Sécurité d’un site Web : voici comment protéger votre page

Une fuite de données peut avoir de graves conséquences pour les entreprises : baisse du chiffre d’affaires, détérioration de la réputation ou encore des actions civiles. Beaucoup d’entreprises, et notamment les boutiques en ligne, profitent de la confiance de nombreux clients qui leur confèrent des données personnelles ainsi que des coordonnées bancaires. Ces données doivent être protégées car les cyber-attaques au niveau du commerce en ligne sont un problème quotidien. En outre le RGPD impose un devoir de précaution aux exploitants de sites Web :  les données sensibles des utilisateurs doivent être protégées de manière satisfaisante. En dehors de réguliers contrôles de sécurité de votre site Web, les entreprises peuvent utiliser des mesures de sécurité supplémentaires.

De nombreux fournisseurs de services Internet promettent à leur client une création simple et rapide de leur propre site Web. Concrètement, il est de nos jours possible de publier un site Internet en ligne sans fournir un grand investissement en programmation, et ce de plus en plus rapidement.  Toutes sortes d’utilisation du Web sont possibles : blogs, boutiques, revues d’actualité... Mais les solutions de gestion de contenu, les systèmes de boutiques, ou encore les logiciels de forums représentent un risque considérable de sécurité. Leur aspect « open source » ne signifie pas seulement que le code source est disponible auprès de tous les utilisateurs, car ce système ouvert l’est aussi auprès des hackers et autres cyber criminels.

Si vous ne souhaitez pas recourir à un système de gestion de contenu et que vous voulez tout de même utiliser un site Internet confortablement, vous pouvez vous servir d’un créateur de site Web. Comme dans un système modulaire, vous pouvez assembler les différents éléments d’une page d’accueil - sans avoir à vous soucier des configurations complexes. Vous laissez donc également au prestataire de services le soin de prendre certaines mesures de sécurité. Dans la mesure où des experts s’en occupent, vous pouvez ainsi vous concentrer sereinement sur le contenu et la conception.

Plus de 35 % des sites Web sur Internet sont basés sur le système de gestion de contenu WordPress. Tout comme Joomla ou TYPO3, la communauté compte de nombreux membres actifs. Chacun a donc la possibilité de développer soi-même des extensions, plugins, modules ou templates et de les mettre à la disposition de la communauté. Cette approche open source est très appréciée des utilisateurs en raison de son faible coût. Mais les programmes CMS (Content Management System ou système de gestion de contenu en français) populaires et leurs plugins sont aussi appréciés des pirates.

Les cybercriminels trouvent les points faibles de ces systèmes et peuvent causer des dommages considérables : ils se procurent par exemple des données clients sensibles telles que des données d’identification ou de paiement au travers de techniques d’hameçonnage. Ils peuvent aussi placer un cheval de Troie ou un virus que les utilisateurs téléchargent sans remarquer quoi que ce soit. Ces virus peuvent déclencher des défaillances de serveurs et ce qu’on appelle les Down-Times, qui gèlent le chiffre d’affaires.

Voici les graves conséquences d’une sécurité de site Web insuffisante :

• Utilisation abusive de données
• Usurpation d’identité
• Détérioration de la réputation
• Chute du chiffre d’affaires
• Actions en justice

Il est possible de prévenir les failles de sécurité avant que cela ne cause de terribles dégâts. Il vaut mieux déceler cette faille avant qu’un cybercriminel ne le fasse. Un contrôle de sécurité d’un site Web est pour cette raison la première chose à faire pour assurer la sécurité de votre activité en ligne et de vos données. Les fournisseurs suivants proposent des offres de contrôle de sécurité gratuites :

• SIWECOS
• virustotal
• WordPress Security Scan

Afin de vérifier la sûreté d’un site Web, la plupart des fournisseurs de services Internet proposent des tests d’intrusion. Cela sert à simuler une attaque de pirates (par exemple une intrusion non autorisée dans le système), de manière à révéler les failles potentielles d’un système.

1. Surveiller l’actualité des éléments

La communauté Internet développe continuellement des solutions open source et détecte en général les bugs et failles de sécurité très rapidement, et les résout encore plus rapidement. Cependant, il faut tenir votre système à jour si vous voulez profiter des avantages de la communauté ou de l’équipe de développeurs. De nombreuses solutions de CMS se mettent à jour automatiquement grâce à des plug-ins. Avec « Easy-Update Manager » pour WordPress vous pouvez tenir votre système à jour et ainsi maximiser sa sécurité. Etant donné que les plugins et autres add-ons sont des programmes indépendants, vous devriez également vérifier leur actualité séparément.

Mais même si vous avez créé votre site Web sans l’aide d’un CMS, vous devez faire attention aux versions actuelles. PHP ou MySQL, par exemple, devraient toujours être à jour afin de ne pas présenter des portes ouvertes aux attaquants.

2. Faire des sauvegardes régulières

Si le pirate s’est procuré l’accès à vos données malgré vos tentatives de prévention, il peut causer des dégâts considérables. Souvent, il ne s’agit par ailleurs pas uniquement d’espionnage ou d’abus de données, mais aussi d’écrasement ou de suppression totale de base de données entières de la part de hackers dans le but d’effacer leurs traces. Une sauvegarde régulière de toutes les données est une nécessité pour toute entreprise.

Pour ce type de précaution il y a aussi des outils : il existe pour WordPress différents plugins et d’autres CMS peuvent être aussi équipés d’extensions appropriées pour faciliter une sauvegarde du site Web entier. Si vous travaillez sans CMS, vous pouvez soit sauvegarder manuellement le contenu du serveur en externe, soit utiliser un outil tel que rsync.

3. Veiller à la sûreté des données d’identification

L’importance de la sûreté des données de connexion ou d’identification est évidente. Pourtant de nombreux utilisateurs utilisent des mots de passe tels que « 123456 » au quotidien. De plus, nombreux sont ceux à utiliser « Admin » ou « Administrateur » comme identifiant. De telles combinaisons identifiants/mots de passe sont des cibles faciles pour les hackers. Cela est valable aussi bien pour un identifiant qu’un mot de passe : vous ne devriez utiliser aucun nom clair ou combinaison simple et légèrement prévisible. Un mot de passe sécurisé nécessite une chaîne de caractères aléatoire et doit être suffisamment longue.

4. Rester informé

Quiconque souhaite se protéger des hackers et autres cybercriminels doit se tenir régulièrement informé des dangers et failles de sécurité actuels. Le premier lieu de prise d’information est bien entendu la communauté d’utilisateurs. Dans la plupart des forums il existe d’innombrables sujets sur le thème de la sécurité d’un site Web. Sur ces plateformes les risques de failles de sécurité sont tout d’abord reconnus, puis discutés et enfin résolus, et ce très rapidement dans le meilleur des cas. Enfin, il peut être aussi intéressant de consulter le site Web du CERT-FR et les actualités de l’ANSSI.

5. HTTPS et certificat SSL

HTTPSassure la transmission sécurisée de données sensibles. À l’aide de SSL (Secure Socket Layer) l’échange de données entre le serveur et le client est chiffré.  De cette manière les pirates ne peuvent ni intercepter ni lire ces données. Ce certificat peut être obtenu via différents sites Web. De nombreux hébergeurs Web proposent ce certificat au sein d’un pack d’hébergement Web ou bien moyennant le paiement de frais supplémentaires. Un autre avantage est que l’utilisateur reconnait un site Web sécurisé grâce au symbole de cadenas vert dans la barre URL de votre navigateur. Cette dernière comporte aussi la mention HTTPS, variante sécurisée du protocole http. Cela induit naturellement de la confiance chez l’utilisateur.

Afin de ne laisser aucune chance aux hackers, il convient de tester régulièrement la sécurité de votre site Web. Un contrôle de sécurité est un bon début, mais il doit être effectué à répétition pour être efficace. Les cybercriminels découvrent sans cesse de nouvelles failles dont ils peuvent profiter. Celui qui fait attention à l’actualité de son système et qui vérifie ses mises à jour voit le risque de cyberattaque diminuer. Dans ces circonstances il est pertinent de suivre les conseils d’experts en informatique pour la mise en œuvre de mesures de sécurité. Enfin il est bien sûr important de sensibiliser sa propre équipe car les employés mal informés représentent aussi une menace pour la sécurité du système de l’entreprise.