Comment sécuriser son site Internet ?

Publié le 8 février 2022 - Modifié le 27 avril 2022

Les sites Internet sont importants dans un système d’information. Ils peuvent être la cible de multiples attaques, de différentes natures. Aussi, il est nécessaire de sécuriser au maximum ses sites internet afin de bloquer ou de réduire les impacts liés à ces attaques. Pourquoi et comment bien sécuriser son site internet ? Toutes les réponses à vos questions dans cet article.

Pourquoi sécuriser son site Internet ?

Un site Internet, ou « site Web », est par définition un composant très exposé dans un système d’information. Il représente souvent la vitrine d’une entreprise et peut, dans certains cas, en être l’unique source de revenu. Les sites web peuvent contenir des données importantes (personnelles, professionnelles et confidentielles).
Vous avez un projet de sécurisation de site web ?

Contactez-nous
Ils sont, à ce titre, la cible de cyberattaques qui ne cessent de progresser ces dernières années.  Les cyberattaques peuvent être automatisées, lancées par des robots qui visent des milliers de sites en même temps, ou bien plus élaborées, pour cibler un site en particulier. Les impacts pour l’entreprise sont nombreux : les attaques peuvent affecter la visibilité de leur(s) site(s) internet, en le(s) rendant indisponible(s) (attaque par déni de service ou attaque DDoS), ou en modifiant son apparence (attaque par défiguration). Les attaques peuvent aussi être plus discrètes, tout en restant préjudiciables pour l’entreprise : leur auteur peut prendre le contrôle du site pour en exploiter les ressources, afin d’héberger du contenu illicite, envoyer des campagnes de SPAMs, dérober des informations stockées sur le site ou corrompre les téléphones/ordinateurs des internautes affichant les pages corrompues.
Sécuriser son site internet des cyber attaques
Sécuriser son site internet des cyber attaques
Tous ces préjudices peuvent nuire à l’entreprise en termes d’image et de réputation bien entendu mais aussi avec des impacts financiers conséquents. C’est pourquoi, sécuriser son site Internet est indispensable pour assurer la pérennité de l’entreprise.

Bien choisir son agence web et son hébergeur

Concevoir et développer un site Internet fiable est devenu une opération complexe, avec des mises à jour régulières à réaliser. Ainsi, le choix de l’agence web qui sera chargée de la conception et de la maintenance du site Internet est d’une grande importance. Il faut s’assurer que la prestation proposée soit en accord avec le besoin. Une prestation bon marché, mais de piètre qualité, générera très certainement une perte de temps et de ressources, voire des problèmes complexes à traiter ultérieurement. Il est donc nécessaire de vérifier les compétences des interlocuteurs mais aussi leur connaissance de votre secteur d’activité. Enfin, il est intéressant de vérifier que la proposition contient une offre de TMA (Tierce Maintenance Applicative) : maintenir les différentes briques du site à jour est primordial pour éviter les attaques les plus fréquentes.

hébergement infogéré Iso 27001
hébergement infogéré Iso 27001

Outre le choix de l’agence Web qui va développer le site, une attention particulière devra être portée sur le choix d’un hébergeur de confiance. Un hébergeur certifié ISO 27001 offre une garantie quant à ses bonnes pratiques en matière de sécurité. De même, pour renforcer la confiance de ses clients, il est important d’opter pour un hébergement des données personnelles en France, conforme au RGPD (Règlement Général sur la Protection des Données).

Enfin, une réflexion est à mener concernant l’offre d’hébergement en elle-même. Si une offre mutualisée dispose d’un intérêt évident sur le plan financier, elle comporte toutefois plusieurs limites : les ressources sont partagées avec d’autres utilisateurs, pouvant provoquer des ralentissements temporaires des sites internet et il n’y a pas de personnalisation possible des outils disponibles. À l’inverse, un serveur dédié, virtuel ou physique, permet de disposer de toutes les ressources matérielles adaptées et de les personnaliser afin d’apporter la meilleure expérience utilisateur.

5 conseils d’expert pour bien sécuriser son site web 

  1. Des composants éprouvés et à jour

    Un site internet est composé de plusieurs « briques » (framework, CMS et plugins, etc.). Il est primordial de maintenir chacune de ces briques à jour. L’actualité récente a encore montré que la moindre faille logicielle peut être mise à partie par les cyber-malfaiteurs pour prendre le contrôle de sites distants.

    De la même manière, il est important de s’assurer de la fiabilité des composants installés. Cela est particulièrement vrai pour les plugins des CMS (Content Management System : système de gestion de contenu) : ces derniers sont nombreux mais pas toujours maintenus. Aussi, avant d’installer un nouveau plugin, il faut contrôler qu’il est toujours à jour et ne le récupérer qu’auprès du site officiel de l’éditeur de votre CMS.

  2. Des flux chiffrés

    Un certificat SSL (Secure Socket Layer : protocole de communication sécurisé) renforce considérablement la sécurité de votre site Internet en permettant le chiffrement des données entre l’internaute et le serveur hébergeant le site. Les navigateurs, en vérifiant la validité des certificats SSL utilisés, permettent aux utilisateurs de naviguer dans un climat de confiance. Si les certificats gratuits Let’s Encrypt sont tout à fait appropriés pour un simple site vitrine, nous recommandons l’utilisation de certificats assortis d’une assurance, comme ceux fournis par Sectigo, lorsque les flux de données contiennent des données personnelles ou des transactions financières.
     

  3. Des autorisations d’accès limitées et fiables

    De manière générale, les bonnes pratiques consistent à donner le moins de droits possibles au moins de monde possible. Les mots de passe « Administrateur » ne devraient être connus que d’un nombre très restreint de personnes et les comptes utilisés au quotidien ne doivent disposer que des droits strictement nécessaires.

    Bien entendu, tous les mots de passe doivent être efficaces. Certains mots de passe restent trop faibles et peuvent être piratés rapidement par des robots qui prennent alors le contrôle du compte correspondant. Assurez-vous que votre mot de passe soit long et complexe (alternance de lettres en minuscules et majuscules, chiffres, caractères spéciaux, ne pas utiliser de dates de naissance…). 

    Enfin, la mise en place de filtrage IP est recommandée. Les pages d’administration d’un site Web n’ont pas besoin d’être accessibles depuis tout Internet. Un filtrage permet à ces interfaces d’être accessibles uniquement depuis une liste blanche d’adresses IP (numéro d'identification de chaque appareil connecté à un réseau)  connues, ou depuis un VPN (Virtual Private Network : type de réseau informatique qui permet la création de liens directs entre des ordinateurs distants).
     
  4. Du monitoring

    Au-delà de la mise en place des mesures préventives, la sécurité passe aussi par une surveillance informatique proactive (ou monitoring). La mise en place de sondes Evertest peut être une solution pour s’assurer de la disponibilité d’un site Web, mais aussi, de manière plus globale, de son bon fonctionnement. Si l’incident de sécurité ne peut être évité, détecter rapidement son apparition permet de limiter son impact.
     
  5. Des sauvegardes régulières

    Pour finir, en dépit des mesures de précautions prises, un sinistre peut toujours se produire. C’est pourquoi il est impératif de disposer de sauvegardes. Les bonnes pratiques recommandent également de répliquer ces sauvegardes sur un site distant. Des incendies récents de datacenters ont illustré le côté indispensable de ces mesures de précaution. Rapprochez-vous de votre hébergeur pour connaître les solutions qu’il peut vous proposer.

    Une fois toutes ces actions mises en place, la vraisemblance de voir se produire un incident de sécurité sera fortement réduite et la possibilité de les détecter rapidement et d’y remédier sera améliorée. Tout cela est possible grâce à une bonne collaboration entre le client, le développeur du site et l’hébergeur.

    D’autres mesures de sécurisation sont envisageables, citons notamment l’utilisation d’un environnement de préproduction pour valider les mises à jour, la mise en place d’une architecture N-tiers pour isoler les différents composants, l’installation de serveurs mandataires capables d’apporter des protections supplémentaires en frontal, etc.