Les sites web mal sécurisés peuvent nuire fortement à la réputation d’une entreprise et entraîner des pertes financières importantes. Que faut-il prendre en considération pour empêcher les cybercriminels de perturber votre présence et vos ventes en ligne ? Martin Cambal, Global Web Development Manager chez ESET, donne quelques conseils qui pourraient être utiles aux PDG ainsi qu’aux administrateurs informatiques des petites entreprises.
Pourquoi la sécurité des sites web est-elle importante pour créer une marque digne de confiance ? Découvrez-le ici.
Conservez vos journaux
Les journaux applicatifs vous aident à identifier des attaques, de préférence au tout début avant qu’elles ne causent des dommages. « La totalité du trafic sur le site web et le réseau doit être enregistrée afin que le développeur du site web soit en mesure de retracer la menace. Les journaux doivent toujours couvrir au moins les 30 derniers jours. Certaines attaques se produisent d’une heure à l’autre, et d’autres durent plusieurs jours. Le piratage est un processus que l’on peut découvrir dès qu’il commence, » explique Martin Cambal, Global Web Development Manager chez ESET. Enfin, n’oubliez pas de sauvegarder les journaux. Ils doivent être enregistrés de préférence dans un stockage centralisé afin qu’un attaquant ne puisse pas les supprimer après avoir piraté le serveur.
Effectuez des sauvegardes régulières du site web et élaborez un plan de RPO/RTO
L’objectif de point de récupération (RPO) et l’objectif de temps de récupération (RTO) sont deux mesures clés que vous devez mettre en place au cas où le pire scénario se produirait et que le site web de votre entreprise soit piraté. Comme l’indique l’Enterprise Storage Forum, les mesures de RPO et de RTO vous aident à définir une durée d’indisponibilité pour votre logiciel, qui ne causerait pas de dommages importants. La quantité de données qui peut être perdue sans que l’entreprise ne soit gravement affectée est également très importante.
« Les entreprises devraient disposer d’un plan de sauvegarde et de récupération régulièrement mis à jour, ainsi que d’un plan de reprise sur incident, indiquant la marche à suivre en cas de cyberattaque. Si un pirate informatique attaque par exemple une base de données importante, et supprime éventuellement des données, vous apprécierez d’avoir une réponse prédéfinie à cette crise, » ajoute M. Cambal, qui souligne également un autre aspect important de la sécurité : « Dès qu’un pirate s’introduit dans votre site web, vous ne pouvez plus lui faire confiance. Après vous être occupé de l’attaquant conformément à votre plan de traitement de la crise, il est utile de récupérer totalement le site web. »
Suivi de la durée de fonctionnement
Le logiciel de suivi devrait contrôler en permanence la disponibilité du site web, au moins chaque minute. « Il est crucial pour l’entreprise d’être la première à être informée d’une attaque et d’éviter que les clients n’aient à signaler les erreurs, » explique M. Cambal, ce qui souligne l’importance de la prévention. « "Sur les sites web à fort volume, exigeant une grande disponibilité, une bonne pratique consiste à limiter le nombre de pages qui peuvent être consultées à partir d’une adresse IP. Cela signifie que l’attaquant doit progresser lentement, en dosant soigneusement les visites, ce qui donne aux administrateurs du site web le temps de réagir en conséquence et détecter le danger à temps. » Les services de surveillance sont faciles à trouver, et peuvent être activés en quelques clics. Il suffit de rechercher « suivi uptime » sur Google, ce qui vous mènera aux bons services.
Vous disposez d’un site web conçu sur mesure ? Découvrez les guides de durcissement des sites web
Les géants de la technologie, tels que Google, proposent des guides de durcissement gratuits qui vous aident à mettre en œuvre un serveur web sécurisé. Il existe également des checklists de sécurité disponibles. « Chaque marque proposant des serveurs et des applications web devrait vous fournir des conseils efficaces en matière de cybersécurité, ce qui devrait vous aider à fiabiliser et protéger un site web, » indique M. Cambal. « De même, lorsque vous utilisez un hébergeur, recherchez un prestataire conforme à la norme ISO 27001, qui garantit que vos données seront en sécurité chez lui. »
Soyez conscient des limites des CMS open source
Les plateformes open source comme WordPress présentent de nombreux avantages, notamment la possibilité de créer rapidement un site web. Néanmoins, elles comportent également de nouvelles problématiques. « Les vulnérabilités de ces plateformes sont généralement largement connues. Un attaquant expérimenté peut utiliser des informations sur les points faibles d’un site web pour l’attaquer, » explique M. Cambal. « Le code est libre, et tout le monde peut y jeter un œil pour profiter de ses imperfections. »
La partie administration des plateformes open source est également généralement accessible via une URL facile à deviner, utilisant la terminaison /admin ou similaire. « Lorsqu’un attaquant vole un mot de passe et un identifiant de connexion, il sait exactement où les saisir, » poursuit M. Cambal. Cette URL particulière ne devrait donc être accessible qu’à partir d’adresses IP ou de VPN spécifiques, et il est également utile de mettre en place une couche de protection supplémentaire, en exigeant, par exemple, une authentification multifacteur pour se connecter.
Restez informé
Obtenir des informations utiles auprès de la bonne source est crucial si vous voulez conserver une longueur d’avance sur les cybercriminels. « Les experts devraient s’intéresser aux informations détaillées fournies sur les récents développements des technologies numériques, présentées par exemple sur HackerNoon.com. Les stratégies et tactiques des pirates sont également disponibles sur WeLiveSecurity.com, l’un des contenus de référence d’ESET, » précise M. Cambal.
« Il est par ailleurs intéressant de suivre le Top 10 OWASP qui fournit des informations actualisées sur les menaces en ligne et les cyberattaques actuelles, » souligne M. Cambal. « Lorsque vous savez que la tendance est à certains types d’attaques, vous pouvez adapter votre stratégie de cybersécurité en conséquence, ou même programmer le site web en ayant ces types d’attaques à l’esprit pour ne laisser aucune chance aux pirates. »