Les sites Internet sont une vitrine importante pour les organisations. Les clients (potentiels) peuvent y accéder et prendre connaissance, à tout moment, des services qu’une entreprise propose et des informations la concernant. Étant donné le nombre de visiteurs qu’ils peuvent drainer, les sites Internet sont devenus une cible de choix pour les cybercriminels. Ils peuvent utiliser les sites Internet à de nombreuses fins malveillantes, comme accéder à des données sensibles, utiliser sa portée pour mener des activités criminelles, publier des contenus illégaux ou mener une attaque par phishing, défacement ou denial of services. Les conséquences peuvent être désastreuses pour une entreprise en termes de réputation et de pertes financières.
En utilisant une approche de « défense en profondeur », il est possible de protéger le site Internet en mettant en place des méthodes indépendantes pour sécuriser le logiciel et le matériel du serveur mais aussi l’infrastructure hôte. Parmi ces méthodes citons par exemple un pare-feu, une application pare-feu, un anti-virus, etc. qui, combinées, protègent le serveur contre des cybermenaces répandues (malware, DDoS, etc.). Si le site Internet hôte est externalisé, veillez à ce que le fournisseur mette en place suffisamment de contrôles de sécurité pour assurer sa protection.
Une méthode spécifique de protection à inclure dans l'approche de défense en profondeur consiste à mettre en place un WAF. Ce pare-feu protège le serveur d'applications Internet contre diverses attaques comme le phishing, les ransomwares, les logiciels malveillants et les attaques DDoS (« Distributed Denial of Service ») en surveillant le trafic réseau entrant et sortant et en autorisant ou refusant les communications sur la base de règles de sécurité définies.
Le WAF agit comme un contrôleur entre le serveur et le client et, en décryptant le trafic, analyse les demandes d'accès au réseau des utilisateurs. Ainsi, s'il détecte une activité suspecte selon ses règles de configuration, il peut générer des alertes et les envoyer au responsable informatique de l'organisation et à son équipe afin qu'ils puissent décider des actions à entreprendre.
Le Web Application Firewall protège contre les attaques provenant d’Internet. Il ne remplace pas le pare-feu de périmètre, qui bloquera les accès non autorisés et détectera les attaques provenant d'autres points d'entrée.
Seuls les services nécessaires au serveur doivent être configurés, tout le reste doit être interdit pour éviter les points d'accès inutilisés et potentiellement dangereux. Des règles spécifiques peuvent également être mises en place, comme le filtrage des adresses IP ou l'interdiction de certains formats de fichiers. Enfin, tous les services et fonctionnalités inutilisés doivent être désactivés ou limités, afin de réduire le risque de piratage.
Comme pour tous les systèmes d'information et de technologie, les mises à jour des composants du serveur Internet sont cruciales pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les cybercriminels n'ont aucune chance de les exploiter.
Les composants typiques d'un serveur Internet comprennent :
Très peu d'entreprises créent elles-mêmes leur site Internet dans son intégralité. Elles font généralement appel à des tiers qui proposent un grand nombre de plugins et de thèmes. Veillez à les maintenir à jour. Les développeurs de ces tierces parties sont constamment à la recherche de nouvelles vulnérabilités ; il est donc crucial d'effectuer les mises à jour pour disposer de la version la moins vulnérable des composants utilisés.
L'une des mesures importantes à prendre pour sécuriser le système de gestion du contenu est de le maintenir à jour, tout comme ses plugins. Les cybercriminels sont toujours à la recherche de nouvelles vulnérabilités à exploiter, mais les fournisseurs développent des correctifs de sécurité à installer grâce aux mises à jour afin de remédier à ces vulnérabilités. Il est donc indispensable d'effectuer les mises à jour dès qu'elles sont disponibles.
En outre, un autre moyen de protéger le CMS est de ne jamais utiliser la configuration par défaut des comptes et des mots de passe, et de créer votre propre compte d'administrateur avec un mot de passe suffisamment fort et en utilisant en outre l'authentification multifacteurs (MFA).
L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.
En outre, il convient d’installer des plugins de sécurité et de les activer sur le système de gestion de contenu. Ces plugins empêchent les attaques par force brute (c'est-à-dire qu'un cyberpirate entre de nombreux mots de passe ou phrases de passe en espérant tomber sur la bonne combinaison et accéder aux comptes des utilisateurs) et les attaques Internet courantes.
Enfin, un examen régulier de la liste des utilisateurs doit être intégré dans le processus de gestion des accès. Vérifiez régulièrement les personnes disposant de droits d'édition ou d'administration sur votre site Internet et désactivez tous les comptes qui ne sont plus utilisés ou pertinents.
La vérification de la liste des utilisateurs s'applique non seulement aux utilisateurs ayant accès au système de gestion de contenu, mais aussi à tous les utilisateurs d'une organisation en général. Cette vérification permettra de s’assurer qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas être là n'a été ajouté.
Le protocole HTTPS est utilisé sur Internet pour sécuriser la communication et le transfert de données sur un réseau informatique. Il s'agit de la version sécurisée du protocole HTTP. Tout comme HTTP, HTTPS est utilisé pour envoyer des données entre un navigateur et un serveur Internet. La différence est que HTTPS crypte les données afin d'augmenter la sécurité du transfert. Grâce au cryptage de tous les échanges entre un navigateur et un serveur Internet, le protocole HTTPS garantit qu'aucune personne extérieure ne peut espionner les communications. En fait, même si un cyberpirate parvient à intercepter les données, comme elles sont cryptées, il ne pourra ni les comprendre ni les utiliser.
Les données sont l'une des possessions les plus précieuses d'une organisation. C'est pourquoi elles doivent être protégées en conséquence. Il est important de crypter les données au repos (c'est-à-dire lorsqu'elles sont stockées dans la base de données) et de contrôler strictement l'accès à la base de données.
En outre, ces bases de données doivent être sauvegardées pour s'assurer que, même en cas d'incident, toutes les données importantes peuvent être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.
Outre les bases de données, veillez à sauvegarder également le site Internet et sa configuration. Ces copies de sauvegarde doivent aussi être testées pour vérifier si elles seront utilisables si nécessaire.
Les cybercriminels utilisent très souvent un compte existant pour accéder aux ressources d'une entreprise. Il est ainsi indispensable qu'une organisation dispose d’un processus de gestion du contrôle de l’accès bien ancré et implémenté. Il est important d'appliquer les principes de base du moindre privilège et du besoin de savoir : un utilisateur doit uniquement disposer des accès dont il a besoin pour effectuer son travail, rien de plus.
En outre, il convient de mettre en place un processus de provisionnement des accès utilisateur définissant la procédure à suivre pour supprimer ou modifier l'accès accordé à un employé lorsqu'il change de poste ou quitte l'entreprise. Aucune organisation n’est à l’abri d'une attaque d'initié, même si les collaborateurs ont toujours été loyaux. Leur sentiment envers l'entreprise peut toujours changer s'ils ne sont pas partis de leur plein gré.
Enfin, sécurisez l'accès en utilisant des mots de passe forts, différents pour chaque compte et en mettant en place une authentification multifacteurs dès que possible.
Tester un site Internet à la recherche des vulnérabilités les plus courantes est un excellent moyen de déterminer si le site peut être mis en ligne ou non, du point de vue de la sécurité. L'identification préalable des vulnérabilités existantes donne plus de temps pour les corriger, sans causer de dégâts. Vous pouvez demander l'aide d'experts, habitués à effectuer des tests de pénétration et des audits, afin d’évaluer la sécurité de votre site Internet.
La surveillance des activités liées, par exemple, au système de gestion de contenu, aux connexions ou à la soumission de fichiers peut aider à identifier rapidement toute activité suspecte et à prendre les mesures nécessaires pour y remédier.
Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité.
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.
