En tant que propriétaire d’un site web, il faut s’assurer de la sécurité de ce dernier. Sans quoi, en cas de cyberattaque cela pourrait avoir de sérieuses conséquences. Optimum Circle vous propose une série de conseils afin d’optimiser la sécurité de votre site internet.
- Destruction ou corruption de données
- Vol d’informations confidentielles
- Perte de confiance en un service dégradé
- Détérioration de l’image
- Atteinte à la vie privée de personnes
- Pertes financières
On remarque que les conséquences sont nombreuses, c’est pourquoi il est important de mettre en place des pratiques de sécurité solides.
La sécurité des mots de passe
Vos mots de passe peuvent être un point d’entrée pour un pirate. Si une personne malveillante pouvait forcer votre mot de passe ce serait pour lui un accès garanti à votre serveur ainsi que votre zone d’administration.
Le hachage
Tout d’abord au sein même de votre base de données il est impératif que vos mots de passe soient “hachés”. Il s’agit en fait de ne pas stocker de manière claire un mot de passe grâce à un algorithme qui permettra de les chiffrer.
Malgré tout il faut utiliser des pratiques de ash qui ne sont pas obsolètes, par exemple le “sha1” ou “MD5”, sont dépassés.
L’opération n’est pas réversible, il est impossible de l’effectuer dans le sens inverse afin de retrouver le mot de passe depuis un hachage. Cependant il est possible de comparer deux mots de passe et de comparer leur hash afin de déduire s’ il s’agit du même ou non, c’est pourquoi il faut aussi “saler” vos cryptages.
Le salage
Le “grain de sel” va intervenir lors du processus de ash et ajoute à chaque chiffrement une donnée supplémentaire unique qui rendra impossible la comparaison de ash par dictionnaire.
Comment créer un bon mot de passe ?
Maintenant que vos mots de passe sont totalement chiffrés, comment être sûr d’en posséder un solide ? Votre mot de passe doit posséder au minimum 12 caractères, des chiffres, des majuscules ainsi que des signes de ponctuation ou des caractères spéciaux. Il est également recommandé de changer ses mots de passe fréquemment (tous les 90 jours selon l’ANSSI).
Générateurs de mots de passe
Il y a de nombreux générateurs de mot de passe sur internet comme Dashlane qui permet de choisir sa longueur, l’apparition de caractères spéciaux, … Le souci est de le retenir, la CNIL propose également un bon moyen mnémotechnique pour vous aider à mémoriser vos mots de passe.
L’utilisation d’un gestionnaire de mot de passe
Une autre méthode populaire, consiste en l’utilisation d’un gestionnaire de mot de passe tel que KeePass. Vous pouvez au sein de ces gestionnaires renseigner vos mot de passe déjà existant mais l’intérêt phare et de pouvoir en générer de nouveau, long et solide que vous n’aurez pas besoin de retenir. Il vous suffit d’en connaître un seul : celui pour accéder à votre gestionnaire de mots de passe.
Double authentification
La double authentification est un point complémentaire à la sécurité des mots de passe, la mise en place de cette dernière n’est généralement pas si compliquée. Elle permettra de s’assurer d’un second contrôle de sécurité afin d’accéder aux informations sensibles de votre site web.
Se méfier des données entrantes et sortantes
Les données entrantes
Il est vital de se méfier et de sécuriser les données entrantes qu’on peut injecter sur votre site web : formulaire, URL… Les injections SQL et XSS, dans les deux cas consiste à injecter du code dans des champs laissés sans sécurité (formulaire de connexion pour SQL, commentaire pour XSS par exemple). Le pirate sera alors capable de passer une commande à la base donnée dans le premier cas par exemple, et dans le second d’exécuter du code dans le navigateur et de récupérer des informations aux utilisateurs qui chargeront la même page.
Données sortantes
Prêtez attention aux messages d’erreurs que vous communiquez lors de la mauvaise utilisation d’une fonctionnalité, il faut bien sûr notifier l’utilisateur sur la mauvaise action qu’il à effectuée, mais n’en dites pas trop. Ne divulguez pas les codes erreurs d’exceptions, ni de clé d’API ou tout autre qui pourrait faciliter l’exploitation de potentielles failles de sécurité.
Vous pouvez également améliorer l’expérience utilisateur afin de limiter le nombre d’apparition de ces messages d’erreurs.
Effectuer les mises à jour et sauvegarde
Que vous utilisez divers logiciels, CMS, thèmes, extensions, il est capital de régulièrement mettre à jour ces divers composants, en plus des nouvelles fonctionnalités qu’elles apportent, une mise à jour et très souvent synonyme de sécurité, de correction de failles …
Prenez le temps de mettre en place une solution de back-up. Si vous subissez une attaque et êtes victime de perte de données vous serez heureux de retrouver une mise à jour récente de ces dernières.
Que ce soit la mise à jour de vos logiciels ou la mise en place d’une solution de back-up Optimum Circle peut vous aider à les mettre en place.
De HTTP à HTTPS
Sûrement un des points les plus faciles à mettre en place, la mise en place de TLS pour passer de HTTP à HTTPS. Cela vous permettra, en plus de gagner la confiance de vos utilisateurs, de crypter les échanges d’information sur votre site web. Pour faire court, si vous êtes en HTTP, une personne qui écoute votre réseau à l’aide de logiciels peut aisément récupérer des informations (connexion, paiement, …) qui passeront en clair sur le réseau.
Ne laissez pas de ports ouverts sur votre site web dont vos logiciels ne se servent pas, gardez seulement ceux dont vous vous servez comme HTTPS.
Surveillance constante
Après avoir optimisé la sécurité de votre site web, un effort de surveillance constant doit être fourni. En effet la mise en place de mécanismes permettant de détecter les anomalies, et la journalisation d’actions à votre encontre vous aideront en cas d’incident.
Faire tester votre sécurité
Le meilleur moyen de tester votre sécurité et de la faire tester ! De cette façon, il sera possible de détecter de potentielles failles et de corriger celle-ci.
Se servir d’outils
Pour ce faire, vous pouvez utiliser des outils qui sont nombreux sur le net et vous donneront l’occasion de réaliser des diagnostics de votre sécurité. Nous vous recommandons d’utiliser ces outils de manière régulière et notamment lors de changements majeurs sur votre site web.
Demander l’aide d’un professionnel
Utilisez des outils c’est bien, consulter un professionnel c’est mieux. N’hésitez pas à faire appel à un véritable spécialiste en cybersécurité, celui-ci saura parfaitement trouver s’il y a des problèmes dans la sécurité de votre site web et est infaillible contrairement à un logiciel, vous pourrez alors compter sur son expérience.
L’optimisation de la sécurité d’un site web peut demander du temps et de l’argent, il y a de nombreuses méthodes et de points à couvrir pour espérer ne pas être la prochaine victime d’une cyberattaque. Néanmoins, tout mettre en œuvre pour posséder une sécurité irréprochable demandera moins de ressources et n’apporte pas les conséquences néfastes d’une attaque sur un site internet.
Trois idées à retenir
Pourquoi posséder une sécurité optimale ?
Cela vous permettra d’éviter la destruction ou corruption de données, la perte de confiance en un service dégradé, la détérioration de l’image de l’entreprise et des pertes financières.
Quels moyens mettre en œuvre ?
Que ce soit par les mots de passe, les données entrantes et sortantes, les protocoles de sécurité ou encore les mise à jour ainsi que les sauvegardes, tous ces aspects peuvent être mis en place afin d’optimiser la sécurité de votre site web.
Et après ?
Après avoir mis en pratique les différents aspects donnés à travers nos conseils, pensez à opérer une surveillance constante de la sécurité de votre site web. Dans le même cas, tester votre sécurité, en passant par le biais d’outils ou de professionnels.