Sécurité Dolibarr : haute disponibilité Roadmap avec une approche sécurité

Introduction : Pourquoi la haute disponibilité et la sécurité sont indissociables pour Dolibarr

Dolibarr, l’ERP/CRM open source populaire, est souvent au cœur des processus métier des PME et associations. Une panne ou une compromission de l’instance Dolibarr peut entraîner des pertes financières, une atteinte à la réputation et des interruptions opérationnelles critiques. Traditionnellement, la haute disponibilité (HA) et la sécurité sont traitées séparément. Cet article propose une approche unifiée, où chaque composant de l’architecture HA est conçu et sécurisé dès le départ, suivant le principe "security by design".

Les fondements : Redondance sans compromis sécurité

1. Infrastructure redondante (couche matérielle/virtualisation)

• Objectif HA : Éliminer les points de défaillance unique (SPOF) au niveau des serveurs physiques, du stockage et du réseau local.
• Approche sécurité intégrée :

  • Chiffrement des disques : Activer le chiffrement complet des disques (LUKS, BitLocker) sur tous les nœuds pour protéger les données en cas de vol physique.
  • Isolation réseau : Segmenter le réseau de gestion (administration, réplication) du réseau applicatif (accès web). Utiliser des VLANs dédiés.
  • Sécurisation de l’hyperviseur : Durcir la configuration de l’hyperviseur (Proxmox, VMware, etc.) : désactiver les services inutiles, appliquer les patches, restreindre l’accès SSH par clés.

2. Réplication des données (couche base de données)

• Objectif HA : Maintenir une copie synchronisée ou quasi-synchronisée de la base de données (MySQL/MariaDB).
• Approche sécurité intégrée :

  • Communication chiffrée : Configurer la réplication MySQL/MariaDB exclusivement via des connexions TLS/SSL. Vérifier et forcer l’utilisation de certificats.
  • Principle of Least Privilege : Le compte de réplication (replicant) doit avoir uniquement les privilèges REPLICATION SLAVE, RELOAD, SHOW DATABASES. Aucun droit d’écriture ou de suppression.
  • Audit et monitoring : Logguer et superviser toutes les connexions et requêtes sur le compte de réplication. Un trafic anormal peut signaler une tentative de détournement.

3. Équilibrage de charge et basculement (couche web/application)

• Objectif HA : Distribuer le trafic entre plusieurs serveurs web et rediriger automatiquement le trafic en cas de défaillance d’un nœud.
• Outils : HAProxy, Nginx (en mode active/passive ou active/active), Keepalived (pour la floating IP).
• Approche sécurité intégrée :

  • Terminaison TLS/SSL sur le load balancer : Centraliser la gestion des certificats SSL/TLS sur le LB (HAProxy/Nginx). Utiliser des suites de chiffrement fortes et désactiver les protocoles obsolètes (SSLv3, TLS 1.0/1.1).
  • DDoS protection : Configurer le LB avec des limitations de taux (rate limiting) par IP et pays. Intégrer, si possible, un service de protection en amont (Cloudflare, AWS Shield).
  • Health Checks sécurisés : Les checks de santé (health checks) doivent être discrets et authentifiés si possible, pour éviter d’exposer des endpoints de diagnostic aux attaquants.
  • Isolation des nœuds : Les serveurs web Dolibarr ne doivent jamais être exposés directement à Internet. Seul le LB a une interface publique.

La feuille de route (Roadmap) sécurité & haute disponibilité

Phase 1 : Évaluation et fondations (M1-M2)

1. Audit de l’existant : Cartographier l’architecture actuelle, identifier les SPOF. Évaluer les risks sécurité (audit des logs, configurations par défaut, modules personnalisés).
2. Documentation des exigences : Définir le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective) acceptables. Lister les données sensibles.
3. Mise en place d’un environnement de test : Clone isolé pour tester la réplication et les basculements sans impacter la production.
4. Action sécurité : Déployer un pare-feu applicatif web (WAF) comme ModSecurity (avec les OWASP Core Rule Set) devant l’instance de test. Analyser les logs.

Phase 2 : Implémentation de la redondance critique (M3-M6)

1. Mettre en cluster la base de données :

   • Configuration d’un master et d’au moins un slave.
   • Implémentation du chiffrement de la réplication.
   • Configuration des backups automatiques chiffrés (avec mysqldump ou mydumper/myloader + gpg/openssl).

2. Déployer le load balancer HA sécurisé :

   • Installation de HAProxy/Nginx.
   • Configuration desprofils TLS stricts.
   • Mise en place des health checks.
   • Configuration du basculement avec Keepalived (floating IP).

3. Action sécurité : Harceler les serveurs web :

   • Application d’un benchmark de sécurité (CIS Dolibarr Benchmark si disponible, sinon基准 général PHP/NGINX).
   • Désactivation des modules PHP dangereux (exec, shell_exec, etc.) si non utilisés par Dolibarr.
   • Installation et configuration de fail2ban pour protéger SSH et les éventuels panels d’admin.

Phase 3 : Durcissement et supervision (M7-M9)

1. Durcissement de l’application Dolibarr :

   • Maintenir Dolibarr et tous ses modules (officiels et tiers) à jour sans délai.
   • Réviser les permissions des répertoires (doc/, custom/, conf/).
   • Mettre en place une politique de mots de passe forts et, si possible, une double authentification (2FA) pour tous les utilisateurs admin (via modules externes).
   • Masquer la version de Dolibarr dans les headers HTTP.

2. Supervision centralisée et alerting :

   • Configurer Prometheus/Grafana ou un outil similaire pour superviser :

     • Santé des nœuds (CPU, RAM, Disque).
     • État de la réplication MySQL (Seconds_Behind_Master).
     • Santé des services (HAProxy, Dolibarr via son endpoint API de diagnostic sécurisé).
     • Événements de sécurité : tentatives de connexion échouées massives, erreurs d’authentification Dolibarr, changements de configuration critiques.

   • Les alertes doivent être actionnables et envoyées sur des canaux sécurisés (ex: Mattermost, Signal, email chiffré).

3. Action sécurité : Plan de sauvegarde et de恢复 testé.

   • Automatiser les backups chiffrées hors-site (différent centre de données/cloud).
   • Tester régulièrement la restauration d’une sauvegarde complète (fichiers + base) dans un environnement isolé. C’est la seule preuve de l’efficacité de votre HA/DR.

Phase 4 : Automatisation, conformité et revues (M10 et au-delà)

1. Infrastructure as Code (IaC) :

   • Utiliser Ansible, Terraform ou SaltStack pour déployer et configurer l’ensemble de la pile HA (serveurs web, DB, LB) de manière reproductible et sans erreur.
   • Intégrer les contrôles de sécurité dans les playbooks (ex: vérifier que le pare-feu est activé, que les patches sont appliqués).

2. Conformité et audits :

   • Si l’activité le nécessite (santé, finance), adapter l’architecture pour répondre aux exigences de la HDS (Hébergeur de Données de Santé) ou du RGPD (traçabilité, droit à l’oubli).
   • Réaliser destests d’intrusion (pentests) annuels sur l’ensemble de l’architecture HA.

3. Revue de路线 (Roadmap Review) :

   • Réévaluer mensuellement/trimestriellement les logs de sécurité et de disponibilité.
   • Adapter la feuille de route aux nouvelles menaces (zero-day, nouvelles vulnérabilités Dolibarr) et aux changements de charge.

Conclusion : La sécurité est la clé de voûte de la haute disponibilité

Une architecture haute disponibilité pour Dolibarr mal sécurisée est un château de sable : elle peut tomber en raison d’une attaque ciblée, rendant les investissements en redondance inutiles. L’approche présentée ici consiste à tresser les deux fils dès la conception :

• Le fil rouge de la disponibilité : Redondance, basculement automatique, supervision.
• Le fil bleu de la sécurité : Chiffrement, moindre privilège, durcissement, détection.

Le résultat est un système résilient : capable de résister à la fois aux défaillances matérielles et aux attaques cyber. L’automatisation (IaC) et les tests réguliers (backup restore, pentest) sont les garants que cette approche reste efficace dans le temps.

En résumé : Ne construisez pas une infrastructure HA pour Dolibarr, construisez une forteresse numérique HA autour de Dolibarr, où chaque composant, du disque au certificat SSL, est un maillon sécurisé de la chaîne de continuité des activités.

— Article rédigé avec une approche DevSecOps adaptée aux spécificités de l’écosystème Dolibarr.