Skip to content

Déploiement et Sécurisation

LoicDero edited this page Jun 6, 2023 · 6 revisions

Déploiement

Choix du serveur d'hébergement

Nous avons hésité entre deux choix possible, l'hébergement Heroku et l'hébergement render, les deux sont basé sur une branche de notre repository, sont gratuit et sont proposé avec un web service directement accessible.
Nous avons configurer les deux solutions et après plusieurs essaies, nous avons décidé de garder render car, nous avons rencontrez plusieurs problèmes de configuration de port chez Heroku. Voici notre site hébergé WeThePast sur Render

Technique de déploiement

Nous avons configurer les deux solutions pour que le déploiement soit automatisé lorsque nous faisons un commit sur une branche spécifique. Ce qui veut dire que nous n'avons plus rien à faire mise à part regarder les logs en cas de problème. Il est donc mis à jour dès que nous commitons, ce qui est fais assez souvent en phase de développement et plus rarement en phase finale.

Sécurisation

Analyse de la sécurité

Biens à protéger

Tous nos bien à protéger se trouve dans la base de donnée en ligne, nous utilisons Mongo Atlas comme DB en ligne et nous avons un .env qui possède le mot de passe et le liens de la DB, ce qui n'est pas une bonne pratique, nous l'avons supprimer mais une version est toujours disponible dans les archives git, nous sommes conscient qu'il s'agit d'une grosse erreur et que nous avons laissé une faille de sécurité, malheureusement nous l'avons pris en compte que trop tard. Le serveur quant à lui est protégé en HTTPS donc avec un protocole de sécurité, il s'agit d'un hébergeur gratuit (dans le cadre d'un projet d'étude)donc pas le plus sécurisé qui existe mais nous sommes conscient aussi qu'il existe plus sécurisé

[Quels sont les éléments importants qu'il faut absolument sécuriser? Pourquoi? Réfléchissez chaque fois en termes de disponibilité/confidentialité/intégrité. Vous devriez au minimum aborder :

  • Le code,
  • la DB
  • et le serveur. ]

Risques

[Pour chaque élément, indiquez :

  • quelles menaces risquent de l'impacter,
  • avec quelle probabilité
  • et quel impact de l'attaque qui résulterait de cette menace.

Classez ces menaces en fonction du risque.]

Contre-mesures

[Pour chaque menace identifiée plus haut, quelle(s) contre-mesure(s) pourrait-on mettre en place? Indiquez si vous l'avez implémentée ou non, et si oui : comment? Décrivez brièvement les configurations mises en place.]

Suivi de la sécurisation

[Au quotidien, comment s'assurer que l'application n'est pas compromise? Où trouver des informations (logs, monitoring, ...) Qui s'occuperait potentiellement de la surveillance et de la maintenance? ]

Validation de la sécurité

[Avez-vous utilisé des outils de vérification de la sécurité de votre application? Ou avez-vous demandé ou effectué un "pentest" de votre application, par ex. avec un autre groupe? ]

Cadre légal

Contraintes légales

[Présentation des contraintes légales s'appliquant à votre application]

Mise en oeuvre de ces contraintes

[Explication de ce qui a été mis en place pour respecter le cadre légal dans le cadre de ce projet]

Bilan de la sécurisation

[D'après vous, est-ce que la sécurisation mise en place est suffisante? Pourquoi?]

Clone this wiki locally