NIS2: Êtes vous dans le champ d'application ?
La nouvelle loi belge sur la cybersécurité entre en vigueur. Consultez-la maintenant.
Les sites Internet des organisations peuvent être la cible de nombreuses attaques, comme le défacement, le déni de service, ou même le vol de données personnelles ou bancaires d’internautes qui ont créé un compte sur le site Internet. Une cyberattaque ciblant le site Internet d’une organisation peut avoir de multiples conséquences sur les activités de celle-ci : interruption des services, pertes financières, vol d’informations, perte de confiance ou de crédibilité, frais de réparation ou même des problèmes avec la justice. Cet article rassemble des conseils pratiques visant à garantir la sécurité d’un site Internet.
Lorsqu'un cybercriminel pirate un site Internet, son objectif principal est d'obtenir un accès non autorisé à sa configuration et à ses données. Ensuite, il utilisera ces mêmes données à des fins malveillantes, ce qui lui permettra de gagner de l’argent. En étant disponible 24 heures sur 24 et 7 jours sur 7, un site Internet constitue une cible de choix pour les cybercriminels. Plusieurs raisons peuvent les pousser à vouloir accéder à un site Internet et en prendre le contrôle :
Tant qu'un site Internet est visité, il constitue une cible de choix pour les cybercriminels
Même si vous pensez que votre site Internet n'a rien d'intéressant pour les cybercriminels, vous vous trompez. Tant que des internautes le consultent, il constitue une cible attrayante.
Les cyberpirates recherchent une ou plusieurs failles de sécurité qui leur permettront d'accéder à l'environnement d'une organisation. Une fois dans cet environnement, leur objectif sera d'obtenir des privilèges d'accès afin de parvenir à gérer un compte administrateur et de pouvoir modifier ce qu'ils veulent pour ainsi contrôler ce que les visiteurs du site Internet voient. En outre, une fois qu’ils disposent d’un compte administrateur, ils disposent de privilèges élevés et sont en mesure d’accéder à d'autres ressources de l'organisation et de lancer d'autres types d'attaques ou de perturbations.
L'une des première choses à faire est de naviguer sur votre propre site Internet comme si vous étiez un utilisateur externe. Si vous constatez des changements suspects, voire une modification complète de la page Internet qui n'a pas été effectuée par votre équipe de marketing ou de développement, c'est une première indication que le site Internet est compromis.
En outre, il est possible d’installer des moyens de détection pour identifier si une intrusion est en cours ou a déjà eu lieu. Surveiller tous les systèmes critiques qui assurent le fonctionnement d'une organisation est essentiel si l’on entend garantir un niveau de protection élevé contre le piratage d'un site Internet. En cas d’intrusion, le responsable informatique et son équipe peuvent être prévenus par des alertes qu'ils auront préalablement mises en place. En outre, il existe plusieurs outils de surveillance de sites Internet qui peuvent aider à détecter les modifications du contenu et d'autres types de changements apportés à un site Internet, par exemple lorsqu’un cyberpirate tente de relier le site à de nouveaux domaines.
Lorsqu'une organisation envisage de mettre en place des outils de surveillance d'un site Internet, elle doit en évaluer les coûts par rapport aux avantages. La plupart du temps, ces outils peuvent surveiller trois aspects : la disponibilité, la vitesse et le contenu. Cependant, il n'existe pas de solution universelle. Le coût global dépendra de l'importance et de la régularité avec lesquelles une organisation souhaite surveiller le contenu de son site Internet. Il sera donc différent pour chaque organisation, en fonction de ses besoins et de ses exigences : si le site Internet représente un élément clé pour mener à bien les opérations quotidiennes ou fournir des services aux clients, il sera préférable d'investir dans des outils de surveillance du site Internet.
Si les outils de surveillance de sites Internet sont un atout considérable, la solution choisie doit être validée par le responsable informatique de l'organisation pour ce qui est de la sécurité et des performances.
Vos collaborateurs ne peuvent pas réagir correctement à des événements suspects s'ils ne sont pas conscients des dangers auxquels ils peuvent être confrontés en utilisant les technologies de l'information et de la communication. Il est important que chaque organisation analyse tous les cyberrisques modernes, évalue comment les atténuer et définisse un ensemble de règles attestant d’une bonne pratique. Cependant, toutes ces mesures sont vouées à l'échec si elles ne sont pas communiquées correctement aux collaborateurs et qu'ils ne les comprennent pas. Il est donc primordial de s'assurer que tout le monde sache comment identifier une attaque de piratage d’un site Internet et connaisse les processus internes pour notifier un incident et y remédier.
Les collaborateurs d'une entreprise forment sa première ligne de défense. Cependant, s’ils sont confrontés à une cyberarnaque, ils ne sont pas en mesure d’adopter les bons réflexes s'ils ne les connaissent pas.
Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.
En utilisant une approche de « défense en profondeur », il est possible de protéger le site Internet en mettant en place des méthodes indépendantes pour sécuriser le logiciel et le matériel du serveur mais aussi l’infrastructure hôte. Parmi ces méthodes citons par exemple un pare-feu, une application pare-feu, un anti-virus, etc. qui, combinées, protègent le serveur contre des cybermenaces répandues (malware, DDoS, etc.). Si le site Internet hôte est externalisé, veillez à ce que le fournisseur mette en place suffisamment de contrôles de sécurité pour assurer sa protection.
Une méthode spécifique de protection à inclure dans l'approche de défense en profondeur consiste à mettre en place un WAF. Ce pare-feu surveille le trafic entrant et sortant d'un réseau afin d’autoriser ou de refuser des communications, en fonction de règles de sécurité prédéfinies. Le WAF agit comme un contrôleur entre le serveur et le client et, en décryptant le trafic, analyse les demandes d'accès au réseau des utilisateurs. Ainsi, s'il détecte une activité suspecte selon ses règles de configuration, il peut générer des alertes et les envoyer au responsable informatique et à son équipe, qui décideront des actions à entreprendre.
Le WAF protège contre les attaques provenant d’Internet. Il ne remplace pas le pare-feu de périmètre, qui bloquera les accès non autorisés et détectera les attaques provenant d'autres points d'entrée.
Seuls les services nécessaires au serveur doivent être configurés, tout le reste doit être interdit pour éviter les points d'accès inutilisés et potentiellement dangereux. Des règles spécifiques peuvent également être mises en place, comme le filtrage des adresses IP ou l'interdiction de certains formats de fichiers. Enfin, tous les services et fonctionnalités inutilisés doivent être désactivés ou limités, afin de réduire le risque de piratage.
Les cybercriminels sont constamment à la recherche de vulnérabilités ; il est dès lors important de maintenir tous les systèmes à jour. Ceci, afin d’en utiliser la dernière version et la plus sécurisée.
Comme pour tous les systèmes d'information et de technologie, les mises à jour des composants du serveur Internet sont cruciales pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les cybercriminels n'ont aucune chance de les exploiter.
Les composants typiques d'un serveur Internet comprennent :
Très peu d'organisations créent elles-mêmes leur site Internet dans son intégralité. Elles font généralement appel à des tiers qui proposent un grand nombre de plugins et de thèmes. Veillez à les maintenir à jour. Les développeurs de ces tierces parties sont constamment à la recherche de nouvelles vulnérabilités ; il est donc crucial d'effectuer les mises à jour pour disposer de la version la moins vulnérable des composants utilisés.
Les données sont l'une des possessions les plus précieuses d'une organisation. C'est pourquoi elles doivent être protégées en conséquence. Il est important de crypter les données au repos (c'est-à-dire lorsqu'elles sont stockées dans la base de données) et de contrôler strictement l'accès à la base de données.
En outre, ces bases de données doivent être sauvegardées pour s'assurer que, même en cas d'incident, toutes les données importantes peuvent être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.
Le protocole HTTPS est utilisé sur Internet pour sécuriser la communication et le transfert de données sur un réseau informatique. Il s'agit de la version sécurisée du protocole HTTP. Tout comme HTTP, HTTPS est utilisé pour envoyer des données entre un navigateur et un serveur Internet. La différence est que HTTPS crypte les données afin d'augmenter la sécurité du transfert. Grâce au cryptage de tous les échanges entre un navigateur et un serveur Internet, le protocole HTTPS garantit qu'aucune personne extérieure ne peut espionner les communications. En fait, même si un cyberpirate parvient à intercepter les données, comme elles sont cryptées, il ne pourra ni les comprendre ni les utiliser.
Comme dit plus haut, si l’on entend sécuriser le système de gestion du contenu, il est primordial de le maintenir à jour ainsi que ses plugins. Les cybercriminels sont toujours à la recherche de nouvelles vulnérabilités à exploiter, mais des correctifs permettent d’y remédier. Il est donc indispensable d'effectuer les mises à jour dès qu'elles sont disponibles.
En outre, un autre moyen de protéger le Content Management System est de ne jamais utiliser la configuration par défaut des comptes et des mots de passe, et de créer votre propre compte d'administrateur avec un mot de passe suffisamment fort et en utilisant en outre l'authentification multifacteurs(MFA). L'authentification multifactorielle exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.
Enfin, un examen régulier de la liste des utilisateurs doit être intégré dans le processus de gestion des accès. Ceci vaut pour tant pour les utilisateurs qui ont accès au CMS que pour les autres utilisateurs au sein de l’organisation. Cette vérification permet à l’organisation de s’assurer qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas être là n'a été ajouté.
La navigation dans les répertoires offre la possibilité aux personnes qui visitent un site Internet d'accéder au contenu du répertoire, c'est-à-dire à l'ensemble des fichiers et des dossiers. La navigation dans les répertoires doit être désactivée afin que les cyberpirates ne puissent pas trouver les données par hasard, en utilisant simplement des moteurs de recherche. En outre, les fichiers ne doivent pas être sauvés dans des emplacements par défaut ou accessibles au public.
Il est très fréquent que les cybercriminels utilisent un compte existant pour accéder aux ressources d'une organisation. Il est ainsi indispensable de gérer correctement le contrôle de l’accès et que celui-ci soit bien ancré au sein de l’organisation. Appliquez le principe de base selon lequel les utilisateurs doivent avoir accès au moins d’informations possible et uniquement à celles dont ils ont besoin dans le cadre de leur travail. Ce doit toujours être le cas et il n’est pas nécessaire de leur donner des droits supplémentaires « au cas où ».
En outre, un processus de provisionnement des accès utilisateur doit être mis en place. Ce processus définit la procédure à suivre pour supprimer ou modifier l'accès accordé à un employé lorsqu'il change de poste ou quitte l'organisation. Aucune organisation n’est à l’abri d’une attaque d’initié, même si les anciens collaborateurs ont toujours été loyaux. Leur sentiment envers l'organisation peut changer s'ils ne sont pas partis de leur plein gré.
Tester un site Internet à la recherche des vulnérabilités les plus courantes est un excellent moyen de déterminer si le site peut être mis en ligne ou non, du point de vue de la sécurité. En identifiant les vulnérabilités restantes, vous serez en mesure d’y remédier sans faire de dégâts et avant qu’un cybercriminel ne les utilise et ne cause de réels dommages. Les experts en sécurité peuvent vous aider en effectuant par exemple des tests et des audits de pénétration pour évaluer le niveau de sécurité du site Internet.
Les utilisateurs ont tendance à choisir des mots de passe faibles, mais plus faciles à retenir. Cependant, un mot de passe facile à retenir est aussi facile à pirater. Il est donc important de n'autoriser que l'utilisation de mots de passe forts, combinant majuscules et minuscules, chiffres et symboles. En outre, utiliser l’authentification multifacteurs ajoute une couche de protection aux comptes.
Il y a plusieurs étapes à suivre lorsqu'on est confronté à un piratage de site Internet :
Dès qu'un changement inhabituel est suspecté sur le site Internet, il doit être signalé immédiatement au responsable informatique de l'organisation afin qu'il puisse prendre les mesures correctives qui s’imposent.
Afin de juguler l'attaque et d’éviter qu’elle ne fasse tache d'huile sur l'ensemble du réseau de l'entreprise, tous les appareils infectés doivent être débranchés d'Internet. Une solution est de retirer le câble Ethernet ou de désactiver directement le Wi-Fi sur les appareils.
Le piratage d'un site Internet est un cybercrime qui doit être signalé à la police. Avant de déposer une plainte, il convient de rassembler plusieurs éléments pour compléter le dossier : des captures d'écran du site Internet attaqué, des captures d'écran de toute activité inhabituelle sur les appareils et les enregistrements des logs du pare-feu et des serveurs.
Le piratage d'un site Internet est puni par la loi et doit être signalé aux autorités pour leur permettre d'enquêter sur les responsables et les empêcher de perpétrer d'autres attaques.
Si possible, tous les appareils infectés doivent être copiés sur un support physique pour faciliter l’enquête.
Cela permet d'évaluer l'ampleur de l'attaque et d'anticiper ce que le pirate pourrait utiliser à l'avenir pour lancer d'autres attaques.
En déterminant exactement comment le cyberpirate a eu accès à une ressource, il est possible de prendre les mesures correctives nécessaires pour s'assurer que cette vulnérabilité ne sera plus utilisée pour d'autres attaques. Ces mesures peuvent par exemple consister en l’installation d’un correctif de sécurité ou en la modification d’un mot de passe compromis.
La plupart des organisations ne développent pas leur site Internet en interne. Lorsqu'un fournisseur externe est impliqué, il doit être contacté et informé de l'incident afin qu'il puisse aussi prendre les mesures nécessaires pour y remédier.
Toutes les organisations ne disposent pas de ressources suffisantes pour remédier efficacement à un cyberincident. Plusieurs spécialistes de la sécurité peuvent être engagés pour vous aider à résoudre l'incident. Ces spécialistes ne peuvent provenir que d'organisations officielles, telles que des sociétés de consultance connues, afin d'éviter d'engager un escroc.
Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité.
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.