La sécurité — le parent pauvre des sites web

La sécurité est souvent laissée de côté lors de la création ou de la refonte d'un site web. Pourtant, c'est un point essentiel, la négliger serait une erreur, potentiellement lourde en conséquences.

Cet article prend 4 minutes à lire et comporte 967 mots.

Créer un site web par soi-​même est deve­nu un jeu d’en­fant, grâce aux outils tels que WordPress. Assurer sa sécu­ri­té, par contre, n’est pas aus­si simple.

Entre autre, parce que l’ac­ti­va­tion d’un cer­ti­fi­cat SSL, s’il est indis­pen­sable, n’est pas suf­fi­sant pour assu­rer la sécu­ri­té d’un site. Il per­met de sécu­ri­ser les tran­sac­tions entre l’in­ter­naute et le site, mais il ne pro­tège en rien le site lui-​même des attaques, des intru­sions, du pira­tage (hacking), du défa­ce­ment ou du vol de données.

Le risque est-​il si déri­soire, que les entre­prises pré­fèrent inves­tir dans d’autres postes en négli­geant la pro­tec­tion de leur outil (ou d’un de leurs outils) de travail ?

Non, pas vrai­ment. C’est plus par mécon­nais­sance, et parce qu’ils ne se posent pas for­cé­ment les bonnes questions.

La pre­mière, c’est…

Qu’est-​ce que la sécurité pour un site web ?

Sous le terme géné­rique sécu­ri­té, nous trou­vons un ensemble de concepts com­plé­men­taires : la sécu­ri­té des échanges avec les inter­nautes, qui est assu­rée par les cer­ti­fi­cats SSL et le pro­to­cole HTTPS, ou mieux, HSTS, n’est qu’une par­tie de cet ensemble.

La sécu­ri­té com­prend éga­le­ment toutes les pro­cé­dures per­met­tant de contrer les attaques visant à rendre inac­ces­sible votre site ou visant direc­te­ment vos don­nées, que ce soit pour les détruire, les cor­rompre ou les voler.

Vient ensuite…

La sécurité de mon site est-​elle vraiment importante ?

Fermez-​vous à clé votre mai­son ou votre appar­te­ment quand vous par­tez ? Fermez-​vous votre véhi­cule quand vous en sor­tez ? Vos locaux pro­fes­sion­nels sont-​ils fer­més et sécu­ri­sés en votre absence ? Avez-​vous un mot de passe (ou toute autre sys­tème d’i­den­ti­fi­ca­tion) pour acti­ver votre smart­phone ? Votre Wifi d’en­tre­prise (ou per­son­nel) est il pro­té­gé par une clé WEP ou WPA ?

À ces cinq ques­tions, la plu­part d’entre nous répon­dra : “oui, évi­dem­ment !”. Vous ne lais­sez péné­trer per­sonne à votre insu dans votre vie pri­vée, mais vous lais­se­riez la porte grande ouverte à qui vou­drait s’in­tro­duire dans vos sys­tèmes de don­nées en ligne ?

L’utilité d’une pro­tec­tion acquise, la ques­tion sui­vante, c’est…

Comment assurer la protection de mon site ?

Testez votre site

Tout d’a­bord, il est indis­pen­sable d’é­ta­blir un diag­nos­tic. Deux outils en ligne vous y aide­ront, il s’a­git de WebPageTest dans un pre­mier temps, et de Qualys — SSL Labs ensuite.

En fait, vous devriez avoir un score de A+ sur WebPageTest et avec Qualys pour être bien protégé.

Et si votre pres­ta­taire de ser­vice ne voit pas l’im­por­tance d’une sécu­ri­té ren­for­cée, ou ne par­vient pas à vous obte­nir un A+, chan­gez sans tar­der de pres­ta­taire.

Voici les résul­tats de ce site :

Résultats WebPageTest - Sécurité
Résultats WebPageTest — Sécurité

Nota : la lettre B est elle aus­si en vert chez WebPageTest, mais pour la sécu­ri­té, visez le A+. Le A est un pis-​aller, le B n’est pas une option envisageable.

Résultats Qualys - SSL Labs
Résultats Qualys — SSL Labs

Établissez un plan d’action

En fonc­tion de votre score et des points mar­qués en rouge ou en orange, vous allez pou­voir déter­mi­ner les actions à mener. 

Les ques­tions sui­vantes vous per­met­tront de le faire de manière exhaustive :

  • Quelles sont les failles de sécu­ri­té éven­tuelles sur mon site ? Si vous avez un ou plu­sieurs points en rouge au test Qualys, il vous fau­dra les trai­ter en prio­ri­té, sans tar­der.
  • Ai-​je la pos­si­bi­li­té de modi­fier les élé­ments à risque direc­te­ment ou via mon héber­geur ? Si ce n’est pas pos­sible, chan­gez d’hé­ber­geur, sécu­ri­ser son site vaut la perte de quelques dizaines d’euros.
  • Ai-​je les com­pé­tences néces­saires pour effec­tuer ces modi­fi­ca­tions sans tout cas­ser ? Si ce n’est pas le cas, tour­nez vous vers un pres­ta­taire sérieux, qui a fait ses preuves (si son propre site n’ob­tient pas les scores de A en sécu­ri­té aux deux tests, chan­gez de crèmerie).

Si vous déci­dez de pas­ser par un pres­ta­taire de ser­vices, véri­fiez son offre : la sécu­ri­té ne doit pas se limi­ter à l’é­mis­sion d’un cer­ti­fi­cat SSL et à la mise à jour de WordPress, de ses exten­sions et thèmes, à une exten­sion dite de sécu­ri­té (même si elle est indis­pen­sable), ou uni­que­ment a pos­te­rio­ri pour res­tau­rer après une attaque, elle doit être pro-​active.

Attention ! Ne confon­dez pas la sau­ve­garde, utile pour remettre un site en ligne après une attaque, et la ges­tion de la sécurité. 

Les don­nées volées par exemple lors d’une attaque sont défi­ni­ti­ve­ment volées, avoir une sau­ve­garde ne chan­ge­ra pas la donne, vous aurez à vous en expli­quer, auprès de la CNIL, et auprès de vos clients ou abonnés.

S’il y a eu défaillance de votre part, vous ris­quez des sanc­tions, tant de la CNIL que de vos clients que vous ferez fuir. Et même si vous n’êtes pas le res­pon­sable direct, parce que vous avez confié votre sécu­ri­té à un incom­pé­tent, vous serez quand même tenu pour res­pon­sable. Votre entre­prise, votre ges­tion du risque.

Et ensuite ?

Surtout, ne croyez pas que parce que vous avez sécu­ri­sé votre site contre les attaques exté­rieures et au niveau des échanges site /​ inter­nautes, vous n’a­vez plus rien à faire.

La tech­no­lo­gie évo­lue, les hackers tirent par­ti des tech­no­lo­gies vieillis­santes pour exploi­ter des failles connues et en découvrent de nou­velles chaque jour.

Il vous faut donc vous tenir à jour, ins­tal­ler les mises à jour de WordPress, de ses exten­sions et de ses thèmes.

Si votre héber­ge­ment est mutua­li­sé, votre héber­geur doit mettre à jour sa pla­te­forme et la pat­cher régu­liè­re­ment. Si vous gérez aus­si la par­tie ser­veur, c’est à vous de vous en occuper.

Mon site est sécurisé, je ne cours donc aucun risque !?

Pas vrai­ment. Rappelez vous : la per­fec­tion n’est pas de ce monde. Le risque zéro n’existe pas. Mais on peut s’en rapprocher.

Et si vous avez mis en place une vraie poli­tique de sécu­ri­té, et que mal­heu­reu­se­ment, vous subis­sez une attaque, les consé­quences (clien­tèle, légales et finan­cières) ne seront pas les mêmes.

Personne ne vous en vou­dra d’a­voir subi une attaque. On vous en vou­dra par contre de ne pas avoir anticipé.

Maintenant, c’est à vous, pre­nez les mesures qui s’im­posent pour conti­nuer votre acti­vi­té en toute sérénité.

Retour en haut
Les cookies que nous utilisons sont indispensables au bon fonctionnement de ce site. Il n'y a aucun pistage publicitaire et les données statistiques recueillies sont anonymisées.
J'ai compris