Français

English

Français

English

Appearance

Bonnes pratiques

Cette page regroupe les recommandations de sécurité et d'utilisation optimale pour tirer le meilleur parti de CoreSight, tout en assurant la protection de vos données.

1. Sécurité des comptes

Activer l'authentification à deux facteurs (2FA)

Il est fortement recommandé d'activer la 2FA pour tous les comptes ayant des privilèges d'administration.

  • Allez dans Mon Compte > Sécurité.
  • Scannez le QR Code avec une application comme Google Authenticator ou FreeOTP.
  • Les administrateurs peuvent forcer l'utilisation de la 2FA pour tous les utilisateurs depuis Administration > Paramètres de sécurité.

Politique de mots de passe

  • Assurez-vous que l'option de complexité des mots de passe est activée dans les paramètres d'administration.
  • Ne partagez jamais de comptes génériques (ex: admin@coresight.io). Créez un compte nominatif pour chaque utilisateur.

2. Déploiement et Réseau

Isoler le serveur CoreSight

CoreSight contenant des données sensibles sur votre infrastructure, le serveur doit être isolé :

  • Placez le serveur dans une zone de management (VLAN dédié) restreinte.
  • Limitez l'accès au port 443 (HTTPS) aux seules adresses IP des administrateurs et des outils d'ingestion.

Certificats SSL/TLS

  • Utilisez toujours le protocole HTTPS.
  • Si le serveur est accessible sur Internet ou possède un nom de domaine (ex: coresight.mon-entreprise.com), générez un certificat via Let's Encrypt lors de l'installation (--domain).
  • Pour un réseau interne air-gapped, installez le certificat racine de votre PKI d'entreprise, ou déployez le certificat auto-signé de CoreSight sur les postes clients pour éviter les alertes de sécurité.

3. Gestion des données et Sauvegardes

Sauvegardes régulières

La base de données SQLite de CoreSight contient toutes vos cartographies.

  • Configurez des sauvegardes automatiques de /opt/coresight/server/data/coresight.db.
  • L'outil de déploiement crée des sauvegardes locales avant chaque mise à jour, mais exportez régulièrement ces fichiers (/opt/coresight/backups/) vers un stockage distant sécurisé.

Conservation de la clé de chiffrement

La base de données est chiffrée avec la clé DB_ENCRYPTION_KEY située dans /opt/coresight/server/.env.

  • Sauvegardez cette clé en lieu sûr (ex: dans un coffre-fort de mots de passe).
  • Sans cette clé, aucune sauvegarde de base de données ne pourra être lue.

4. Organisation des cartographies

Nommage conventionnel

Utilisez des conventions de nommage claires pour vos diagrammes afin de faciliter la recherche et la collaboration :

  • [ZONE] - [APPLICATION/SERVICE] - [ENVIRONNEMENT]
  • Exemple : DMZ - Serveurs Web Frontaux - PROD

Utilisation des zones de sécurité

Plutôt que de lier tous les éléments un à un, regroupez les actifs similaires dans des Zones de sécurité (ex: VLAN Utilisateurs, VLAN Serveurs OT). Cela allège la cartographie et la rend plus lisible.

5. Ingestion et Maintien à jour

Automatiser l'ingestion via l'API REST

Pour que CoreSight reflète la réalité de votre système d'information :

  • Créez des clés API dédiées à l'ingestion (avec le rôle "Système / Ingest").
  • Poussez automatiquement les données depuis vos outils d'inventaire (GLPI, Active Directory, scanners de vulnérabilités) via l'API REST.
  • Planifiez des imports réguliers.

Cycle de vie des vulnérabilités (CVE)

  • Mettez à jour régulièrement votre base de données CVE si vous l'importez manuellement, ou assurez-vous que la connexion avec la NVD fonctionne.
  • Configurez des rapports planifiés pour recevoir la liste des nouveaux actifs vulnérables chaque semaine.

CoreSight Documentation

© 2026 CoreSight — All rights reserved