La Journée de la confidentialité des données vient de passer et avec la Journée mondiale de la sauvegarde qui approche à grands pas, nous avons préparé 10 conseils de sécurité des données pour vous aider à sécuriser vos appareils Synology contre les menaces en ligne.
Les dernières années ont vu une escalade spectaculaire des menaces de cybersécurité. Selon un rapport du New York Times, plus de 200 000 organisations ont été attaquées par des rançongiciels en 2019, soit une hausse de 41% par rapport à l’année précédente.
Pour vous aider à vous protéger, nous avons compilé une liste de paramètres de sécurité des données importants qui sont souvent négligés. À la fin, nous avons inclus des conseils bonus qui pourraient vous aider à garantir l’intégrité des données — un autre pilier de la protection des données.
Remarque : La plupart des paramètres listés ci-dessous ne sont accessibles et modifiés que par un compte utilisateur disposant de droits d’administration.
- Astuce 1 : Restez à jour et activez les notifications
- Astuce 2 : Exécutez Security Advisor
- Astuce 3 : Fonctions de sécurité DSM de base à configurer
- Astuce 4: HTTPS Partie 2 – Chiffrons
- Astuce 5 : Désactiver le compte administrateur par défaut
- Astuce 6 : Force du mot de passe
- Astuce 7: Vérification en 2 étapes
- Astuce 8 : Changer les ports par défaut
- Astuce 9: Désactivez SSH/telnet lorsqu’il n’est pas utilisé
- Astuce 10 : Crypter les dossiers partagés
- Conseil bonus : Intégrité des données
- Plus important que jamais
Astuce 1 : Restez à jour et activez les notifications
Nous publions régulièrement des mises à jour DSM pour améliorer les fonctionnalités et les performances et résoudre les vulnérabilités de sécurité des produits.
Chaque fois qu’une faille de sécurité survient, notre Équipe de réponse aux incidents de sécurité des produits (PSIRT) procédera à une évaluation et à une enquête dans les 8 heures et publiera un correctif dans les 15 heures suivantes pour aider à prévenir les dommages potentiels dus aux attaques zero-day.
Pour la plupart des utilisateurs, nous vous recommandons fortement de configurer des mises à jour automatiques pour que les dernières mises à jour DSM soient installées automatiquement.*
En savoir plus
De nombreux périphériques Synology ont la possibilité d’exécuter un DSM virtuel dans Virtual Machine Manager, pour créer une version virtualisée du système d’exploitation DSM. Utilisez Virtual DSM pour créer un environnement de transfert, puis répliquez ou essayez de reproduire votre environnement de production en son sein. Effectuez un test de mise à niveau en installant la dernière version de DSM sur votre DSM virtuel et vérifiez les fonctionnalités clés dont votre déploiement actuel a besoin avant de procéder à la mise à jour dans votre environnement principal.
Une autre chose importante à considérer est de rester au courant des choses telles qu’elles se produisent. Configurez des notifications sur votre NAS Synology et recevez des notifications par e-mail, SMS, sur votre appareil mobile ou via votre navigateur Web lorsque des événements ou des erreurs spécifiques se produisent. Si vous utilisez le service DDNS de Synology, vous pouvez choisir d’être averti lorsque la connectivité réseau externe est perdue. Agir immédiatement en cas de notification de volumes de stockage à court d’espace ou d’échec d’une tâche de sauvegarde et de restauration est un élément important pour assurer la sécurité à long terme de vos données.
Nous vous encourageons également à configurer votre compte Synology pour recevoir nos newsletters NAS et conseils de sécurité afin de vous tenir au courant des dernières mises à jour de sécurité et de fonctionnalités.
* La mise à jour automatique ne prend en charge que les mises à jour DSM mineures. Les mises à jour majeures nécessitent une installation manuelle.
En savoir plus
Astuce 2 : Exécutez Security Advisor
Security Advisor est une application préinstallée qui peut analyser votre NAS à la recherche de problèmes de configuration DSM courants, vous donnant des suggestions sur ce que vous devrez peut-être faire pour protéger votre NAS Synology. Par exemple, il peut détecter des choses courantes telles que laisser l’accès SSH ouvert, si des activités de connexion anormales se produisent et si des fichiers système DSM ont été modifiés.
En savoir plus
Astuce 3 : Fonctions de sécurité DSM de base à configurer
Vous pouvez configurer un certain nombre de paramètres de sécurité dans le Panneau de configuration >Onglet Sécurité pour sécuriser vos comptes d’utilisateurs.
Bloc automatique IP
Ouvrez le Panneau de configuration et accédez à Security >Bloc automatique. Activer le blocage automatique pour bloquer automatiquement les adresses IP des clients qui ne parviennent pas à se connecter dans un nombre et une période spécifiés. Les administrateurs peuvent également mettre sur liste noire des adresses IP spécifiques pour prévenir d’éventuelles attaques par force brute ou par déni de service.
Configurez le nombre d’essais en fonction de l’environnement d’utilisation et du type d’utilisateurs que votre appareil desservira régulièrement. Gardez à l’esprit que la plupart des foyers et des entreprises n’auront qu’une seule adresse IP externe pour leurs utilisateurs et que les adresses IP sont souvent dynamiques et changeront après un certain nombre de jours ou de semaines.
En savoir plus
Protection des comptes
Bien que le blocage automatique des listes noires des adresses IP ayant échoué une tentative d’authentification de trop, la Protection des comptes protège les comptes d’utilisateurs en bloquant l’accès des clients non approuvés.
Accédez au Panneau de configuration >Sécurité >Protection du compte. Vous pouvez activer la protection des comptes pour protéger les comptes des clients non approuvés après un nombre défini de connexions échouées. Cela améliore la sécurité de votre DSM et réduit le risque que les comptes soient la proie d’attaques par force brute à partir d’attaques distribuées.
En savoir plus
Activer HTTPS
Avec HTTPS activé, vous pouvez chiffrer et sécuriser le trafic réseau entre votre NAS Synology et les clients connectés, ce qui protège contre les formes courantes d’écoutes ou d’attaques man-in-the-middle.
Accédez au Panneau de configuration >Réseau > Paramètres DSM. Cochez la case pour rediriger automatiquement les connexions HTTP vers HTTPS. Vous allez maintenant vous connecter à DSM via HTTPS. Dans la barre d’adresse, vous remarquerez que l’URL de votre appareil commence par « https:// » au lieu de « http:// ». Notez que le numéro de port par défaut pour https est 443, tandis que http utilise par défaut le port 80. Si vous aviez certains paramètres de pare-feu ou de réseau en place auparavant, vous devrez peut-être les mettre à jour.
En savoir plus
Avancé : Personnaliser les règles du pare-feu
Un pare-feu sert de barrière virtuelle qui filtre le trafic réseau provenant de sources externes selon un jeu de règles. Accédez au Panneau de configuration >Sécurité >Pare-feu pour configurer des règles de pare-feu pour empêcher la connexion non autorisée et contrôler l’accès au service. Vous pouvez décider d’autoriser ou de refuser l’accès à certains ports réseau par des adresses IP spécifiques, un bon moyen, par exemple, d’autoriser l’accès à distance depuis un bureau spécifique ou d’autoriser uniquement l’accès à un service ou à un protocole spécifique.
En savoir plus
Astuce 4: HTTPS Partie 2 – Chiffrons
Les certificats numériques jouent un rôle clé dans l’activation de HTTPS, mais sont souvent coûteux et difficiles à maintenir, en particulier pour les utilisateurs non professionnels. DSM prend en charge Let’s Encrypt, un organisme de délivrance de certificats gratuit et automatisé, pour permettre à quiconque de sécuriser facilement ses connexions.
Si vous avez déjà un domaine enregistré ou utilisez DDNS, accédez au Panneau de configuration >Sécurité >Certificat. Cliquez sur Ajouter un nouveau certificat > Obtenez un certificat de Let’s Encrypt, pour la plupart des utilisateurs, vous devez cocher « Définir comme certificat par défaut » *. Entrez votre nom de domaine pour obtenir un certificat.
Une fois que vous avez un certificat, assurez-vous que tout votre trafic passe par HTTPS (comme indiqué dans l’astuce #3).
* Si vous avez configuré votre appareil pour fournir des services via plusieurs domaines ou sous-domaines, vous devrez configurer le certificat utilisé par chaque service dans le panneau de configuration >Sécurité >Certificat >Configurer
Tutoriel vidéo Youtube
Astuce 5 : Désactiver le compte administrateur par défaut
Les noms d’utilisateur administrateur courants peuvent rendre votre NAS Synology vulnérable aux parties malveillantes qui utilisent des attaques par force brute utilisant des combinaisons de nom d’utilisateur et de mot de passe courantes. Évitez les noms communs tels que « admin », « administrator », « root » * lors de la configuration de votre NAS. Nous vous recommandons également de définir un mot de passe fort et unique juste après la configuration de votre NAS Synology et de désactiver le compte administrateur par défaut du système**.
Si vous vous connectez actuellement à l’aide du compte utilisateur « admin », accédez à l’utilisateur du Panneau de configuration > et créez un nouveau compte administratif. Connectez-vous ensuite à l’aide du nouveau compte et désactivez le « admin » par défaut du système.
* « root » n’est pas autorisé comme nom d’utilisateur.
** S’il est configuré avec un nom d’utilisateur autre que « admin », le compte par défaut sera déjà désactivé.
En savoir plus
Astuce 6 : Force du mot de passe
Un mot de passe fort protège votre système contre les accès non autorisés. Créez un mot de passe complexe qui intègre des lettres à casse mixte, des chiffres et des caractères spéciaux d’une manière dont vous seul pouvez vous souvenir.
L’utilisation d’un mot de passe commun pour de nombreux comptes est également une invitation aux pirates. Si un compte est compromis, les pirates peuvent facilement prendre le contrôle de vos autres comptes. Cela se produit régulièrement pour les sites Web et autres fournisseurs de services. Nous vous recommandons de vous inscrire auprès de services de surveillance publics tels que Have I Been Pwned ou Firefox Monitor.
Si vous avez du mal à mémoriser des mots de passe complexes et uniques pour différents comptes, un gestionnaire de mots de passe (tel que 1Password, LastPass ou Bitwarden) pourrait être votre meilleure solution. Vous n’avez qu’à mémoriser un seul mot de passe – un mot de passe principal – et le gestionnaire de mots de passe vous aidera à créer et à remplir les identifiants de connexion pour tous vos autres comptes.
Si vous administrez un NAS Synology qui gère l’authentification*, vous pouvez personnaliser la stratégie de mot de passe utilisateur afin de renforcer les exigences de sécurité des mots de passe pour tous les nouveaux comptes utilisateur. Accédez au Panneau de configuration >Utilisateur >Avancé et cochez la case Appliquer les règles de force du mot de passe dans la section Paramètres du mot de passe. La politique sera appliquée à tout utilisateur qui crée un nouveau compte.
* Des options similaires sont également disponibles dans les packages Serveur LDAP et Serveur d’annuaire.
En savoir plus
Astuce 7: Vérification en 2 étapes
Si vous souhaitez ajouter une couche de sécurité supplémentaire à votre compte, nous vous recommandons fortement d’activer la vérification en 2 étapes. Pour appliquer la vérification en 2 étapes sur votre compte DSM et votre compte Synology, vous aurez besoin d’un appareil mobile et d’une application d’authentification prenant en charge le protocole TOTP (Time-based One-Time Password). La connexion nécessitera à la fois vos informations d’identification utilisateur et un code à 6 chiffres limité dans le temps récupéré à partir de Microsoft Authenticator, Authy ou d’autres applications d’authentification pour empêcher tout accès non autorisé.
Pour le compte Synology, si vous avez perdu votre téléphone avec l’application authenticator*, vous pouvez utiliser les codes de sauvegarde fournis lors de la configuration d’authentification en 2 étapes pour vous connecter. Il est important de protéger ces codes en les téléchargeant quelque part ou en les imprimant. N’oubliez pas de garder ces codes en sécurité mais accessibles.
Sur DSM, si vous perdez votre authentificateur, vous pouvez réinitialiser la vérification en 2 étapes en dernier recours. Les utilisateurs appartenant au groupe administrateurs peuvent réinitialiser la configuration.
Si tous les comptes d’administrateur ne sont plus accessibles, vous devrez réinitialiser les informations d’identification et les paramètres réseau de votre appareil. Maintenez le bouton de réinitialisation matérielle de votre NAS enfoncé pendant environ 4 secondes (vous entendrez un bip), puis lancez Synology Assistant pour reconfigurer votre appareil.**
* Certaines applications d’authentification prennent en charge des méthodes de sauvegarde et de restauration basées sur des comptes tiers. Évaluez vos exigences de sécurité par rapport aux options de commodité et de reprise après sinistre.
** SHA, VMM, automount de dossier partagé chiffré, paramètres de sécurité multiples, comptes d’utilisateurs et paramètres de port seront réinitialisés. En savoir plus sur le processus de réinitialisation
En savoir plus
Astuce 8 : Changer les ports par défaut
Bien que la modification des ports HTTP (5000) et HTTPS (5001) par défaut de DSM en ports personnalisés ne puisse pas empêcher les attaques ciblées, elle peut dissuader les menaces courantes qui n’attaquent que les services prédéfinis. Pour modifier les ports par défaut, accédez au Panneau de configuration >Réseau > Paramètres DSM et personnalisez les numéros de port. C’est également une bonne idée de changer le port SSH(22) par défaut si vous utilisez régulièrement l’accès shell.
Vous pouvez également déployer un proxy inverse pour réduire les vecteurs d’attaque potentiels uniquement à des services Web spécifiques pour une sécurité accrue. Un proxy inverse sert d’intermédiaire pour les communications entre un serveur (généralement) interne et des clients distants, masquant certaines informations sur le serveur, telles que son adresse IP réelle.
En savoir plus
Astuce 9: Désactivez SSH/telnet lorsqu’il n’est pas utilisé
Si vous êtes un utilisateur expérimenté qui nécessite souvent un accès shell, n’oubliez pas de désactiver SSH/telnet lorsqu’il n’est pas utilisé. Comme l’accès root est activé par défaut et que SSH/telnet ne prend en charge que les connexions à partir de comptes d’administrateur, les pirates peuvent forcer votre mot de passe à obtenir un accès non autorisé à votre système. Si vous devez disposer du service terminal pour être disponible à tout moment, nous vous recommandons de définir un mot de passe fort et de modifier le numéro de port SSH par défaut (22) pour augmenter la sécurité. Vous pouvez également envisager de tirer parti des VPN et de limiter l’accès SSH aux seules adresses IP locales ou de confiance.
En savoir plus
Astuce 10 : Crypter les dossiers partagés
DSM prend en charge le cryptage AES-256 de vos dossiers partagés pour empêcher l’extraction de données à partir de menaces physiques. Les administrateurs peuvent chiffrer les dossiers partagés nouvellement créés et existants.
Pour chiffrer les dossiers partagés existants, accédez au Panneau de configuration >Dossier partagé et modifiez le dossier. Configurez une clé de chiffrement sous l’onglet Chiffrement et DSM commencera à chiffrer le dossier. Nous vous recommandons fortement d’enregistrer le fichier de clé généré dans un emplacement sécurisé, car les données cryptées ne peuvent pas être récupérées sans la phrase secrète utilisée ou le fichier de clé.
En savoir plus
Conseil bonus : Intégrité des données
La sécurité des données est inextricablement liée à la cohérence et à l’exactitude de vos données — intégrité des données. La sécurité des données est une condition préalable à l’intégrité des données, car un accès non autorisé peut entraîner une altération ou une perte de données, rendant vos données critiques inutiles.
Vous pouvez prendre deux mesures pour garantir l’exactitude et la cohérence de vos données: activation de la somme de contrôle des données et exécution régulière de tests S.M.A.R.T. Nous avons écrit sur ces deux méthodes de sécurité dans nos précédents articles de blog — allez les vérifier pour plus d’informations.
Plus important que jamais
Les menaces en ligne évoluent constamment et la sécurité des données doit être tout aussi multiforme. À mesure que de plus en plus d’appareils connectés sont introduits à la maison et au travail, il devient plus facile pour les cybercriminels d’exploiter les failles de sécurité et d’accéder à votre réseau. Rester en sécurité n’est pas quelque chose que vous faites une fois et que vous oubliez ensuite, c’est un processus continu.