Plusieurs aspects de la sécurité informatique sont ici brièvement abordés. La sureté des usages personnels est ici distinguée de celle des sites web déployés dans le cadre de l’enseignement supérieur et de la recherche. Le fonctionnement de ces sites sur le long terme nécessite la présence d’une variété d’acteurs, actifs sur l’élaboration des contenus, tout autant que sur les aspects informatiques. Lorsque des sites web ne sont plus en ligne, certains d’entre eux restent malgré tout accessibles, dans des versions dont la date peut être choisie, préservés sur les serveurs d’institutions comme la BnF à titre du dépôt légal, ou bien sur Internet Archive.
1. Usages personnels
Les AHP-PReST sont affiliées à trois institutions. Les règles de sécurité que l’Université de Lorraine, l’Université de Strasbourg et le CNRS s’engagent à respecter sont définies dans les chartes informatiques. Ces documents font partie intégrante du règlement intérieur. Les membres du laboratoire sont donc encouragés à suivre des formations du niveau initiation à la sécurité informatique. Ils sont tenus responsables des postes de travail, réseaux ou systèmes qui sont mis à leur disposition. Des VPN déployés par les universités permettent l’accès sécurisé à des applications sensibles.
- Sécurité informatique à l’Université de Lorraine : Lien
- Sécurité informatique à l’Université de Strasbourg
- Charte du numérique de l’Université de Strasbourg : Lien
- Le CERT Osiris est une structure regroupant des personnes en charge de la sécurité informatique au sein de la délégation Alsace du CNRS et de l’Unistra à Strasbourg. Elle est en charge de la formation des usagers, du traitement des incidents de sécurité informatique. Elle fournit conseil et expertise : Lien
- Charte de bon usage de l’informatique et du réseau Osiris : Lien
- Réseau distant (VPN) à l’UNISTRA : Lien
- Les formations proposées par le CERT Osiris, UNISTRA : Lien
- Sécurité informatique au CNRS
2. Sécurité des sites web
La sécurité des sites web repose sur un ensemble de bonnes pratiques bien documentées. De manière générale, plusieurs métiers se sont développés autours de politiques mises en place au niveau des tutelles. Un RSSI (Responsable de la Sécurité des Systèmes d’Information) partage des informations avec plusieurs CSSI (Correspondants de la Sécurité des Systèmes d’Information). Des recommandations sont diffusées par les RSSI. Des tests de résistance aux attaques et des alertes en cas de trafic douteux viennent compléter le dispositif.
Les précautions à prendre concernent les infrastructures (réseaux informatiques, machines), le développement et la maintenance des sites. Des préconisations de prévention et de sécurité sont régulièrement dispensés. Des guides de bonnes pratiques sont diffusés par des agences d’envergure nationale comme par exemple l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou bien RENATER (Réseau national de télécommunications pour la technologie, l’enseignement et la recherche).
- Liste des publications de l’ANSSI : Lien
2.1 Infrastructure
Les accès au web dépendent fortement des réseaux mis en place. Les sites web dépendent de leur hébergement et ici de nouveau, un certain nombre de bonnes pratiques sont observées par les ingénieurs en charge des réseaux et machines, qui se montrent de nos jours fréquemment virtuelles.
- Sauvegarde des systèmes d’information, les fondamentaux : Lien
- Infrastructures de virtualisation, par ANSSI : Lien
2.2 Développements
Pour les développeurs, la sécurité informatique passe en premier lieu par un certain nombre de pratiques liées au cycle de développement des logiciels.
- Sécurité : Encadrer les développements informatiques. Intégrer sécurité et protection des données personnelles au plus tôt dans les projets, par la CNIL : Lien
2.3 Maintenance
Suite au déploiement, la disponibilité à long terme implique la nécessité de maintenir les gestionnaires de contenus, modules et codes sources mis en place à un moment donné. En 2024, le langage PHP motorise environ 70% des sites web mis en place et les AHP se montrent fréquemment concernés. Des gestionnaires comme WordPress, Drupal, Atom, OJS (Open Journal System), Omeka Classic, Omeka S sont régulièrement utilisés.
Depuis mars 2024, les versions de PHP sont maintenues pendant quatre ans, durée après laquelle elles se trouvent en fin de vie et ne devraient en théorie plus être utilisées. Les versions de PHP préconisées pour les développements sont actuellement PHP 8.2 ou 8.3.
On appelle « fin de vie / end of life (EOL) » la date de fin des modifications visant à supprimer d’éventuelles failles de sécurité des langages informatique. Avec PHP, la version en fin de vie de la branche 8.0 est ainsi la version 8.0.30. Les dates de fin de vie effectives et prévues ainsi que les versions compatibles de gestionnaires de contenus PHP utilisés aux AHP-PReST sont donc les suivantes :
Compatibilité entre versions de PHP et des applications
Branche | sortie - fin de vie | Versions compatibles |
---|---|---|
7.2 | 30 Nov 2017 - 30 Nov 2020 | WordPress 4.9 à 6.5, Atom 2.6, OJS 3.2, Omeka Classic 3.0, Omeka S 3.1 à 4.0 |
7.3 | 06 Dec 2018 - 06 Dec 2021 | WordPress 5.0 à 6.5, OJS 3.3, Omeka Classic 3.0, Omeka S 3.1 à 4.0 |
7.4 | 28 Nov 2019 - 28 Nov 2022 | WordPress 5.3 à 6.5, Atom 2.7 et 2.8, OJS 3.3, Omeka Classic 3.0, Omeka S 3.1 à 4.1 |
8.0 | 26 Nov 2020 - 26 Nov 2023 | WordPress 5.6 à 6.5, OJS 3.4, Omeka Classic 3.1, Omeka S 3.1 à 4.1 |
8.1 | 25 Nov 2021 - 31 Dec 2025 | WordPress 5.9 à 6.5, OJS 3.4, Omeka Classic 3.1, Omeka S 4.0 4.1 |
8.2 | 08 Dec 2022 - 31 Dec 2026 | WordPress 6.1 à 6.5, OJS 3.4, Omeka Classic 3.1, Omeka S 4.0 4.1 |
8.3 | 23 Nov 2023 - 31 Dec 2027 | WordPress 6.4 à 6.5, OJS 3.4, Omeka S 4.1 |
8.4 | 21 Nov 2024 - 31 Dec 2028 | Sortie prévue le 21 novembre 2024 |
- PHP Compatibility and WordPress Versions : Lien
- Drupal PHP requirements : Lien
- Atom, par @rtefactual, version 2.8 (janvier 2024), Technical requirements : Lien
- Release Notebook for OJS/OMP/OPS 3.3 : Lien
- Release Notebook for OJS/OMP/OPS 3.4 : Lien
- Omeka classic : Lien
- Omeka S : Lien
Dans le cas du gestionnaire d’archives Atom, publié par @rtefactual, le choix est fait par l’éditeur de développer des logiciels basés sur des versions de PHP dont la fin de vie est atteinte. Ceci n’impacte pas la qualité des services rendus. Cependant, quelque soit le logiciel, des opérations de maintenance sont à prévoir. Les changements de version se montrent parfois rapides, voire possiblement automatiques pour des logiciels comme WordPress ou Drupal. L’opération se montre parfois plus délicate, du fait de la compatibilité des versions de plugins, de leur possible interdépendance, de la multiplication de certaines instances.
- Mise en œuvre sécurisée d’un CMS, par ANSSI : Lien
2.4 Centres de veille sur la sécurité informatique
Un Computer Emergency Response Team (CERT) est un centre d’alerte et de réaction aux attaques informatiques, destiné aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous.
- CERT, sur Wikipédia : Lien
- CERT-FR, Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques : Lien
- CERT RENATER, En activité depuis 1995, le CERT RENATER a pour rôle d’assister ses adhérents en matière de sécurité informatique, et notamment dans le domaine de la prévention, de la détection et de la résolution d’incidents de sécurité : Lien
2.5 Protection des données, aspects juridiques
En droit européen, le Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne chargée de la protection des données personnelles au sein d’une organisation.
3. Archives du web
Depuis 1990, date de la création du web, de très nombreux sites deviennent inaccessibles tous les ans. Aussi, plusieurs institutions se montrent actives autour de l’archivage des pages de certains d’entre eux. La BnF agit en France au titre du dépôt légal du web. La consultation des données préservées nécessite cependant de se rendre en bibliothèque, par exemple à la Bibliothèque Municipale de Nancy, à celle de Strasbourg, ou bien à Paris. L’organisme californien Internet Archives se montre aussi actif depuis 1996 et les données préservées se montrent publiquement accessibles.