Comment sécuriser son site internet ?

Www Website Site Internet

Vitrine promotionnelle des organisations (entreprises, collectivités, associations…), voire élément clé de leur activité, les sites Internet ou « sites Web » sont des éléments très exposés de leur système d’information. Ils peuvent être la cible de nombreuses attaques comme les défigurations, les dénis de service, ou même le vol des données personnelles ou bancaires des internautes s’étant créé un compte sur le site… Ces attaques peuvent entraîner de graves préjudices pour l’organisation qui en est victime : atteinte à l’image et à la réputation, pertes directes de revenus, etc. Que l’hébergement du site et son administration soient internalisés ou externalisés, il est essentiel de les sécuriser au mieux pour réduire les risques de piratage. Voici 10 bonnes pratiques à adopter ou faire appliquer par son prestataire pour assurer la sécurité de votre site Internet.

1. Sécurisez le serveur hébergeant votre site Internet

Protégez votre serveur en adoptant une stratégie de « défense en profondeur » qui vise à mettre en œuvre plusieurs mesures de protection indépendantes au niveau de l’architecture matérielle et logicielle du serveur et de son infrastructure d’hébergement. Par exemple, mettez en place et installez des équipements de sécurité (pare-feu, serveur mandataire inverse, solution anti-DDoS…) et des solutions logicielles (antivirus, pare-feu applicatif…) pour pouvoir faire face aux principales menaces. Si vous avez recours à un hébergement externalisé, assurez-vous des moyens mis en œuvre par votre prestataire pour protéger votre site.

2. Configurez et sécurisez votre serveur en fonction de votre juste besoin

Configurez et sécurisez votre serveur en fonction des seuls services indispensables à votre activité, en partant du principe que tout ce qui n’a pas besoin d’être autorisé doit être interdit pour éviter les points d’accès inutiles et potentiellement dangereux. Protégez-le également lors de sa configuration en instaurant certaines règles comme le filtrage d’adresses IP ou de requêtes autorisées pour son administration, l’interdiction de certains formats de fichiers à risque si vous n’en avez pas l’utilité, etc. Réduisez au maximum les informations délivrées par les services ainsi que dans le code source de votre site Internet et bloquez la navigation dans vos dossiers afin d’empêcher l’affichage du contenu des répertoires de votre site Internet. Par ailleurs, désactivez et/ou limitez les services et fonctionnalités non utilisés pour réduire les risques inutiles de piratage.

3. Mettez à jour sans tarder les équipements et les logiciels de votre site Internet

Une grande majorité d’attaques de sites Internet est rendue possible par l’exploitation de failles de sécurité par les cybercriminels qui peuvent ainsi prendre le contrôle du système. Ces failles sont pourtant régulièrement corrigées par les éditeurs et constructeurs, mais ces correctifs ne sont pas toujours appliqués en temps utiles. Il est donc indispensable d’effectuer les mises à jour de sécurité des équipements et des logiciels (système d’exploitation, système de gestion de contenu, base de données, modules complémentaires, extensions…) de votre site Internet dès qu’elles sont disponibles. Lorsque c’est possible, configurez vos équipements et vos logiciels pour que les mises à jour se téléchargent et s’installent automatiquement.

4. Utilisez un mot de passe suffisamment long, complexe et différent pour chaque service

Pour réduire les risques de piratage et sécuriser au mieux vos comptes privilégiés, notamment les comptes d’administrateurs de votre site Internet, utilisez des mots de passe suffisamment longs, complexes et suffisamment différents pour chaque service. Imposez également l’utilisation d’un mot de passe solide aux utilisateurs disposant de droits sur le site Internet et veillez à leur renouvellement régulier ou à la moindre suspicion de divulgation. Si possible, activez la double authentification.

5. Réalisez des sauvegardes régulières de votre site (données et configuration)

En cas de panne, de piratage ou de destruction de vos équipements, vous pouvez perdre les données enregistrées sur ces supports. Aussi, effectuez des sauvegardes régulières de votre site web, de sa configuration et de ses bases de données, et testez sa restauration pour vous assurer de son bon fonctionnement. En cas de besoin, vous pourrez ainsi restaurer votre site Internet à une date antérieure à l’incident. Choisissez une solution de sauvegarde adaptée à vos besoins et pensez à déconnecter votre support de sauvegarde après utilisation pour qu’il ne soit pas exposé à une attaque.

6. Sécurisez les communications de votre site Internet à l’aide du protocole HTTPS

Le protocole HTTPS est un protocole de communication Internet qui assure la sécurité des données lors du transfert d’information entre l’ordinateur de l’internaute et le site Internet. Configurez votre serveur pour n’utiliser que le protocole HTTPS et éviter ainsi que des cybercriminels n’interceptent les données qui transitent, comme les données de connexion, les témoins de connexion (cookies), les informations bancaires, etc. À noter que certains navigateurs Internet parmi les plus répandus indiquent désormais à tout internaute si un Internet n’est pas protégé par le protocole HTTPS.

7. Limitez le nombre d’utilisateurs et leurs privilèges

Pour réduire les risques de compromission liée à un piratage de compte, il convient de se conformer au principe de « moindre privilège » en limitant, d’une part, le nombre d’utilisateurs ayant accès aux outils et fonctionnalités d’administration du site Internet et, d’autre part, leurs privilèges et droits d’accès. Définissez des rôles d’utilisateurs et les privilèges qui leurs sont associés pour que chaque utilisateur dispose uniquement des droits d’accès nécessaires à l’accomplissement de ses tâches. Privilégiez des comptes utilisateurs individuels à des comptes génériques ou fonctionnels, en particulier pour les utilisateurs privilégiés (administrateurs), sous peine d’augmenter les risques de compromission en cas de divulgation de leurs mots de passe.

8. Protégez votre nom de domaine

L’adresse d’un site Internet est composée d’un préfixe (ex : www) et d’un nom de domaine unique constitué d’une chaîne de caractères et d’une extension (ex : .fr, .com). Par exemple : « www.monnomdedomaine.fr ». Il est important de protéger le nom de domaine de son site pour éviter qu’il ne soit utilisé pour en faire un usage frauduleux. Enregistrez votre nom de domaine sous forme de marque auprès de l’INPI en complément de sa réservation auprès d’un bureau d’enregistrement. Mettez en place et adoptez une politique de gestion de votre nom de domaine pour le sécuriser. Par ailleurs, d’un point de vue technique, utilisez des solutions comme le verrou de registre (.FR Lock pour un domaine en .fr) et DNSSEC, recommandées par l’AFNIC, pour réduire les risques de piratage. Enfin, il faut savoir qu’un nom de domaine s’enregistre pour une période déterminée (1 à 10 ans). Veillez donc bien à renouveler en temps et en heure cet enregistrement au risque de voir votre nom de domaine libéré et réutilisé par un tiers à des fins malveillantes

9. Soyez vigilant lorsque vous utilisez des extensions pour votre logiciel de gestion de contenu

De nos jours, les systèmes de gestion de contenu (content management system ou CMS en anglais), comme WordPress ou Joomla!, proposent de leur adjoindre des extensions pour ajouter des fonctionnalités. Ces extensions peuvent constituer une brèche dans la sécurité de votre site Internet si elles sont obsolètes, non mises à jour ou insuffisamment sécurisées. Aussi, avant utilisation, vérifiez sa notoriété ainsi que sa date de dernière mise à jour qui, si elle remonte à plusieurs années, indique que l’extension n’est plus maintenue par son développeur. En outre, ne téléchargez vos extensions qu’auprès du site officiel de l’éditeur de votre CMS.

10. Surveillez l’activité de votre site Internet au quotidien

Surveillez régulièrement l’activité de votre site Internet, notamment celle de votre système de gestion de contenu (mise à jour d’articles, connexion au portail d’administration du site Internet, dépôt de fichiers…) pour y détecter une activité inhabituelle et prendre, le cas échéant, les mesures nécessaires à la résolution de l’incident. À noter qu’il existe des extensions qui visent à renforcer la sécurité et surveiller votre site Internet.

Faites auditer régulièrement la sécurité de votre site par des prestataires spécialisés

Afin d’être assuré au mieux que les mesures de sécurité sont bien appliquées et qu’aucune faille de sécurité connue ne pourrait mettre en danger votre site Internet, nous recommandons d’en faire réaliser un audit de sécurité régulièrement par des prestataires spécialisés dans ce type de prestation.

N’hésitez pas à consulter le guide pratique d’un titulaire de nom de domaine édité par l’association française pour le nommage Internet en coopération (AFNIC)

 

Des conseils offerts par le groupement d’intérêt public « action contre la cybermalveillance (GIP ACYMA)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *