La sécurité — le parent pauvre des sites web

/ Conseils / défaçage, Hacking, piratage, sécurité

La sécurité est souvent laissée de côté lors de la création ou de la refonte d'un site web. Pourtant, c'est un point essentiel, la négliger serait une erreur, potentiellement lourde en conséquences.

Cet article prend 4 minutes à lire et comporte 968 mots.

Créer un site web par soi-même est devenu un jeu d’en­fant, grâce aux out­ils tels que Word­Press. Assur­er sa sécu­rité, par con­tre, n’est pas aus­si sim­ple.

Entre autre, parce que l’ac­ti­va­tion d’un cer­ti­fi­cat SSL, s’il est indis­pens­able, n’est pas suff­isant pour assur­er la sécu­rité d’un site. Il per­met de sécuris­er les trans­ac­tions entre l’in­ter­naute et le site, mais il ne pro­tège en rien le site lui-même des attaques, des intru­sions, du piratage (hack­ing), du déface­ment ou du vol de don­nées.

Le risque est-il si dérisoire, que les entre­pris­es préfèrent inve­stir dans d’autres postes en nég­ligeant la pro­tec­tion de leur out­il (ou d’un de leurs out­ils) de tra­vail ?

Non, pas vrai­ment. C’est plus par mécon­nais­sance, et parce qu’ils ne se posent pas for­cé­ment les bonnes ques­tions.

La pre­mière, c’est…

Qu’est-ce que la sécurité pour un site web ?

Sous le terme générique sécu­rité, nous trou­vons un ensem­ble de con­cepts com­plé­men­taires : la sécu­rité des échanges avec les inter­nautes, qui est assurée par les cer­ti­fi­cats SSL et le pro­to­cole HTTPS, ou mieux, HSTS, n’est qu’une par­tie de cet ensem­ble.

La sécu­rité com­prend égale­ment toutes les procé­dures per­me­t­tant de con­tr­er les attaques visant à ren­dre inac­ces­si­ble votre site ou visant directe­ment vos don­nées, que ce soit pour les détru­ire, les cor­rompre ou les vol­er.

Vient ensuite…

La sécurité de mon site est-elle vraiment importante ?

Fer­mez-vous à clé votre mai­son ou votre apparte­ment quand vous partez ? Fer­mez-vous votre véhicule quand vous en sortez ? Vos locaux pro­fes­sion­nels sont-ils fer­més et sécurisés en votre absence ? Avez-vous un mot de passe (ou toute autre sys­tème d’i­den­ti­fi­ca­tion) pour activ­er votre smart­phone ? Votre Wifi d’en­tre­prise (ou per­son­nel) est il pro­tégé par une clé WEP ou WPA ?

À ces cinq ques­tions, la plu­part d’en­tre nous répon­dra : “oui, évidem­ment !”. Vous ne lais­sez pénétr­er per­son­ne à votre insu dans votre vie privée, mais vous lais­seriez la porte grande ouverte à qui voudrait s’in­tro­duire dans vos sys­tèmes de don­nées en ligne ?

L’u­til­ité d’une pro­tec­tion acquise, la ques­tion suiv­ante, c’est…

Comment assurer la protection de mon site ?

Testez votre site

Tout d’abord, il est indis­pens­able d’établir un diag­nos­tic. Deux out­ils en ligne vous y aideront, il s’ag­it de Web­PageTest dans un pre­mier temps, et de Qualys — SSL Labs ensuite.

En fait, vous devriez avoir un score de A+ sur Web­PageTest et avec Qualys pour être bien pro­tégé.

Et si votre prestataire de ser­vice ne voit pas l’im­por­tance d’une sécu­rité ren­for­cée, ou ne parvient pas à vous obtenir un A+, changez sans tarder de prestataire.

Voici les résul­tats pour un site que j’ai dévelop­pé :

Résultats WebPageTest - Sécurité
Résul­tats Web­PageTest — Sécu­rité

Nota : la let­tre B est elle aus­si en vert chez Web­PageTest, mais pour la sécu­rité, visez le A+. Le A est un pis-aller, le B n’est pas une option envis­age­able.

Résultats Qualys - SSL Labs
Résul­tats Qualys — SSL Labs

Établissez un plan d’action

En fonc­tion de votre score et des points mar­qués en rouge ou en orange, vous allez pou­voir déter­min­er les actions à men­er.

Les ques­tions suiv­antes vous per­me­t­tront de le faire de manière exhaus­tive :

  • Quelles sont les failles de sécu­rité éventuelles sur mon site ? Si vous avez un ou plusieurs points en rouge au test Qualys, il vous fau­dra les traiter en pri­or­ité, sans tarder.
  • Ai-je la pos­si­bil­ité de mod­i­fi­er les élé­ments à risque directe­ment ou via mon hébergeur ? Si ce n’est pas pos­si­ble, changez d’hébergeur, sécuris­er son site vaut la perte de quelques dizaines d’eu­ros.
  • Ai-je les com­pé­tences néces­saires pour effectuer ces mod­i­fi­ca­tions sans tout cass­er ? Si ce n’est pas le cas, tournez vous vers un prestataire sérieux, qui a fait ses preuves (si son pro­pre site n’ob­tient pas les scores de A en sécu­rité aux deux tests, changez de crèmerie).

Si vous décidez de pass­er par un prestataire de ser­vices, véri­fiez son offre : la sécu­rité ne doit pas se lim­iter à l’émis­sion d’un cer­ti­fi­cat SSL et à la mise à jour de Word­Press, de ses exten­sions et thèmes, à une exten­sion dite de sécu­rité (même si elle est indis­pens­able), ou unique­ment a pos­te­ri­ori pour restau­r­er après une attaque, elle doit être pro-active.

Atten­tion ! Ne con­fondez pas la sauve­g­arde, utile pour remet­tre un site en ligne après une attaque, et la ges­tion de la sécu­rité.

Les don­nées volées par exem­ple lors d’une attaque sont défini­tive­ment volées, avoir une sauve­g­arde ne chang­era pas la donne, vous aurez à vous en expli­quer, auprès de la CNIL, et auprès de vos clients ou abon­nés.

S’il y a eu défail­lance de votre part, vous risquez des sanc­tions, tant de la CNIL que de vos clients que vous fer­ez fuir. Et même si vous n’êtes pas le respon­s­able direct, parce que vous avez con­fié votre sécu­rité à un incom­pé­tent, vous serez quand même tenu pour respon­s­able. Votre entre­prise, votre ges­tion du risque.

Et ensuite ?

Surtout, ne croyez pas que parce que vous avez sécurisé votre site con­tre les attaques extérieures et au niveau des échanges site / inter­nautes, vous n’avez plus rien à faire.

La tech­nolo­gie évolue, les hack­ers tirent par­ti des tech­nolo­gies vieil­lis­santes pour exploiter des failles con­nues et en décou­vrent de nou­velles chaque jour.

Il vous faut donc vous tenir à jour, installer les mis­es à jour de Word­Press, de ses exten­sions et de ses thèmes.

Si votre héberge­ment est mutu­al­isé, votre hébergeur doit met­tre à jour sa plate­forme et la patch­er régulière­ment. Si vous gérez aus­si la par­tie serveur, c’est à vous de vous en occu­per.

Mon site est sécurisé, je ne cours donc aucun risque !?

Pas vrai­ment. Rap­pelez vous : la per­fec­tion n’est pas de ce monde. Le risque zéro n’ex­iste pas. Mais on peut s’en rap­procher.

Et si vous avez mis en place une vraie poli­tique de sécu­rité, et que mal­heureuse­ment, vous subis­sez une attaque, les con­séquences (clien­tèle, légales et finan­cières) ne seront pas les mêmes.

Per­son­ne ne vous en voudra d’avoir subi une attaque. On vous en voudra par con­tre de ne pas avoir anticipé.

Main­tenant, c’est à vous, prenez les mesures qui s’im­posent pour con­tin­uer votre activ­ité en toute sérénité.

Tweet­ez
Partagez
Épin­gle
Partagez
0 Partages

Commencez à saisir du texte et appuyez sur Entrée pour rechercher

Retour en haut
We use cookies in order to give you the best possible experience on our website. By continuing to use this site, you agree to our use of cookies.
Accept