SÉCURISATION DES SITE WEB
1

Sorry, this entry is only available in French. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Comment une médaille et son revers, un site internet est devenu autant essentiel pour toutes entreprises que porteur de risque en tant que vitrine d’entrée de nombreuses attaques informatiques.  Pour les clients d’AfrikAnet comme pour d’autres utilisateurs, la question de sa sécurité s’impose désormais. Elle exige des procédés différents les uns des autres en fonction des moyens techniques et financiers.  

 

 Mettre à jour

Bien que simple, les mises à jour permettent aux logiciels de réparer les failles des versions précédentes qui permettent à des pirates de s’infiltrer : « Beaucoup de sites défacés ou abritant à leur insu des produits illicites le sont parce que le CMS n’est pas à jour », souligne Jérôme Notin. C’est le directeur général decybermalveillance.gouv.fr, plateforme du groupement d’intérêt public ACYMA (pour Actions contre la cybermalveillance), rassemblant acteurs institutionnels et privés contre les cybermenaces.

Jérôme Notin suggère aussi de veiller aux plugins : avant d’en installer, il faut vérifier qu’ils sont mis à jour régulièrement, et limiter leur nombre. Car il y a toujours un risque qu’ils soient mal codés et vulnérables. Il indique également la possibilité de créer une version du site en “préprod”, sur un serveur isolé pour  tester les mises à jour.

 

Sécuriser les accès

Il faut éviter les mots de passe trop génériques ou identiques aux identifiants qui ne changent jamais. Benoît Grunemwald recommande également « une authentification forte avec plusieurs facteurs », comme un mot de passe et un code secret ou un facteur matériel.

Il plaide également pour les gestionnaires de mots de passe, pour sécuriser tous les mots de passe de l’entreprise et gérer facilement les accès. Penser aussi à  « revoir régulièrement les comptes à privilège pour vérifier que leur accès est justifié », ajoute Rachid Hammouda, chef de projet au Boston Consulting Group.

Jérôme Notin encourage aussi à « ne pas rendre publique l’URL d’accès à la console d’authentification, que ce soit pour les utilisateurs ou les administrateurs : il faut le laisser sur le réseau local, et pour les accès à distance passer par un VPN (pour virtual private network)».

 

Ajouter des couches de protection au serveur

Il est indispensable de contrôler les données qui transitent sur le site. C’est le rôle d’un pare-feu, qu’il est possible de paramétrer. Il est aussi indispensable de mettre en place un protocole https. « C’est capital pour les sites marchands », assure Jérôme Notin.

Ce protocole de communication client-serveur est une variante du protocole de communication standard http, sécurisée par l’usage de protocoles de sécurisation TLS qui chiffrent les données, contrairement au http.

Mais il faut « s’assurer que les certificats de sécurité sont à jour et que leur renouvellement est anticipé et planifié », prévient Rachid Hammouda. La CNIL recommande d’ailleurs de mettre en place ce protocole TLS en remplacement de ses versions précédentes, SSL, et de « rendre l’utilisation de TLS obligatoire pour toutes les pages […] sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques ». Ainsi que de «  limiter les ports de communication (qui permettent de distinguer différents interlocuteurs et processus, ndlr) strictement nécessaires au bon fonctionnement des applications installées ».

 

Faire auditer le code et l’infrastructure

Il est pratiquement impossible aux non experts de savoir si l’architecture d’un site est configurée correctement pour résister aux attaques. C’est pourquoi le directeur général de Cybermalveillance conseille de « faire auditer son code et son infrastructure par des professionnels, afin de voir les vulnérabilités, a minima lors du déploiement, et ensuite idéalement dès qu’il y a un changement important dans l’infrastructure ».

 

Contrôler l’activité des serveurs

Cela reste le meilleur moyen de repérer une activité suspecte : connexions à des heures anormales, trop fréquentes au vu du nombre d’autorisations, etc. :« Maintenant, les grands prestataires offrent souvent des services de S.O.C. (ou security operation center, ndlr) externalisés », indique Alexandre Aractingi, directeur associé du Boston Consulting Group.

 

PCN

Source : Le Journal du Net

 

 

Share
Go top