Cybersécurité – La sécurité des sites Internet – Partie 1

La période de confinement en mars-avril-mai 2020 a vu un accroissement des attaques informatiques sur le web. Et la fin de cette même année connait à nouveau une recrudescence des attaques. De nombreux sites, pas forcément importants ou stratégiques (en trafic, taille, risque financier…) se sont retrouvés hors services. Découvrez les raisons dans la première partie de cet article dédié à la cybersécurité rédigé par David Lesage, Directeur de C2medias à Cambrai, Cysoing & Bapaume et Administrateur du réseau Place de la Communication.  

 

Il y a toujours des facteurs à déterminer dans chaque cas, mais on peut ici identifier quelques causes simples :

  • Des apprentis pirates qui ont eu du temps pour tester leurs capacités (3 mois chez soi, c’est long, il faut s’occuper).
  • Des propriétaires de sites qui avaient sûrement la tête dans des sujets bien plus impactant économiquement parlant (et qui n’ont donc pas forcément relevé des alertes au niveau de leur site).
  • Des prestataires de services qui, effectifs réduits obligent, ne pouvaient pas toujours assurer le meilleur suivi au quotidien pour leurs clients (ce qui n’excuse rien, mais c’est un fait).

 

Chez C2medias, nous avons eu un accroissement de demandes concernant la remise en service, puis la sécurisation de sites Internet institutionnels et d’e-commerce. Nous avons donc souhaité vous donner ici une série de bonnes pratiques pour assurer la sécurité de votre site Internet.

 

ATTENTION : Rien n’est infaillible. Si des sites Internet importants arrivent à se faire pirater et voler des données, un site de plus petite envergure pourra lui aussi courir ses mêmes risques…

 

Ce dossier est divisé en deux articles. La première partie présente une liste de bonnes pratiques que vous pouvez mettre en place en interne, même si vous n’êtes pas des spécialistes de la sécurité !

La seconde partie (que vous découvrirez lundi prochain) abordera les aspects plus techniques que votre SI ou votre prestataire peut mettre en place afin d’améliorer la sécurité de votre site.

 

Dans la plupart des cas sur lesquels nous sommes intervenus, le principal problème était l’absence de maintenance. En gros, aucun contrat n’existait entre le propriétaire du site et un prestataire pour le maintenir à jour, le sécuriser, et intervenir en cas de besoin.

Le site Internet était donc au même stade technique qu’il y a 2, voire 3 ans. Et sur cette période-là, il s’en passe des choses (mises à jour du cœur du système, modules devenus obsolètes, abandon de certaines technologies…).

La majorité des conseils ci-dessous resteront valables quelle que soit la technologie utilisée pour le site Internet.

Mais dans certains cas, je parlerai plus précisément de WordPress. Pourquoi ? Car ce CMS (Content Management System – Système de gestion de contenus) représente aujourd’hui plus de 60% des sites Internet mondiaux fonctionnant via un CMS. C’est dire si c’est une cible de choix. Le second CMS le plus important, Joomla, plafonne à 6% de part de marché.

 

1) Les bonnes pratiques « humaines »

Il est clair qu’une TPE ou PME qui ne dispose pas d’une DSI (bien que je connaisse des DSI qui ne veulent pas intégrer les sujets liés au Web dans leurs métiers, ce qui est sensé) se débrouillera comme elle peut pour gérer le fonctionnement de son site. Quand ce n’est pas l’assistant du DG qui s’en charge, ce sera le (la) chargée de marketing, ou tout autre poste auquel on ne pense pas forcément lorsque l’on parle de Web. Bien souvent, ils ne mesurent pas la portée de certaines actions ou décisions.

En premier lieu, ne transmettez jamais les codes d’accès complets à votre hébergement web (OVH, Ionos, Gandi…) si c’est vous qui avez la main dessus. Sauf si votre contact est totalement digne de confiance, vous donnez ici les pleins pouvoirs à une personne externe qui pourrait s’en servir pour vous nuire le jour où vous cessez toute collaboration. Il en va de même pour des collaborateurs internes.
Si vous n’avez pas d’autre choix que de donner ces codes, notez bien à qui vous les transmettez, et pensez, dès que cette personne n’est plus sensée y avoir accès, à changer les identifiants.

Certaines solutions existent. Par exemple, C2medias est partenaire de l’hébergeur Ionos, et si un de nos clients choisit d’avoir un hébergement chez eux, il peut nous donner accès en partie ou en totalité à son hébergement pour nos interventions. Et le jour où il le souhaite, il peut révoquer ces accès. Dans tous les cas, nous n’avons jamais connaissance de ses propres identifiants. Et bien sûr, toutes nos actions sont tracées chez l’hébergeur en cas de problème.
Dans d’autres cas, lorsque le prestataire (ou collaborateur) voudra accéder à l’hébergement, un code de confirmation pourra être envoyé au chef d’entreprise (ou son assistant), à faire suivre au prestataire ; Sans cela, pas d’accès.

D’autre clients nous donnent (malgré ce que je viens d’indiquer précédemment) tous les codes d’accès de leurs outils. A nous en tant qu’agence de nous assurer que tout se passe pour le mieux. Par exemple, nos développeurs ont uniquement un accès au dossier du site, et à la base de données, via des outils spécifiques qui évitent de se connecter à l’hébergement (OVH ou autre).

Dans tous les cas, faites-vous accompagner par une personne ou une entreprise de confiance et n’hésitez pas à lui faire signer un contrat de confidentialité.

 

2) Les bonnes pratiques « fonctionnelles »

Venons-en maintenant au site Internet lui-même.

Lorsqu’on le met en place pour la première fois, il y a des éléments importants à travailler en amont (contenus textuels, visuels, les informations de référencement…). La sécurité c’est pareil. Elle doit être anticipée. On n’attend pas que le site soit mis en ligne pour réfléchir sur cette partie importante. Ce ne sera pas le travail d’un freelance en communication, ou d’un expert SEO, mais plutôt d’un expert en sécurité ou au moins celui d’une agence digitale. Cette préparation permettra de définir les règles de sécurité, les accès autorisés ou fermés, les profils d’utilisateurs…

 

Si plusieurs personnes vont travailler sur le site, par exemple un ou plusieurs salariés, un stagiaire… Ils n’ont pas besoin d’accéder aux rubriques de réglage du site, à la gestion des modules, ou à d’autres éléments névralgiques.

Il faut dans ce cas créer des profils utilisateurs accordant un nombre défini de droits d’accès. Cela permettra également, en cas de problème, d’identifier plus rapidement la personne qui en est à l’origine afin qu’elle précise ses actions pour aider aux corrections. Et il sera toujours possible dans un second temps de faire évoluer ces droits si nécessaire.

Je ne compte plus les sites de clients qui n’avaient, pour toutes les personnes intervenant dessus un unique accès, en mode « administrateur » (c’est-à-dire pouvant faire sauter le site à la moindre mauvaise manipulation).

Et même si vous êtes l’unique contributeur de votre site Internet, je vous conseille d’avoir un compte utilisateur limité en droits. Cela vous évitera de faire des erreurs lorsque vous êtes en train de gérer les contenus. Le compte administrateur devrait être réservé à des interventions techniques et fonctionnelles uniquement.

Et surtout, bannissez un compte administrateur qui aurait pour identifiant « Admin » (si si, il y en a plus qu’on ne le pense).

Ci-dessous, des exemples de complexité des mots de passe et le temps théoriquement nécessaire pour les craquer :

Vous pouvez également vous assurer de la bonne sécurité de votre site en faisant régulièrement intervenir une société spécialisée dans les tests de sécurité. Si votre site compte 3 pages et présente uniquement votre activité, c’est un coût probablement inutile pour vous. Mais si vous stockez des données personnelles importantes (entre autres pour les sites de e-commerce), ces tests pourront probablement vous permettre d’éviter à terme une catastrophe (et de payer de potentielles amendes assez importantes).

 

Dans la seconde partie, je parlerai des sujets plus techniques, mais tout autant essentiels pour vous éviter de mauvaises surprises.

David Lesage, Directeur de C2medias à Cambrai & Bapaume et Administrateur du réseau Place de la Communication

 

Contact : 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lettre d’information

Retour haut de page