Cybermois 2024 : Comment sécuriser son site Internet ?
Découvrez 10 bonnes pratiques à adopter ou faire appliquer par votre prestataire pour assurer la sécurité de votre site Internet.
Vitrine promotionnelle des organisations (entreprises, collectivités, associations…), voire élément clé de leur activité, les sites Internet ou « sites Web » sont des éléments très exposés de leur système d’information. Ils peuvent être la cible de nombreuses attaques comme les défigurations, les dénis de service, ou même le vol des données personnelles ou bancaires des internautes s’étant créé un compte sur le site… Ces attaques peuvent entraîner de graves préjudices pour l’organisation qui en est victime : atteinte à l’image et à la réputation, pertes directes de revenus, etc. Que l’hébergement du site et son administration soient internalisés ou externalisés, il est essentiel de les sécuriser au mieux pour réduire les risques de piratage. Voici 10 bonnes pratiques à mettre en œuvre pour assurer la sécurité de votre site Internet.
1. Sécurisez le serveur hébergeant votre site Internet
Protégez votre serveur en adoptant une stratégie de « défense en profondeur » qui vise à mettre en œuvre plusieurs mesures de protection indépendantes au niveau de l’architecture matérielle et logicielle du serveur et de son infrastructure d’hébergement. Par exemple, mettez en place et installez des équipements de sécurité (pare-feu, serveur mandataire inverse, solution anti-DDoS…) et des solutions logicielles (antivirus, pare-feu applicatif…) pour pouvoir faire face aux principales menaces. Si vous avez recours à un hébergement externalisé, assurez-vous des moyens mis en œuvre par votre prestataire pour protéger votre site.
2. Configurez et sécurisez votre serveur en fonction de votre juste besoin
Configurez et sécurisez votre serveur en fonction des seuls services indispensables à votre activité, en partant du principe que tout ce qui n’a pas besoin d’être autorisé doit être interdit pour éviter les points d’accès inutiles et potentiellement dangereux. Protégez-le également lors de sa configuration en instaurant certaines règles comme le filtrage d’adresses IP ou de requêtes autorisées pour son administration, l’interdiction de certains formats de fichiers à risque si vous n’en avez pas l’utilité, etc. Réduisez au maximum les informations délivrées par les services ainsi que dans le code source de votre site Internet et bloquez la navigation dans vos dossiers afin d’empêcher l’affichage du contenu des répertoires de votre site Internet. Par ailleurs, désactivez et/ou limitez les services et fonctionnalités non utilisés pour réduire les risques inutiles de piratage.
3. Mettez à jour sans tarder les équipements et les logiciels de votre site Internet
Une grande majorité d’attaques de sites Internet est rendue possible par l’exploitation de failles de sécurité par les cybercriminels qui peuvent ainsi prendre le contrôle du système. Ces failles sont pourtant régulièrement corrigées par les éditeurs et constructeurs, mais ces correctifs ne sont pas toujours appliqués en temps utiles. Il est donc indispensable d’effectuer les mises à jour de sécurité des équipements et des logiciels (système d’exploitation, système de gestion de contenu, base de données, modules complémentaires, extensions…) de votre site Internet dès qu’elles sont disponibles. Lorsque c’est possible, configurez vos équipements et vos logiciels pour que les mises à jour se téléchargent et s’installent automatiquement.
4. Utilisez un mot de passe suffisamment long, complexe et différent pour chaque service
Pour réduire les risques de piratage et sécuriser au mieux vos comptes privilégiés, notamment les comptes d’administrateurs de votre site Internet, utilisez des mots de passe suffisamment longs, complexes et suffisamment différents pour chaque service. Imposez également l’utilisation d’un mot de passe solide aux utilisateurs disposant de droits sur le site Internet et veillez à leur renouvellement régulier ou à la moindre suspicion de divulgation. Si possible, activez la double authentification.
5. Réalisez des sauvegardes régulières de votre site (données et configuration)
En cas de panne, de piratage ou de destruction de vos équipements, vous pouvez perdre les données enregistrées sur ces supports. Aussi, effectuez des sauvegardes régulières de votre site web, de sa configuration et de ses bases de données, et testez sa restauration pour vous assurer de son bon fonctionnement. En cas de besoin, vous pourrez ainsi restaurer votre site Internet à une date antérieure à l’incident. Choisissez une solution de sauvegarde adaptée à vos besoins et pensez à déconnecter votre support de sauvegarde après utilisation pour qu’il ne soit pas exposé à une attaque.
6. Sécurisez les communications de votre site Internet à l’aide du protocole HTTPS
Le protocole HTTPS est un protocole de communication Internet qui assure la sécurité des données lors du transfert d’information entre l’ordinateur de l’internaute et le site Internet. Configurez votre serveur pour n’utiliser que le protocole HTTPS et éviter ainsi que des cybercriminels n’interceptent les données qui transitent, comme les données de connexion, les témoins de connexion (cookies), les informations bancaires, etc. À noter que certains navigateurs Internet parmi les plus répandus indiquent désormais à tout internaute si un Internet n’est pas protégé par le protocole HTTPS.
7. Limitez le nombre d’utilisateurs et leurs privilèges
Pour réduire les risques de compromission liée à un piratage de compte, il convient de se conformer au principe de « moindre privilège » en limitant, d’une part, le nombre d’utilisateurs ayant accès aux outils et fonctionnalités d’administration du site Internet et, d’autre part, leurs privilèges et droits d’accès. Définissez des rôles d’utilisateurs et les privilèges qui leurs sont associés pour que chaque utilisateur dispose uniquement des droits d’accès nécessaires à l’accomplissement de ses tâches. Privilégiez des comptes utilisateurs individuels à des comptes génériques ou fonctionnels, en particulier pour les utilisateurs privilégiés (administrateurs), sous peine d’augmenter les risques de compromission en cas de divulgation de leurs mots de passe.
8. Protégez votre nom de domaine
L’adresse d’un site Internet est composée d’un préfixe (ex : www) et d’un nom de domaine unique constitué d’une chaîne de caractères et d’une extension (ex : .fr, .com). Par exemple : « www.monnomdedomaine.fr ». Il est important de protéger le nom de domaine de son site pour éviter qu’il ne soit utilisé pour en faire un usage frauduleux. Enregistrez votre nom de domaine sous forme de marque auprès de l’INPI en complément de sa réservation auprès d’un bureau d’enregistrement. Mettez en place et adoptez une politique de gestion de votre nom de domaine pour le sécuriser. Par ailleurs, d’un point de vue technique, utilisez des solutions comme le verrou de registre (.FR Lock pour un domaine en .fr) et DNSSEC, recommandées par l’AFNIC, pour réduire les risques de piratage. Enfin, il faut savoir qu’un nom de domaine s’enregistre pour une période déterminée (1 à 10 ans). Veillez donc bien à renouveler en temps et en heure cet enregistrement au risque de voir votre nom de domaine libéré et réutilisé par un tiers à des fins malveillantes
9. Soyez vigilant lorsque vous utilisez des extensions pour votre logiciel de gestion de contenu
De nos jours, les systèmes de gestion de contenu (content management system ou CMS en anglais), comme WordPress ou Joomla!, proposent de leur adjoindre des extensions pour ajouter des fonctionnalités. Ces extensions peuvent constituer une brèche dans la sécurité de votre site Internet si elles sont obsolètes, non mises à jour ou insuffisamment sécurisées. Aussi, avant utilisation, vérifiez sa notoriété ainsi que sa date de dernière mise à jour qui, si elle remonte à plusieurs années, indique que l’extension n’est plus maintenue par son développeur. En outre, ne téléchargez vos extensions qu’auprès du site officiel de l’éditeur de votre CMS.
10. Surveillez l’activité de votre site Internet au quotidien
Surveillez régulièrement l’activité de votre site Internet, notamment celle de votre système de gestion de contenu (mise à jour d’articles, connexion au portail d’administration du site Internet, dépôt de fichiers…) pour y détecter une activité inhabituelle et prendre, le cas échéant, les mesures nécessaires à la résolution de l’incident. À noter qu’il existe des extensions qui visent à renforcer la sécurité et surveiller votre site Internet.
Pour aller plus loin : Par l’ANSSI : Recommandations pour la sécurisation des sites web | Par l’AFNIC : Guide pratique du titulaire d’un nom de domaine .FR
Sources : © Cybermalveillance.Gouv 2024 – Retrouvez d’autres d’actualités sur le blog de l’Atwo Conseil !