Conformité à la directive NIS2
La directive NIS2 prévoit une législation à l’échelle de l’UE en matière de cybersécurité. NIS2 encourage les États membres de l’UE à introduire les meilleures pratiques en matière de cybersécurité et à lutter contre l’assaut croissant des cyberattaques. NIS2 est une mise à jour de la précédente Directive sur la sécurité des réseaux et de l’information (NIS).
Si vous souhaitez proposer un hébergement DNS sur Plesk et que vos clients potentiels sont des entités essentielles ou importantes (par exemple : des entreprises des secteurs de l’énergie, des transports ou de la santé), vous devez rendre votre serveur Plesk conforme à la directive NIS2.
Pour rendre votre serveur conforme à la directive NIS2 :
-
Activez le mode de compatibilité NIS2 en ajoutant les lignes suivantes au fichier panel.ini :
[actionLog] nis2compliant = true
Ce mode rend impossible la désactivation de la journalisation des modifications liées au DNS et à l’authentification (par exemple : les connexions échouées et réussies) et empêche la suppression complète des événements du Journal des actions.
-
En mode de compatibilité NIS2, Plesk enregistre les requêtes API qui modifient ses paramètres. Cependant, Plesk peut également enregistrer les requêtes API qui ne modifient pas les données (par exemple : les requêtes GET). Pour activer cela, ajoutez les lignes suivantes au fichier panel.ini :
[actionLog] api.includeImmutable = true
-
Assurez-vous que votre serveur Plesk dispose des paramètres d’heure et de date corrects et qu’ils sont synchronisés avec une source de temps de référence unique. Nous vous recommandons d’utiliser l’extension NTP Timesync pour contrôler et gérer les paramètres liés à l’heure.
-
Check that necessary accounts are protected by multi-factor authentication (MFA). We recommend that you use the Multi-Factor Authentication (MFA) extension.
-
Désactivez toutes les connexions via l’API Plesk en ajoutant les lignes suivantes au fichier panel.ini :
[api] enabled = false
Ainsi, il est impossible de gérer Plesk sans MFA (par exemple : l’application Plesk Mobile peut contourner MFA).
Si vous devez fournir un accès à l’API Plesk, nous vous recommandons de le faire uniquement à partir d’adresses IP spécifiques, par exemple :
[api] allowedIPs = 192.0.2.1,192.0.2.100
Pour en savoir plus, consultez la section Restreindre l’accès à distance via l’API Plesk.
-
Assurez-vous que Plesk utilise des mots de passe forts. Pour en savoir plus, consultez la section Configurer la politique du niveau de sécurité des mots de passe.
-
Make sure that Fail2Ban is enabled, and that the « ssh » and « plesk-panel » preconfigured jails are active. This way Fail2Ban is configured to monitor systems logs for brute-force attacks.
-
Donnez à vos clients la possibilité de signer la zone DNS avec DNSSEC. Pour cela, utilisez l’extension DNSSEC (elle est gratuite dans les éditions Web Pro et Web Host).
-
Assurez-vous que l’extension Log Browser version 1.7.0 ou ultérieure est installée. L’extension permet aux administrateurs, aux revendeurs et aux clients de Plesk de surveiller les événements liés au DNS et à l’authentification.
-
Pour protéger les journaux de Plesk contre toute modification non autorisée, redirigez une copie des journaux vers le serveur de journaux externe et indépendant de Plesk.
Note: Plesk sauvegarde les enregistrements du Journal des actions mais ne les écrase pas lorsqu’une sauvegarde est restaurée. Les enregistrements du Journal des actions sont stockés dans des fichiers séparés avec le préfixe
backup_action-log
(par exemple :backup_action-log_2403281045.tzst (.zip)
). Les fichiers de l’administrateur Plesk contiennent tous les enregistrements, tandis que les fichiers des clients et des revendeurs contiennent uniquement les enregistrements les concernant. Découvrez comment extraire les fichiers du Journal des actions à partir d’une sauvegarde Plesk.