Sécurité d’un site Web : voici comment protéger votre page

Une fuite de données peut avoir de graves conséquences pour des entreprises : baisse du chiffre d’affaires, détérioration de la réputation ou encore des actions civiles. Beaucoup d’entreprises, et notamment les boutiques en ligne, profitent de la confiance de nombreux clients qui leur confèrent des données personnelles  ainsi que des coordonnées bancaires. Ces données doivent être protégées car les cyber-attaques sur les business en ligne sont un problème quotidien. En dehors de contrôles réguliers de la sécurité de votre site Web, les entreprises peuvent utiliser des mesures de sécurité supplémentaires.

De nombreux fournisseurs de service Internet promettent à leur client une création simple et rapide de leur propre site Web. Concrètement, il est de nos jours possible de publier un site Internet en ligne sans fournir un grand investissement en programmation, et ce de plus en plus rapidement.  Toutes sortes d’utilisation du Web sont possibles : blogs, boutiques, revues d’actualité... Mais les solutions de gestion de contenu, les systèmes de boutiques ou encore les logiciels de forums représentent un risque considérable de sécurité. Leur aspect « open source » ne signifie pas seulement que le code source est disponible auprès de tous les utilisateurs, car ce système ouvert l’est aussi auprès des hackers et autres cyber criminels.

Pour le seul mois de décembre 2015, 2,62 millions de pages Web ont été créées dans le monde avec le logiciel open source Joomla. Cette communauté compte, tout comme WordPress ou TYPO3, presque 500 000 utilisateurs actifs. Chacun a donc la possibilité de développer soi-même des extensions, plug-ins, modules ou templates et de les mettre à la disposition de la communauté. Cette approche open source est très appréciée des utilisateurs en raison de son faible coût. Mais les programmes CMS (Content Management System ou système de gestion de contenu en français) populaires et leurs plug-ins sont aussi appréciés des pirates. Les cybercriminels trouvent les points faibles de ces systèmes et peuvent causer des dommages considérables : ils se procurent par exemple des données clients sensibles telles que des données d’identification ou de paiement au travers de techniques de hameçonnage.  Ils peuvent aussi placer un cheval de Troie ou un virus que les utilisateurs téléchargent sans remarquer quoi que ce soit.  Ces virus peuvent déclencher des défaillances de serveurs et ce qu’on appelle les Down-Times, qui gèlent le chiffre d’affaires.

Voici les graves conséquences d’une sécurité de site Web insuffisante :

• utilisation abusive de données
• usurpation d’identité
• détérioration de la réputation
• chute du chiffre d‘affaires
• actions en justice

Il est possible de prévenir les failles de sécurité avant que cela ne cause de terribles dégâts. Il vaut mieux déceler cette faille avant qu’un cybercriminel ne le fasse. Un contrôle de sécurité d’un siteWeb est pour cette raison la première chose à faire pour assurer la sécurité de votre activité en ligne et de vos données. Les fournisseurs suivants proposent des offres de contrôle de sécurité gratuites :

• virustotal
• WordPress Security Scan
• Nikto Website Scanner

Afin de vérifier la sûreté d’un site Web, la plupart des fournisseurs de services Internet proposent des tests d’intrusion. Cela sert à simuler une attaque de pirates (par exemple une intrusion non autorisée dans le système), de manière à révéler les failles potentielles d’un système.

1. Surveiller l’actualité des éléments

La communauté Internet développe continuellement des solutions open source et détecte en général les bugs et failles de sécurité très rapidement, et les résout encore plus rapidement. Cependant, il faut tenir votre système à jour si vous voulez profiter des avantages de la communauté ou de l’équipe de développeurs. De nombreuses solutions de CMS se mettent à jour automatiquement grâce à des plug-ins. Avec „Easy-Update Manager“ pour WordPress ou l‘extension „SP Upgrade“ pour Joomla, vous pouvez tenir votre système à jour et ainsi maximiser sa sécurité. Etant donné que les plug-ins et autres add-ons sont des programmes indépendants, vous devriez également vérifier leur actualité séparément.

2. Faire des sauvegardes régulières

Si le pirate s’est procuré l’accès à vos données malgré vos tentatives de prévention, il peut causer des dégâts considérables. Souvent, il ne s’agit par ailleurs pas uniquement d’espionnage ou d’abus de données, mais aussi d’écrasement ou de suppression totale de base de données entières de la part de hackers dans le but d’effacer leurs traces.  Une sauvegarde régulière de toutes les données est pour cela un must pour toute entreprise.  Pour ce type de précaution il existe aussi des plug-ins : „Backup WordPress“ pour WordPress et l’extension „Easy Joomla Backup“ pour Joomla ou encore „LazyDbBackup“.

3. Veiller à la sûreté des données d’identification

L’importance de la sûreté des données d’identification est évidente. Pourtant de nombreux utilisateurs utilisent des mots de passe tels que « 123456 » au quotidien. De plus, nombreux sont ceux à utiliser « Admin » ou « Administrateur » comme identifiant. De telles combinaisons identifiants/mots de passe sont des cibles faciles pour les hackers. Cela est valable aussi bien pour un identifiant qu’un mot de passe : vous ne devriez utiliser aucun nom clair ou combinaison simple et légèrement prévisible. Découvrez notre article sur les mots de passe sécurisés dans notre guide.

4. Rester informé

Quiconque souhaite se protéger des hackers et autres cybercriminels doit se tenir régulièrement informé des dangers et failles de sécurité actuels. Le premier lieu de prise d’information est bien entendu la communauté d’utilisateurs. Dans la plupart des forums il existe d’innombrables sujets sur le thème de la sécurité d’un site Web. Sur ces plateformes les risques de failles de sécurité sont tout d’abord reconnus, puis discutés et enfin résolus, et ce très rapidement dans le meilleur des cas.

5. HTTPS et certificat SSL

HTTPS assure la transmission sécurisée de données sensibles. A l’aide de SSL (Secure Socket Layer) l’échange de données entre le serveur et le client est crypté.  De cette manière les pirates ne peuvent ni intercepter ni lire ces données. Ce certificat peut être obtenu via différents sites Web (par exemple GeoTrust. De nombreux fournisseurs d’hébergement Web proposent ce certificat au sein d’un pack d’hébergement Web ou bien moyennant le paiement de frais supplémentaires. Un autre avantage est que l’utilisateur reconnait un site Web sécurisé grâce au symbole de cadenas vert dans la barre URL de votre navigateur. Cette dernière comporte aussi la mention HTTPS, variante sécurisée du protocole http. Cela induit naturellement de la confiance chez l’utilisateur.

Afin de ne laisser aucune chance aux hackers, il convient de tester régulièrement la sécurité de votre site Web. Un contrôle de sécurité est un bon début, mais il doit être effectué à répétition pour être efficace. Les cybercriminels découvrent sans cesse de nouvelles failles dont ils peuvent profiter. Celui qui fait attention à l’actualité de son système et qui vérifie ses mises à jour voit le risque de cyberattaque diminuer. Dans ces circonstances il est pertinent de suivre les conseils d‘experts en informatique pour la mise en œuvre de mesures de sécurité. Enfin il est bien sûr important de sensibiliser sa propre équipe car les employés mal informés représentent aussi une menace pour la sécurité du système de l’entreprise.