Assurer la sécurité d'un site internet
Que l'hébergement d'un site et son administration soient internalisés ou externalisés, il est essentiel de le protéger pour éviter le piratage.
I - Enregistrez le nom de domaine du site
Le nom de votre domaine doit être réservé sous forme de marque auprès de l’Institut national de la propriété industrielle (www.inpi.fr). Au préalable, il s’enregistre auprès d’un bureau d’enregistrement pour une période de un à dix ans à renouveler. Pour réduire les risques de piratage, utilisez par exemple une solution comme le verrouillage du nom de domaine proposé par l’Association française pour le nommage internet en coopération (www.afnic.fr).
II - Protégez le serveur hébergeant le site
Il existe plusieurs mesures de protection indépendantes : antivirus pour détecter et bloquer des programmes malveillants, pare-feu pour limiter les accès au site aux seuls services et machines autorisés, serveur mandataire inverse pour filtrer les sites web consultés, solution contre les attaques DDoS, pare-feu applicatif.
III - Configurez et sécurisez le serveur
Il faut le faire en fonction des seuls services et fonctionnalités indispensables à votre activité pour éviter les points d’accès superflus et potentiellement dangereux. Il convient, par exemple, de filtrer les adresses IP ou les requêtes autorisées d’administration, d’interdire certains formats de fichiers à risque si vous n’en avez pas l’utilité.
IV - Mettez à jour les équipements et logiciels
Les failles de sécurité sont régulièrement corrigées par les éditeurs et constructeurs. Il est indispensable d’effectuer les mises à jour de sécurité des équipements et des logiciels du site (système d’exploitation, système de gestion de contenu, base de données, modules complémentaires, extensions…).
V - Sauvegardez régulièrement
En cas de panne, de piratage ou de destruction de vos équipements, vous pouvez perdre les données enregistrées sur ces supports. Aussi, effectuez des sauvegardes régulières de votre site web, de sa configuration et de ses bases de données, et testez sa restauration pour vous assurer de son bon fonctionnement. Veillez à déconnecter votre support de sauvegarde après utilisation.
VI - Sécurisez les communications du site
Utilisez le protocole HTTPS qui assure le chiffrement des informations entre l’ordinateur de l’internaute et votre site. Objectif : éviter que des cybercriminels n’interceptent les données qui transitent comme les données de connexion, les témoins de connexion (cookies), les informations bancaires, etc.
VII - Limitez les utilisateurs «privilégiés »
Pour réduire les risques liés à un piratage de compte, il convient de restreindre le nombre d’utilisateurs ayant accès aux outils et fonctionnalités d’administration du site ainsi que leurs privilèges et droits d’accès, en définissant bien leurs rôles et périmètre d’action et en privilégiant des comptes utilisateurs individuels (et non génériques) pour éviter les risques de compromission en cas de divulgation de leurs mots de passe.
VIII - Surveillez l’activité du site
Cette tâche doit notamment concerner les connexions et le système de gestion de contenu pour y détecter une activité inhabituelle ou illicite, et pouvoir ainsi prendre à temps les mesures nécessaires pour en limiter les effets.
IX - Attention aux extensions
Les systèmes de gestion de contenu (content management system ou CMS en anglais) proposent de leur adjoindre des extensions (plugins) pour ajouter des fonctionnalités. Avant d’installer une extension, vérifiez sa notoriété ainsi que sa date de dernière mise à jour pour éviter son obsolescence. Ne téléchargez vos extensions qu’auprès du site officiel de l’éditeur de votre CMS et faites leur mise à jour dès qu’elles sont disponibles.