Le monde en ligne évolue constamment, tout comme les normes de sécurité des sites web. Comment pouvez-vous suivre le rythme et vous conformer aux toutes dernières exigences ? Et que devez-vous faire pour mettre à jour votre site web afin d’assurer sa sécurité ? Pourquoi est-il indispensable de le mettre systématiquement à jour ? Voici quelques conseils de Martin Cambal, Responsable du développement web mondial chez ESET, qui vous permettront de garder une longueur d’avance et d'assurer la présence de votre entreprise en ligne.
Vérifiez l’état actuel de votre site web
Avez-vous déjà entendu parler du site web Security Headers ? Cette plateforme est très utile pour vérifier si votre page répond aux normes de sécurité de base et avancées. « Il attribue à votre site web une note de A à F, et fournit des recommandations sur la manière de renforcer sa sécurité. Cet outil pourrait être utile à toute équipe de développement web, » explique M. Cambal.
Implémentez une infrastructure de microservices sécurisée
Lorsque vous développez votre site web, pensez à l’un des principes essentiels de la sécurité des infrastructures : déployez plusieurs systèmes indépendants plutôt qu’un « super système ». « Par exemple, lorsque vous vendez des marchandises sur Internet, mettez votre boutique en ligne sur un domaine, et le panier d’achat sur un autre, comme shop.domaine.com. De même, votre système de facturation devrait être implémenté sur un domaine distinct et protégé contre l’accès public, » précise M. Cambal.
Cette approche présente des avantages immédiats. Il est notamment plus difficile de pirater plusieurs microsystèmes indépendants qu’un système monolithique. Vous pouvez également configurer des politiques de sécurité plus strictes pour le panier d’achat, dans lequel les acheteurs utilisent leurs cartes de crédit, et des politiques moins strictes pour la boutique en ligne, afin que les utilisateurs puissent partager votre page sur les réseaux sociaux. « Une fois que vous avez décidé de refondre votre site web, vous n’avez pas besoin de tout faire en une seule fois. Je recommande de redévelopper les systèmes étape par étape, en fonction des priorités métiers de votre entreprise, » ajoute M. Cambal.
Qu’est-ce qu’un site web à l'architecture monolithique ? Quelle est la différence avec une infrastructure de microservices ? Un site web monolithique héberge la totalité du contenu et des fonctionnalités sous un seul domaine, y compris par exemple la facturation, la boutique en ligne et le panier d’achat. Il ne vous permet pas de mettre à jour les sous-domaines séparément : tout doit être modifié sur le domaine principal également. En outre, si le site web est attaqué, l’ensemble du système, de ses fonctions et de son contenu peut s’effondrer. Par conséquent, il est recommandé d’implémenter une infrastructure de microservices avec trois domaines et microsites ou plus, dans laquelle chaque système d’administration n’a pas accès aux autres. De même, lorsqu’une page d’accueil est attaquée et/ou paralysée, la boutique en ligne peut continuer de fonctionner sur son propre domaine et les utilisateurs peuvent toujours y accéder directement, par exemple via un lien direct vers le panier d’achat depuis votre campagne d’emailing. |
Les sites web monolithiques peuvent également constituer un défi en termes de ressources humaines : « Si votre système monolithique a été développé à l’aide d’un type de technologie, tous les développements futurs devront être réalisés avec le même type de technologie. Si votre entreprise se développe, vous devrez trouver et embaucher davantage de spécialistes pour cette technologie particulière, ce qui peut être très difficile, » explique M. Cambal. « Néanmoins, en utilisant des microservices et des technologies variées, vous pouvez éviter les problèmes de recrutement de personnel. Sur le marché du travail, il est plus facile de trouver un petit nombre de spécialistes qui se concentrent sur plusieurs technologies plutôt qu’un grand nombre de professionnels qui se spécialisent dans un seul type de technologie. »
Le secret infaillible ? Des mises à jour régulières, et pas seulement une fois de temps en temps
Lorsqu’elles sont effectuées régulièrement (par exemple une fois par mois), et non pas une fois tous les cinq ans, les mises à jour n’ont pas d’impact sur la continuité des activités et ne la ralentissent pas. « Certaines équipes de développement ont tendance à retarder les mises à jour, et lorsqu’elles se décident enfin à travailler sur l’amélioration du site web, il leur faut plusieurs mois, ce qui peut avoir des répercussions négatives sur l’ensemble de l’entreprise en (sur)chargeant complètement les capacités de l’équipe informatique, » explique M. Cambal.
De même, si votre site web utilise par exemple un langage de programmation obsolète, il peut arriver que le fournisseur cesse soudainement de prendre en charge une plateforme spécifique. Par conséquent, vous rencontrerez des difficultés à trouver des partenaires qui travaillent encore avec certains langages. « Le produit cessera d’exister, et en tant que propriétaire de site web, vous serez brusquement poussé à trouver rapidement une alternative, sans avoir le temps d’analyser vos choix potentiels, » ajoute M. Cambal.
Suivez le principe du moindre privilège En ce qui concerne les mises à jour des applications, considérez-les comme une occasion de redéfinir les règles d’accès. « Toutes les applications ne devraient être autorisées qu’à effectuer les actions dont elles ont réellement besoin. Si une application dispose de trop d’autorisations et qu’un pirate s’y introduit, il peut effectuer n’importe quelle action, comme la suppression de tous les utilisateurs, » explique M. Cambal. |
Créez une liste d’adresses IP pouvant accéder à la page de connexion
Les systèmes open source ont généralement leur interface d’administration accessible sur la même adresse URL que la page d’accueil. Cette sous-page est habituellement facile à deviner, ou elle peut être publiquement connue, comme par exemple /wp-admin pour les sites WordPress. « Les attaquants le savent. Ne pas connaître votre nom d’utilisateur et votre mot de passe est la seule chose qui les empêche de se connecter à votre CMS, » explique M. Cambal. C’est là qu’intervient une autre tactique : l’attaquant peut mener une campagne d’hameçonnage pour obtenir tous les identifiants nécessaires. « L’administrateur système pourrait recevoir un email contenant un lien vers un faux site web lui demandant de saisir ses identifiants. Mais au lieu de les laisser accéder à l’interface d’administration du site web, ils atterrissent dans les mains d’un cybercriminel. De cette façon, la porte de votre site est laissée grande ouverte. » Par conséquent, il est toujours bon de sécuriser vos URL sensibles et d’éviter de les divulguer au grand public. Le moyen le plus simple d’y parvenir est de mettre sur liste blanche uniquement les adresses IP nécessaires.
Tenez compte de la main-d’œuvre sur le marché
Le maintien de votre site web à jour et en bon état de fonctionnement est également profitable et avantageux d’un autre point de vue. La demande en experts informatiques étant élevée, les professionnels choisiront probablement un emploi qui leur permette de travailler avec les toutes dernières technologies. Comme l’explique M. Cambal, « si le site web n’est pas dans le meilleur état possible, ils préféreront choisir un projet plus stimulant n’incluant pas la résolution de problèmes dus à une négligence passée. »
Les moteurs de recherche préfèrent les sites web bien sécurisés et régulièrement mis à jour Un contenu de haute qualité et sûr, c’est ce que préfèrent les moteurs de recherche. Par conséquent, l’une des mises à jour les plus fondamentales consiste à doter votre site web du protocole HTTPS (Hypertext Transfer Protocol Secure). « Vous pouvez aujourd’hui utiliser les services de Let’s Encrypt, une autorité de certification à but non lucratif, pour délivrer gratuitement un certificat valide. L’argument selon lequel les certificats SSL ne sont pas abordables n’est plus valable, » note M. Cambal. |
En somme, les projets, y compris les sites web, ne sont durables que s’ils sont régulièrement mis à jour. Même si l’équipe de développement change, les nouveaux experts ne devraient pas avoir de difficultés à travailler avec les applications et les systèmes existants. Il n’est jamais trop tard pour adopter une politique de mises à jour sérieuse car il s'agit là de l’une des clés de la cyberhygiène des entreprises.