5. Configurez et sécurisez le serveur en fonction de vos besoins
Seuls les services nécessaires au serveur doivent être configurés, tout le reste doit être interdit pour éviter les points d'accès inutilisés et potentiellement dangereux. Des règles spécifiques peuvent également être mises en place, comme le filtrage des adresses IP ou l'interdiction de certains formats de fichiers. Enfin, tous les services et fonctionnalités inutilisés doivent être désactivés ou limités, afin de réduire le risque de piratage.
6. Mettez à jour tous les logiciels, systèmes d’exploitation et navigateurs Internet
Les cybercriminels sont constamment à la recherche de vulnérabilités ; il est dès lors important de maintenir tous les systèmes à jour. Ceci, afin d’en utiliser la dernière version et la plus sécurisée.
7. Maintenez à jour tous les composants du serveur Internet
Comme pour tous les systèmes d'information et de technologie, les mises à jour des composants du serveur Internet sont cruciales pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les cybercriminels n'ont aucune chance de les exploiter.
Les composants typiques d'un serveur Internet comprennent :
- Le BIOS/firmware du matériel sur lequel le serveur tourne ;
- Le système d'exploitation du serveur ;
- Le service Internet utilisé (Apache, nginx, IIS, etc.) ;
- Le système de gestion de contenu (Drupal, Joomla, WordPress, etc.) ;
- En option, la couche de virtualisation.
Très peu d'organisations créent elles-mêmes leur site Internet dans son intégralité. Elles font généralement appel à des tiers qui proposent un grand nombre de plugins et de thèmes. Veillez à les maintenir à jour. Les développeurs de ces tierces parties sont constamment à la recherche de nouvelles vulnérabilités ; il est donc crucial d'effectuer les mises à jour pour disposer de la version la moins vulnérable des composants utilisés.
8. Cryptez, sauvegardez et contrôlez l’accès à la base de données
Les données sont l'une des possessions les plus précieuses d'une organisation. C'est pourquoi elles doivent être protégées en conséquence. Il est important de crypter les données au repos (c'est-à-dire lorsqu'elles sont stockées dans la base de données) et de contrôler strictement l'accès à la base de données.
En outre, ces bases de données doivent être sauvegardées pour s'assurer que, même en cas d'incident, toutes les données importantes peuvent être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.
9. Implémentez le protocole HTTPS
Le protocole HTTPS est utilisé sur Internet pour sécuriser la communication et le transfert de données sur un réseau informatique. Il s'agit de la version sécurisée du protocole HTTP. Tout comme HTTP, HTTPS est utilisé pour envoyer des données entre un navigateur et un serveur Internet. La différence est que HTTPS crypte les données afin d'augmenter la sécurité du transfert. Grâce au cryptage de tous les échanges entre un navigateur et un serveur Internet, le protocole HTTPS garantit qu'aucune personne extérieure ne peut espionner les communications. En fait, même si un cyberpirate parvient à intercepter les données, comme elles sont cryptées, il ne pourra ni les comprendre ni les utiliser.
10. Sécurisez l’accès au système de gestion du contenu et gardez-le à jour
Comme dit plus haut, si l’on entend sécuriser le système de gestion du contenu, il est primordial de le maintenir à jour ainsi que ses plugins. Les cybercriminels sont toujours à la recherche de nouvelles vulnérabilités à exploiter, mais des correctifs permettent d’y remédier. Il est donc indispensable d'effectuer les mises à jour dès qu'elles sont disponibles.
En outre, un autre moyen de protéger le Content Management System est de ne jamais utiliser la configuration par défaut des comptes et des mots de passe, et de créer votre propre compte d'administrateur avec un mot de passe suffisamment fort et en utilisant en outre l'authentification multifacteurs(MFA). L'authentification multifactorielle exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.
Enfin, un examen régulier de la liste des utilisateurs doit être intégré dans le processus de gestion des accès. Ceci vaut pour tant pour les utilisateurs qui ont accès au CMS que pour les autres utilisateurs au sein de l’organisation. Cette vérification permet à l’organisation de s’assurer qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas être là n'a été ajouté.
11. Désactivez la navigation dans les répertoires
La navigation dans les répertoires offre la possibilité aux personnes qui visitent un site Internet d'accéder au contenu du répertoire, c'est-à-dire à l'ensemble des fichiers et des dossiers. La navigation dans les répertoires doit être désactivée afin que les cyberpirates ne puissent pas trouver les données par hasard, en utilisant simplement des moteurs de recherche. En outre, les fichiers ne doivent pas être sauvés dans des emplacements par défaut ou accessibles au public.
12. Mettez en place des processus entourant la gestion du contrôle de l’accès et le provisionnement des utilisateurs
Il est très fréquent que les cybercriminels utilisent un compte existant pour accéder aux ressources d'une organisation. Il est ainsi indispensable de gérer correctement le contrôle de l’accès et que celui-ci soit bien ancré au sein de l’organisation. Appliquez le principe de base selon lequel les utilisateurs doivent avoir accès au moins d’informations possible et uniquement à celles dont ils ont besoin dans le cadre de leur travail. Ce doit toujours être le cas et il n’est pas nécessaire de leur donner des droits supplémentaires « au cas où ».
En outre, un processus de provisionnement des accès utilisateur doit être mis en place. Ce processus définit la procédure à suivre pour supprimer ou modifier l'accès accordé à un employé lorsqu'il change de poste ou quitte l'organisation. Aucune organisation n’est à l’abri d’une attaque d’initié, même si les anciens collaborateurs ont toujours été loyaux. Leur sentiment envers l'organisation peut changer s'ils ne sont pas partis de leur plein gré.
13. Auditez le site Internet à la recherche des vulnérabilités les plus courantes
Tester un site Internet à la recherche des vulnérabilités les plus courantes est un excellent moyen de déterminer si le site peut être mis en ligne ou non, du point de vue de la sécurité. En identifiant les vulnérabilités restantes, vous serez en mesure d’y remédier sans faire de dégâts et avant qu’un cybercriminel ne les utilise et ne cause de réels dommages. Les experts en sécurité peuvent vous aider en effectuant par exemple des tests et des audits de pénétration pour évaluer le niveau de sécurité du site Internet.
14. Utilisez des mots de passe forts et l’authentification multifacteurs
Les utilisateurs ont tendance à choisir des mots de passe faibles, mais plus faciles à retenir. Cependant, un mot de passe facile à retenir est aussi facile à pirater. Il est donc important de n'autoriser que l'utilisation de mots de passe forts, combinant majuscules et minuscules, chiffres et symboles. En outre, utiliser l’authentification multifacteurs ajoute une couche de protection aux comptes.