Ce n’est pas sans raison que les sites web sont parfois appelés les « vitrines » de l’ère digitale. Ils ont le pouvoir d’influencer positivement la perception de votre entreprise ou de votre produit auprès de vos clients, de contribuer à créer la première impression parfaite ou de susciter la confiance dans votre service, ou tout le contraire, surtout s’ils sont mal sécurisés. Avez-vous déjà envisagé que votre site web pouvait représenter un risque pour votre entreprise ? On vous explique tout dans l’article qui suit.
Perte de confiance
Imaginez la situation suivante : un utilisateur décide enfin d’acheter votre produit, mais votre boutique en ligne est inaccessible. Ou pire : les informations relatives à la carte bancaire de votre client sont volées en raison d’une vulnérabilité de votre site web. Par conséquent, les informations que les utilisateurs renseignent sur le site web atterrissent directement dans les mains du pirate.
De même, l’attaquant peut afficher un contenu inapproprié ou malveillant qui pourrait mettre votre client en danger, par exemple sur votre page d’accueil. « Les fuites de données, les sites web compromis ou ne fonctionnant pas correctement, peuvent nuire à la fiabilité de la marque. Le calcul est simple : une mauvaise image de marque se traduit par un mauvais potentiel commercial, » déclare Martin Cambal, global web development manager chez ESET. L’impact d’une cyberattaque peut être encore plus conséquent, en particulier si vous utilisez le site web non seulement à des fins de présentation, mais surtout pour vendre vos produits et vos services en ligne.
Quelles sont les 10 principales failles de sécurité ?
Consultez le graphique de l’OWASP, un document de sensibilisation standard pour les développeurs relatif à la sécurité des applications web.
Bien que la plupart des experts recommandent aux entreprises de communiquer de manière transparente sur les cyberattaques, et que la réglementation l’exige dans certains cas de fuites de données, les sociétés décident souvent de refondre leur marque, estimant ne pas être en mesure de restaurer leur image. En 2015 par exemple, le site de rencontres Ashley Madison appartenant à l’entreprise de divertissement social Avid Life Media, qui mettait en relation des clients à la recherche d’aventures (extraconjugales), a été attaqué. Les pirates ont exposé les informations personnelles de près de 37 millions d’utilisateurs, notamment leurs noms, adresses et fantasmes sexuels secrets. Comme Karen Robson et Leyland Pitt le précisent dans une étude publiée en 2018 : « Au lendemain de l’attaque, Avid Life Media et Ashley Madison ont entrepris un certain nombre de changements dans le but de reconstruire et de redorer leur image. » Quelques semaines plus tard, le PDG d’Avid Life Media a démissionné et, en 2016, l’entreprise a changé de nom pour devenir Ruby Corp, modifiant également son slogan et sa charte visuelle. Vous souhaitez en savoir plus ? Lisez l’article qui analyse les événements clés de la faille de sécurité.
Quels enseignements tirer ? Des pirates ont parfois uniquement pour objectif d’empêcher l’accès à un site web, mais dans la plupart des cas, ils tentent de voler les données des clients et éventuellement de les vendre. Étant donné que les fuites de données sont très médiatisées ou sont annoncées sur des sites web spécialisés tels que HaveIBeenPwned, la crédibilité de la marque en souffre.
Mise en liste noire par les moteurs de recherche
« Ce site a peut-être été piraté » Vous avez déjà vu ce message dans les résultats de recherche de Google ? Le moteur de recherche est capable d’identifier les pages potentiellement dangereuses. Votre site web, s’il est compromis, peut apparaître parmi celles-ci.
Qui plus est, Google a commencé à supprimer les sites piratés de ses résultats. En plus des moteurs de recherche, les logiciels antivirus détectent également les sites web potentiellement piratés et découragent leurs utilisateurs de les consulter.
L’espion indésirable
Tandis que certains cybercriminels vous font savoir qu’ils ont piraté votre site web, d’autres restent discrets. « Espionner la concurrence, surveiller le nombre de commandes passées dans la boutique en ligne, voler des données cruciales... Les raisons pour lesquelles ils s’introduisent sur votre site web peuvent être nombreuses. J’ai vu un cas où, par exemple, un portail de comparaison de prix a reçu un email anonyme contenant les coordonnées de 30 000 propriétaires de boutiques en ligne en République tchèque. Évidemment, la société n’a rien payé et a ignoré l’offre. Mais cette expérience montre que la monétisation des données peut être l’une des motivations des pirates pour espionner secrètement votre site, » rappelle M. Cambal. « Les attaquants analysent parfois votre site web à la recherche de vulnérabilités, et s’ils en trouvent, ils ne vous en informent que si vous payez, ce qui devrait être évidemment hors de question. »
Et puis il y a ce que l’on appelle les « script kiddies » qui peuvent également nuire au site web de votre entreprise. Ces néophytes relativement peu qualifiés utilisent des scripts ou des programmes développés par d’autres pour analyser le code du site web à la recherche de vulnérabilités. Lorsqu’ils sont en mesure d’y implanter des fichiers, ils peuvent alors modifier l’aspect visuel du site ou son contenu. « Cela peut entraîner la surcharge des serveurs. Le site web s’arrête alors de fonctionner et les clients ne peuvent plus acheter de produits, » ajoute M. Cambal. Il peut en résulter un manque à gagner et une expérience désagréable pour les clients, ainsi que des coûts supplémentaires pour résoudre le problème.
Des attaques plus sophistiquées peuvent ne désactiver qu’une partie du site web, par exemple les pages en accès payant. « Lorsqu’elles ne surveillent pas correctement les journaux des serveurs, les entreprises peuvent penser que le problème n’est pas dû à une cyberattaque et se mettre à rechercher une erreur dans les applications web qu’elles développent, » explique M. Cambal. « De cette manière, elles perdent aussi du temps et de l’argent : plus le site est inaccessible, plus il est impossible pour les internautes d’y faire des achats. » N’oubliez pas qu’en sécurisant votre site web, vous protégez non seulement la réputation de votre marque, mais également vos clients.
« Le trafic sur le site web d’ESET est très élevé, c’est pourquoi la proportion de trafic émanant des robots peut sembler assez faible. Mais dans le cas d’entreprises dont les sites web comptent environ 1 000 visiteurs par jour, la proportion de trafic des robots sur les serveurs peut grimper jusqu’à 80 %. Le nombre de visites que vous voyez, par exemple, dans Google Analytics, ne fournit pas de visibilité sur le nombre total de requêtes. Par conséquent, la surveillance des journaux d’accès est très importante, » ajoute Martin Cambal, global web development manager chez ESET.
Retrouvez également notre article pour vous aider à savoir si votre site web est une cible facile pour les pirates.
