L’omniprésence du web dans la communication et le business des entreprises induit de nouveaux dangers qu’il faut gérer. Ce domaine étant avant tout une question de techniciens et de spécialistes, il peut paraître effrayant, abstrait, voire lointain. Il est important de ne pas avoir vis-à-vis de la sécurité de son site web la même approche que certains ont avec leur antivirus : en prendre un au hasard ou même ne pas en prendre du tout. Ici, nous vous parlerons donc de site web et de cybersécurité.
CYBERSECURITE DE VOTRE SITE WEB : MYTHES ET REALITES
Mon site (ou ma société) n’est pas assez connu pour être une cible intéressante
Au contraire, les « petits » sont souvent moins bien protégés et donc des cibles faciles. Ils peuvent ensuite servir au pirate pour attaquer un autre serveur.
Je n’ai jamais été attaqué(e)
La vérité c’est que la quasi-totalité des sites web subissent des attaques. Certes, la plupart n’aboutissent pas mais il ne faut pas s’imaginer que le pirate va forcément laisser un petit mot pour se signaler. Autrement dit, si jamais un pirate arrive à récupérer le contenu de la base de données, aucun signe extérieur ne vous permettra de le deviner.
Mon site a été créé par des professionnels, il est donc sécurisé
Malheureusement, ce n’est pas toujours vrai. Tous les professionnels ne sont pas sensibilisés à la sécurité et tout le monde commet des erreurs. D’une façon générale, des tests poussés en sécurité prennent du temps, s’ils n’apparaissent pas en toutes lettres dans le détail de la facture, mieux vaut considérer qu’ils n’ont pas été faits.
J’ai fait tester la sécurité de mon site, il est donc sûr
Oui, au moment du test. Le site évolue ensuite, les techniques de piratage également. On peut comparer un test de sécurité web au contrôle régulier des extincteurs : il faut vérifier périodiquement …
J’ai fait mettre un firewall (parefeu) sur le serveur
Le rôle du pare-feu est de ne laisser passer que les communications avec votre site web. En d’autres termes, tout utilisateur interagissant avec votre site web ne sera pas bloqué par votre pare-feu. Il existe certes des pare-feu applicatifs qui ont pour rôle de surveiller le contenu des échanges entre le visiteur et le site mais ils sont plus rares et ne garantissent pas à eux seuls une sécurité totale.
Le site est en SSL (connexion sécurisée)
Le SSL garantit uniquement que tout échange d’informations entre le serveur et le visiteur de votre site n’est ni lisible ni modifiable par un pirate qui aurait réussi à intercepter la communication. Si le visiteur est le pirate, le SSL ne protégera pas votre site.
QUELS RISQUES POUR VOTRE SITE WEB ?
Le tableau de chasse
Le pirate place un fichier qui prouve qu’il a piraté le site et indique sa « prise » sur un site qui référence les exploits de son groupe. Même s’il n’était pas mal intentionné, ce dernier attire alors l’attention sur le site piraté, indiquant au monde entier, qu’il existe une vulnérabilité qui peut être exploitée.
La backdoor (porte dérobée)
Ce cas est plus grave car le pirate laisse sur le serveur des fichiers, en apparence anodins, qui lui permettront de revenir et de faire absolument tout ce qu’il veut sur le serveur. Il va attendre suffisamment de temps pour se faire oublier et pour que ses fichiers soient intégrés à d’éventuelles sauvegardes. Le pire est donc à venir et le nettoyage du site peut s’avérer complexe.
Le détournement du site
Il peut s’agir ici d’une page cachée utilisée pour du phishing, de liens vers un site qui rapportera de l’argent au pirate ou d’une simple modification du site pour montrer son passage. L’image du site et de l’entreprise est directement impactée si le détournement est visible. S’il n’est pas directement visible, le site peut finir par être coupé suite à des plaintes.
L’arrêt du site
Le site est en panne (partiellement ou totalement). Il s’en suit une perte de fréquentation, une mauvaise image, voire une perte directe de chiffre d’affaire si le site est au cœur de votre activité.
Le vol de données
Le pirate trouve une faille et l’utilise pour voler des données. Il peut s’agir des mots de passe administrateurs, du savoir-faire de l’entreprise ou de la base clients. Dans ce cas, la responsabilité pénale du dirigeant de l’entreprise peut même être recherchée. Des clients dont les données ont été volées ne feront plus affaire avec l’entreprise qui a été piratée et peuvent envisager une action en justice contre celle-ci.
COMMENT PROTEGER VOTRE SITE WEB AVEC LA CYBERSECURITE ?
- Il faut former vos équipes : celles qui développent et celles qui gèrent le site
- Utilisez des modules de sécurité lorsqu’ils sont disponibles
- Configurations et mises à jour sont essentielles
- Ne négligez pas l’administration du serveur
- Il faut se préparer au pire (plan de reprise, sauvegardes, …)
- Il faut faire auditer régulièrement la sécurité de son site web
QUE FAIRE APRES LE PIRATAGE DE VOTRE SITE WEB ?
- Contactez sans attendre votre assurance si vous avez souscrit un contrat cybersécurité
- Remettre en marche un site piraté est une opération complexe
- Portez plainte contre les pirates
- Si la base client est volée, vous devez agir et prévenir la CNIL
TELECHARGEZ NOTRE LIVRE BLANC POUR AVOIR TOUTES LES INFORMATIONS SUR LA SECURITE DE VOTRE SITE WEB
Livre Blanc – Site Web et Cybersécurité – Entreloups