Sécurité de site web, comment protéger ses données internet ?
Assurer la protection et la sécurité de site web est primordial pour conserver les données de votre site internet. Mises à jour des outils et extensions utilisés, sauvegardes périodiques, limitation des accès et droits utilisateurs sont des précautions à prendre. En complément, l’ajout de remparts techniques aux intrusions possibles augmente la sécurisation de vos bases de données.
Serveur sécurisé, connexion avec protocole HTTPS, les fondamentaux
La sécurité de site web démarre par une installation sur des bases saines. Ainsi, dès sa création, pensez à vérifier le niveau de sécurité offert par votre hébergeur sur ses serveurs. L’offre d’hébergement pour créer un site doit inclure une sécurisation minimale, et proposer le protocole de chiffrement HTTPS pour vos URL. Par exemple, c’est le cas avec la fourniture gratuite d’un certificat SSL Lets’encrypt qui offre cette clé cryptographique.
Ensuite, vérifiez les dispositions de sécurité informatique et sauvegardes, proposées par l’hébergement. Quelles sont-elles, combien de sauvegardes propose le service, que comprennent-elles ? À quelle fréquence les réalise-t-on, sur combien de serveurs différents, où se situent-ils ?
En effet, faites-vous préciser ce que contient la sauvegarde. Un site étant constitué de bases de données et fichiers distincts, tout doit être sauvegardé. De même, la localisation des sauvegardes doit être différente de celle des sites internet sauvegardés, si vous voulez vous prémunir d’une défaillance du serveur. Enfin, la fréquence s’adapte à l’évolution du contenu de votre site. Un site e-commerce évolue constamment en termes de contenus, de par les ventes qui s’y passent, les stocks bougent. C’est pourquoi, les sauvegardes y sont plus régulières que sur un site vitrine.
Limiter les droits et accès du site au strict nécessaire
L’accès administrateur donne tous les droits, par conséquent, on le réserve exclusivement à la (les) personne (s) qui en a l’usage. Ainsi, un rédacteur ou un contributeur aux contenus du site n’a besoin que des permissions relatives à ses attributions. C’est aussi le cas du gestionnaire de boutique en ligne ou de l’équipe web-marketing lors de leurs connexions.
Alors, vous donnez accès aux fonctions sensibles du site aux seules personnes qui en ont besoin. Vous favorisez ainsi la sécurité du site web et limitez ses vulnérabilités.
Selon votre système, vous pouvez renommer l’URL de la page de connexion, autres que celles de connexion aux comptes clients ou utilisateurs du site. C’est comme si vous cachiez la porte d’entrée des bureaux et ateliers de votre entreprise dans les navigateurs par des redirections ailleurs. Ainsi, vous disposez d’un espace accessible au public, d’un espace privilégié pour vos utilisateurs et clients connectés, et des coulisses réservées au personnel. De plus, vos coulisses sont sécurisés en cloisonnant les accès à l’intérieur selon la vulnérabilité et les compétences de votre personnel.
Un CMS comme WordPress offre ces possibilités. Vous pouvez même désactiver l’accès à des pages web du site au public, et privatiser l’accès grâce à un code identifiant.
Solidité des mots de passe et renouvellement
Les bonnes pratiques de gestion d’accès à un site internet recommandent d’associer des mots de passe forts à vos identifiants. Un mot de passe fort contient plus de 8 caractères, au moins 1 minuscule, au moins 1 majuscule, au moins 1 chiffre, et 1 caractère spécial. Les caractères spéciaux sont les symboles comme la barre de fraction / ou le symbole d’une monnaie €. Ils freinent donc les tentatives du pirate ou du hacker. Vous pouvez utiliser un générateur pour votre mot de passe, comme celui inclus avec le gestionnaire de mots de passe gratuit KeePass.
La solidité du mot de passe ne fait pas tout, aussi, on recommande de changer périodiquement son MDP. Si cela est possible, ayez recours à la double authentification. Cette pratique envoie un code de confirmation, ou code de sécurité, sur un support autre que la page du navigateur où vous vous identifiez : téléphone, tablette, e-mail…
NB : les manquements en termes de gestion de mots de passe sont la principale cause des cyberattaques.
Prévenir les failles de sécurité de site web
Vous administrez votre site web à l’aide d’un outil, ou logiciel de gestion de contenu, appelé aussi CMS, content management system. Cet outil nécessite souvent l’ajout d’extensions ou plugins complémentaires, d’un thème, d’applications tierces, etc. Chaque outil est une potentielle faille de sécurité.
- Choisissez des extensions et plugins sûrs, en vérifiant leur fiabilité et réputation.
- Tous ces programmes, ou extensions, nécessitent des mises à jour fréquentes. Veillez-y, automatisez ce qui peut l’être à l’aide de scanner, conservez une intervention manuelle pour des contrôles ponctuels.
- Ne conservez que les applications strictement nécessaires au fonctionnement du site. Parfois, certaines sont utiles seulement lors d’une phase de création ou paramétrage.
- Analysez votre site avec des outils qui détectent failles, logiciel malveillant, comme le font les antivirus informatiques contre des malwares, un cheval de troie (troyan), afin de ne pas se faire pirater.
Les failles de sécurité de site web se créent par manque de mise à jour. La vulnérabilité de votre site devient une porte d’entrée pour les cybercriminels, ne la laissez pas ouverte !
Sauvegardes multiples, surveillance de l’activité du site internet
En complément des sauvegardes sur l’hébergement, il convient de mettre en place une solution additionnelle de sauvegarde. En effet, cette dernière complétera les éventuelles failles ou carences de la solution offerte par l’hébergeur du site. De plus, vous pouvez en augmenter la fréquence, ainsi que le volume archivé de sauvegardes opérationnelles. Alors, en cas de panne ou piratage, vous disposez d’un choix multiple de versions du site, en état antérieur à l’incident.
Conseil : utilisez la fonction de sauvegarde programmée, à une fréquence définie, puis réalisez des sauvegardes manuelles ponctuelles, selon l’utilisation du site. Vous garantissez ainsi la protection des données de votre site.
Surveiller et contrôler l'activité sur le site
Surveiller et contrôler l‘activité sur son site web permet de détecter les comportements suspects. Des outils détectent des anomalies et automatisent certains contrôles ou tâches. Ainsi, vous (ou votre webmaster développeur) recevez une alerte par courriel pour plusieurs événements stratégiques pour la sécurité de votre site :
- lors de la création d’un nouveau compte,
- en cas d’échec de connexion après X tentatives infructueuses (mot de passe ou utilisateur incorrect)
- scan des bases de données lors d’une mise à jour de la base de données, etc.
Ces surveillances de la sécurité de site web, permettent de détecter plus rapidement les tentatives d’intrusion malveillantes, et une éventuelle cyberattaque.
Précautions et protections complémentaires
Pour compléter, activez des couches de protection supplémentaires qui trompent les robots de piratage des hackers : système anti-spam, anti-piratage, pare feu (firewall), pot de miel (honeypot), sans oublier le blocage contre les attaques dites « brut force ».
Lutter contre une attaque force brute ou « brut force », c’est limiter le nombre de tentatives d’une personne, donc d’un adresse IP spécifique, à se connecter au site. C’est une manière courante utilisée par les robots des pirates pour se connecter à un site. Ils enchaînent les essais successifs de mots de passe, jusqu’à en trouver un qui fonctionne.
Vous l’avez compris, en termes de cybersécurité, il vaut mieux prévenir que guérir.
Chaque année, la cybercriminalité augmente. Sans aller jusqu’à craindre les attaques au rançongiciel, ou ransomware, il est préférable de prendre des dispositions contre les usages malveillants.
