le service <ahref="https://www.fail2ban.org/"target="_blank">Fail2ban</a> analyse les logs des différents services exécutés sur le serveur afin de détecter les attaques les plus courantes et bannir les adresses IP impliquées dans ces (tentatives d’) attaques</li>
<li>Les différents services sont monitorés en continu par <ahref="https://www.nagios.org/"target="_blank">Nagios</a> et des alertes automatiques sont envoyés aux salariés du <ahref="https://le-filament.com"target="_blank">Filament</a> en cas de problème.</li>
<li>Les services et le serveur sont régulièrement mis à jour (a minima tous les 3 mois, et lors de chaque mise à jour de sécurité majeure).</li>
<li>Les services et le serveur sont régulièrement mis à jour (mise à jour complète tous les 3 mois, mise à jour de sécurité chaque mois).</li>
<li>Les différents paquets installés (avec leurs versions) et les images docker utilisées (avec leurs digests) sont récupérées chaque jour sur un serveur tiers (VPS SSD1 OVH en France - Gravelines) afin de suivre les évolutions sur le serveur et afin d'être en mesure de réinstaller le serveur à l'identique en cas de défaillance. Par mesure de sécurité ces données ne seront pas rendues publiques mais peuvent être communiquées sur demande.</li>
<li>Le serveur est supervisé par un serveur Nagios hébergé sur un autre serveur dédié Agile S Ikoula (en France) monitorant tous les services (certificat + réponse requête HTTPS + service sur serveur), l'utilisation mémoire et CPU des dockers et du système d'exploitation, la charge CPU, l'utlisation RAM et disque toutes les 10 minutes, avec alerte automatique par e-mail en cas de dépassement des seuils configurés.</li>
<li>Le serveur est supervisé par un service Nagios hébergé sur un autre serveur dédié Agile S Ikoula (en France) monitorant tous les services (certificat + réponse requête HTTPS + service sur serveur), l'utilisation mémoire et CPU des dockers et du système d'exploitation, la charge CPU, l'utlisation RAM et disque toutes les 10 minutes, avec alerte automatique par e-mail en cas de dépassement des seuils configurés.</li>
