Comment protéger votre site Web contre les logiciels malveillants et les pirates
Publié: 2018-10-01La sécurité des sites Web est cruciale pour chaque entreprise ou organisation. Le risque de cyberattaque ne se limite pas aux sites de commerce électronique ou aux sites Web des grandes entreprises. Même un site Web de petite entreprise peut être victime de logiciels malveillants ou de pirates et perdre sa bonne réputation.
En 2017, un total de 516 380 petites entreprises en Australie ont été confrontées à des cyberattaques. Pour les entreprises de taille moyenne, le coût moyen de récupération après une faille de sécurité était de 1,9 million de dollars. Ces chiffres ne feront qu'augmenter dans les années à venir si les entreprises ne prennent pas de mesures sérieuses pour améliorer la sécurité de leur site Web.
La cybersécurité implique de nombreux concepts techniques complexes. Néanmoins, il existe quelques bonnes pratiques simples qui devraient suffire à protéger votre site Web dans la plupart des cas.
Meilleures pratiques de sécurité du site Web
1. Utilisez des mots de passe forts
Les mots de passe forts sont la première ligne de défense contre les pirates ou les failles de sécurité. Chaque mot de passe lié à votre site Web doit avoir les propriétés suivantes -
- Un mot de passe doit comporter au moins 10 caractères
- Il ne doit pas contenir de mots ou de noms complets
- Votre mot de passe doit contenir un mélange de lettres majuscules et minuscules, de chiffres et de symboles
- Il doit être différent des autres mots de passe que vous utilisez déjà
Vous pouvez envisager d'utiliser un gestionnaire de mots de passe comme LastPass pour créer et stocker vos mots de passe professionnels. Les pirates utilisent souvent des techniques de force brute pour générer des milliards de mots de passe par seconde. Ainsi, plus votre mot de passe est complexe, mieux c'est.
Activez l'authentification à deux facteurs pour tous vos comptes, si possible. L'authentification à deux facteurs signifie qu'il y aura deux vérifications avant de pouvoir vous connecter. Par exemple, après avoir entré le mot de passe, un code PIN sera envoyé sur votre mobile. Vous devez ensuite entrer le code PIN pour vous connecter.
2. Mettez régulièrement à jour votre logiciel
Vous devez maintenir tous vos logiciels à jour. Les mises à jour logicielles ne consistent pas seulement à ajouter de nouvelles fonctionnalités ; dans la plupart des cas, ces mises à jour corrigent les vulnérabilités de sécurité. Si vous ne mettez pas régulièrement à jour votre logiciel ou si vous utilisez des versions non prises en charge, vous serez une cible facile pour les pirates.
Si vous utilisez un CMS pour votre site Web, assurez-vous de disposer de la dernière version de ce CMS. Vérifiez que vous utilisez les dernières versions de vos plugins. N'utilisez pas de plugins anciens ou obscurs, même si vous les trouvez utiles.
3. Sauvegardez régulièrement vos données
Quelle que soit la sécurité de votre site Web, il existe toujours une possibilité de perdre des données importantes ou l'accès au site. Pour cette raison, vous devez toujours conserver une copie de sauvegarde de votre site.
La plupart des fournisseurs de services d'hébergement sauvegardent automatiquement les sites sur des serveurs distants. Néanmoins, la meilleure pratique consiste à conserver une sauvegarde locale supplémentaire. Il existe des outils et des plugins pour créer une sauvegarde du contenu et de la base de données de votre site et, si vous avez besoin d'aide concernant la sauvegarde du site, vous devez contacter votre société d'hébergement ou votre agence de conception Web.
4. Implémenter SSL
Lorsque votre site dispose d'un certificat SSL, toutes les informations saisies par un utilisateur sur votre site sont transmises au serveur via un canal sécurisé. Cela signifie qu'un intrus ou un pirate informatique ne peut pas se mettre au milieu et intercepter les informations. En d'autres termes, SSL protège les utilisateurs de votre site Web contre les attaques de type "man in the middle".
SSL est devenu la norme pour tous les types de sites Web. Même si vous ne vendez pas quelque chose en ligne, ou si vous n'avez pas d'option de connexion sur votre site, vous devriez sérieusement envisager d'installer SSL pour rendre votre site plus fiable.
Vous pouvez obtenir un certificat SSL gratuitement. Mais vous avez besoin d'un peu de savoir-faire technique pour le faire. Il convient également de noter que les certificats SSL gratuits ont certaines limitations.
5. Choisissez un hébergeur sécurisé
Le choix d'une société d'hébergement de bonne réputation pour votre site Web est très important. Votre hébergeur doit être conscient des cybermenaces et s'engager à protéger votre site de son côté.
Dans le cas d'une faille de sécurité du site web, il devient indispensable de communiquer avec l'hébergeur pour restaurer rapidement votre site et régler les problèmes techniques. Avant de choisir votre hôte, assurez-vous qu'il vous fournira un soutien continu. Ils doivent avoir un excellent service client et un temps de réponse rapide.
Comment réagir à un incident de sécurité sur un site Web
Si la sécurité de votre site Web est compromise, vous avez deux responsabilités ;
1. Minimiser vos pertes financières et protéger la réputation de votre entreprise
2. Assurez-vous que les informations de vos clients sont en sécurité
Il sera avantageux si vous disposez déjà d'un plan de gestion de la réponse aux incidents de sécurité du site Web. Un plan comme celui-ci devrait comporter cinq parties.
(A) Préparation
Élaborez une politique de sécurité du site Web que tous vos employés doivent suivre. Identifiez les informations sensibles que votre entreprise utilise ou stocke. Ensuite, définissez les rôles et les responsabilités concernant ce qu'il faut faire si un incident se produit.
(B) Détection
Voici quelques signes courants qui indiquent un incident de sécurité ;
1. Vous ne pouvez pas accéder à votre site Web
2. Les mots de passe liés à votre site ne fonctionnent pas
3. Des données critiques sont manquantes ou altérées dans la base de données
4. Votre ordinateur n'arrête pas de planter et manque de mémoire
5. Des spams sont envoyés depuis votre compte professionnel
(C) Évaluation
C'est là que vous devez trouver la cause de l'incident ou au moins déterminer comment il a affecté votre site Web, vos données et votre entreprise.
(D) Réponse
Isolez les systèmes concernés. Déconnectez la partie affectée de votre réseau si possible. Réparez et restaurez votre site Web. Demandez l'aide d'experts en sécurité professionnels si nécessaire.
(E) Examen
Évaluez la raison du problème de sécurité. S'agissait-il d'une attaque ciblée ou d'un incident général ? Identifiez les parties de votre système ou de votre processus qui doivent être améliorées pour éviter que des événements similaires ne se reproduisent à l'avenir.
N'oubliez pas qu'il est toujours préférable d'empêcher une faille de sécurité que d'avoir à y répondre. Une politique de sécurité de site Web claire aidera votre entreprise à prévenir et à répondre efficacement aux cybermenaces.
Création d'une politique de sécurité de site Web
Une politique de sécurité de site Web doit couvrir les éléments suivants ;
(A) Exigences relatives au mot de passe
Spécifiez la longueur minimale des mots de passe à utiliser dans vos comptes liés à l'entreprise. Définissez un délai particulier après lequel tout mot de passe doit être mis à jour.
(B) Politique de messagerie
Indiquez dans quels cas vos employés peuvent partager leurs e-mails professionnels. Définissez des critères pour les spams et les e-mails frauduleux. Rendre obligatoire l'analyse des pièces jointes avant de les ouvrir.
(C) Politique relative aux périphériques amovibles
Définissez dans quels cas on peut connecter un périphérique amovible à un ordinateur de bureau et copier des fichiers vers ou depuis. Rendez obligatoire l'analyse d'un périphérique amovible avant de le connecter à un ordinateur, en particulier s'il a accès au backend de votre site Web.
(D) Traitement des données sensibles
Déterminez quelles personnes spécifiques auront accès au backend et à la base de données de votre site Web. Vous devez également être très prudent avec les données client que vous stockez et qui peuvent y accéder.
(E) Appareils de manutention
Indiquez comment signaler un appareil perdu. Configurez une routine qui sera suivie pour mettre à jour les appareils.
Conclusion
Malheureusement, malgré le respect des meilleures pratiques de sécurité, votre site Web peut être victime de cyberattaques. Les pirates et les créateurs de logiciels malveillants ciblent de manière agressive les failles de sécurité des plates-formes et applications Web existantes pour trouver de nouvelles façons d'attaquer les sites et les ordinateurs. Il est presque impossible de prévenir tous les types de cybermenaces avec 100 % de succès.
Pour cette raison, il est essentiel de rester en contact avec un fournisseur de services de sécurité Web pour protéger votre site Web. Les propriétaires de PME trouveront peut-être plus pratique de travailler avec une agence de conception Web axée sur la sécurité dès le début.
Si vous souhaitez concevoir un nouveau site Web sécurisé ou reconcevoir un site existant avec un accent particulier sur la sécurité, notre équipe est là pour vous aider. Nous adhérons aux derniers principes de sécurité, mettons à jour nos plateformes régulièrement et fournissons un support à long terme à nos clients. Contactez-nous dès aujourd'hui pour obtenir un devis gratuit.
Noter:
Le ministère de l'Industrie, de l'Innovation et des Sciences dispose de ressources supplémentaires sur différents aspects de la gestion des risques de l'entreprise (y compris la cybersécurité). Nous avons utilisé leurs directives comme référence dans cet article.