Une fuite de données peut avoir de graves con­sé­quences pour les en­tre­prises : baisse du chiffre d’affaires, dé­té­rio­ra­tion de la ré­pu­ta­tion ou encore des actions civiles. Beaucoup d’en­tre­prises, et notamment les boutiques en ligne, profitent de la confiance de nombreux clients qui leur confèrent des données per­son­nelles ainsi que des coor­don­nées bancaires. Ces données doivent être protégées car les cyber-attaques au niveau du commerce en ligne sont un problème quotidien. En outre le RGPD impose un devoir de pré­cau­tion aux ex­ploi­tants de sites Web :  les données sensibles des uti­li­sa­teurs doivent être protégées de manière sa­tis­fai­sante. En dehors de réguliers contrôles de sécurité de votre site Web, les en­tre­prises peuvent utiliser des mesures de sécurité sup­plé­men­taires.

Systèmes ouverts : aussi pour les hackers

De nombreux four­nis­seurs de services Internet pro­met­tent à leur client une création simple et rapide de leur propre site Web. Con­crè­te­ment, il est de nos jours possible de publier un site Internet en ligne sans fournir un grand in­ves­tis­se­ment en pro­gram­ma­tion, et ce de plus en plus ra­pi­de­ment.  Toutes sortes d’uti­li­sa­tion du Web sont possibles : blogs, boutiques, revues d’actualité... Mais les solutions de gestion de contenu, les systèmes de boutiques, ou encore les logiciels de forums re­pré­sen­tent un risque con­si­dé­rable de sécurité. Leur aspect « open source » ne signifie pas seulement que le code source est dis­po­nible auprès de tous les uti­li­sa­teurs, car ce système ouvert l’est aussi auprès des hackers et autres cyber criminels.

Si vous ne souhaitez pas recourir à un système de gestion de contenu et que vous voulez tout de même utiliser un site Internet con­for­ta­ble­ment, vous pouvez vous servir d’un créateur de site Web. Comme dans un système modulaire, vous pouvez assembler les dif­fé­rents éléments d’une page d’accueil - sans avoir à vous soucier des con­fi­gu­ra­tions complexes. Vous laissez donc également au pres­ta­taire de services le soin de prendre certaines mesures de sécurité. Dans la mesure où des experts s’en occupent, vous pouvez ainsi vous con­cen­trer se­rei­ne­ment sur le contenu et la con­cep­tion.

Créer un site Internet
Votre site en un éclair grâce à l'in­tel­li­gence ar­ti­fi­cielle
  • Éditeur de site intuitif avec fonctions d'IA
  • Gé­né­ra­teur d'images et de textes avec op­ti­mi­sa­tion SEO
  • Domaine, SSL et boîte email inclus

Du code source à la fraude à la carte de crédit

Plus de 35 % des sites Web sur Internet sont basés sur le système de gestion de contenu WordPress. Tout comme Joomla ou TYPO3, la com­mu­nauté compte de nombreux membres actifs. Chacun a donc la pos­si­bi­lité de dé­ve­lop­per soi-même des ex­ten­sions, plugins, modules ou templates et de les mettre à la dis­po­si­tion de la com­mu­nauté. Cette approche open source est très appréciée des uti­li­sa­teurs en raison de son faible coût. Mais les pro­grammes CMS (Content Ma­na­ge­ment System ou système de gestion de contenu en français) po­pu­laires et leurs plugins sont aussi appréciés des pirates.

Les cy­ber­cri­mi­nels trouvent les points faibles de ces systèmes et peuvent causer des dommages con­si­dé­rables : ils se procurent par exemple des données clients sensibles telles que des données d’iden­ti­fi­ca­tion ou de paiement au travers de tech­niques d’ha­me­çon­nage. Ils peuvent aussi placer un cheval de Troie ou un virus que les uti­li­sa­teurs té­lé­char­gent sans remarquer quoi que ce soit. Ces virus peuvent dé­clen­cher des dé­fail­lances de serveurs et ce qu’on appelle les Down-Times, qui gèlent le chiffre d’affaires.

Voici les graves con­sé­quences d’une sécurité de site Web in­suf­fi­sante :

  • Uti­li­sa­tion abusive de données
  • Usur­pa­tion d’identité
  • Dé­té­rio­ra­tion de la ré­pu­ta­tion
  • Chute du chiffre d’affaires
  • Actions en justice

Première étape : le contrôle de sécurité du site Web

Il est possible de prévenir les failles de sécurité avant que cela ne cause de terribles dégâts. Il vaut mieux déceler cette faille avant qu’un cy­ber­cri­mi­nel ne le fasse. Un contrôle de sécurité d’un site Web est pour cette raison la première chose à faire pour assurer la sécurité de votre activité en ligne et de vos données. Les four­nis­seurs suivants proposent des offres de contrôle de sécurité gratuites :

Afin de vérifier la sûreté d’un site Web, la plupart des four­nis­seurs de services Internet proposent des tests d’intrusion. Cela sert à simuler une attaque de pirates (par exemple une intrusion non autorisée dans le système), de manière à révéler les failles po­ten­tielles d’un système.

5 astuces pour une meilleure sécurité de site Web

Afin de se protéger des hackers, une en­tre­prise devrait prendre dif­fé­rentes pré­cau­tions en termes de sécurité. Nous listons ci-dessous des mesures simples à mettre en œuvre et sans grand in­ves­tis­se­ment de temps et d’argent pour toute en­tre­prise.

1. Sur­veil­ler l’actualité des éléments

La com­mu­nauté Internet développe con­ti­nuel­le­ment des solutions open source et détecte en général les bugs et failles de sécurité très ra­pi­de­ment, et les résout encore plus ra­pi­de­ment. Cependant, il faut tenir votre système à jour si vous voulez profiter des avantages de la com­mu­nauté ou de l’équipe de dé­ve­lop­peurs. De nom­breuses solutions de CMS se mettent à jour au­to­ma­ti­que­ment grâce à des plug-ins. Avec « Easy-Update Manager » pour WordPress vous pouvez tenir votre système à jour et ainsi maximiser sa sécurité. Etant donné que les plugins et autres add-ons sont des pro­grammes in­dé­pen­dants, vous devriez également vérifier leur actualité sé­pa­ré­ment.

Mais même si vous avez créé votre site Web sans l’aide d’un CMS, vous devez faire attention aux versions actuelles. PHP ou MySQL, par exemple, devraient toujours être à jour afin de ne pas présenter des portes ouvertes aux at­ta­quants.

2. Faire des sau­ve­gardes ré­gu­lières

Si le pirate s’est procuré l’accès à vos données malgré vos ten­ta­tives de pré­ven­tion, il peut causer des dégâts con­si­dé­rables. Souvent, il ne s’agit par ailleurs pas uni­que­ment d’es­pion­nage ou d’abus de données, mais aussi d’écra­se­ment ou de sup­pres­sion totale de base de données entières de la part de hackers dans le but d’effacer leurs traces. Une sau­ve­garde régulière de toutes les données est une nécessité pour toute en­tre­prise.

Pour ce type de pré­cau­tion il y a aussi des outils : il existe pour WordPress dif­fé­rents plugins et d’autres CMS peuvent être aussi équipés d’ex­ten­sions ap­pro­priées pour faciliter une sau­ve­garde du site Web entier. Si vous tra­vail­lez sans CMS, vous pouvez soit sau­ve­gar­der ma­nuel­le­ment le contenu du serveur en externe, soit utiliser un outil tel que rsync.

3. Veiller à la sûreté des données d’iden­ti­fi­ca­tion

L’im­por­tance de la sûreté des données de connexion ou d’iden­ti­fi­ca­tion est évidente. Pourtant de nombreux uti­li­sa­teurs utilisent des mots de passe tels que « 123456 » au quotidien. De plus, nombreux sont ceux à utiliser « Admin » ou « Ad­mi­nis­tra­teur » comme iden­ti­fiant. De telles com­bi­nai­sons iden­ti­fiants/mots de passe sont des cibles faciles pour les hackers. Cela est valable aussi bien pour un iden­ti­fiant qu’un mot de passe : vous ne devriez utiliser aucun nom clair ou com­bi­nai­son simple et lé­gè­re­ment pré­vi­sible. Un mot de passe sécurisé nécessite une chaîne de ca­rac­tères aléatoire et doit être suf­fi­sam­ment longue.

4. Rester informé

Quiconque souhaite se protéger des hackers et autres cy­ber­cri­mi­nels doit se tenir ré­gu­liè­re­ment informé des dangers et failles de sécurité actuels. Le premier lieu de prise d’in­for­ma­tion est bien entendu la com­mu­nauté d’uti­li­sa­teurs. Dans la plupart des forums il existe d’in­nom­brables sujets sur le thème de la sécurité d’un site Web. Sur ces pla­te­formes les risques de failles de sécurité sont tout d’abord reconnus, puis discutés et enfin résolus, et ce très ra­pi­de­ment dans le meilleur des cas. Enfin, il peut être aussi in­té­res­sant de consulter le site Web du CERT-FR et les ac­tua­li­tés de l’ANSSI.

5. HTTPS et cer­ti­fi­cat SSL

HTTPSassure la trans­mis­sion sécurisée de données sensibles. À l’aide de SSL (Secure Socket Layer) l’échange de données entre le serveur et le client est chiffré.  De cette manière les pirates ne peuvent ni in­ter­cep­ter ni lire ces données. Ce cer­ti­fi­cat peut être obtenu via dif­fé­rents sites Web. De nombreux hé­ber­geurs Web proposent ce cer­ti­fi­cat au sein d’un pack d’hé­ber­ge­ment Web ou bien moyennant le paiement de frais sup­plé­men­taires. Un autre avantage est que l’uti­li­sa­teur reconnait un site Web sécurisé grâce au symbole de cadenas vert dans la barre URL de votre na­vi­ga­teur. Cette dernière comporte aussi la mention HTTPS, variante sécurisée du protocole http. Cela induit na­tu­rel­le­ment de la confiance chez l’uti­li­sa­teur.

Cer­ti­fi­cats SSL
Faites le choix de la sécurité
  • Sécurisez vos trans­ferts de données
  • Renforcez la confiance de vos clients
  • Améliorez votre po­si­tion­ne­ment sur Google

Ne laisser aucune chance aux hackers

Afin de ne laisser aucune chance aux hackers, il convient de tester ré­gu­liè­re­ment la sécurité de votre site Web. Un contrôle de sécurité est un bon début, mais il doit être effectué à ré­pé­ti­tion pour être efficace. Les cy­ber­cri­mi­nels dé­couvrent sans cesse de nouvelles failles dont ils peuvent profiter. Celui qui fait attention à l’actualité de son système et qui vérifie ses mises à jour voit le risque de cy­be­rat­taque diminuer. Dans ces cir­cons­tances il est pertinent de suivre les conseils d’experts en in­for­ma­tique pour la mise en œuvre de mesures de sécurité. Enfin il est bien sûr important de sen­si­bi­li­ser sa propre équipe car les employés mal informés re­pré­sen­tent aussi une menace pour la sécurité du système de l’en­tre­prise.

Aller au menu principal