Comment protéger votre site Web contre les logiciels malveillants et les pirates
Publié: 2018-10-01La sécurité des sites Web est cruciale pour toute entreprise ou organisation. Le risque de cyberattaque ne se limite pas aux sites de commerce électronique ou aux sites Web de grandes entreprises. Même un site Web de petite entreprise peut être victime de logiciels malveillants ou de pirates et perdre sa bonne réputation.
En 2017, un total de 516 380 petites entreprises en Australie ont été confrontées à des cyberattaques. Pour les entreprises de taille moyenne, le coût moyen d'une reprise après une faille de sécurité était de 1,9 million de dollars. Ces chiffres ne feront qu'augmenter dans les années à venir si les entreprises ne prennent pas de mesures sérieuses pour améliorer la sécurité de leur site Web.
La cybersécurité implique de nombreux concepts techniques complexes. Néanmoins, il existe quelques bonnes pratiques simples qui devraient suffire à protéger votre site Web dans la plupart des cas.
Meilleures pratiques en matière de sécurité des sites Web
1. Utilisez des mots de passe forts
Les mots de passe forts sont la première ligne de défense contre les pirates ou les atteintes à la sécurité. Chaque mot de passe lié à votre site Web doit avoir les propriétés suivantes -
- Un mot de passe doit comporter au moins 10 caractères
- Il ne doit pas contenir de mots ou de noms complets
- Votre mot de passe doit contenir un mélange de lettres majuscules et minuscules, de chiffres et de symboles
- Il doit être différent des autres mots de passe que vous utilisez déjà
Vous pouvez envisager d'utiliser un gestionnaire de mots de passe comme LastPass pour créer et stocker vos mots de passe professionnels. Les pirates utilisent souvent des techniques de force brute pour générer des milliards de mots de passe par seconde. Ainsi, plus votre mot de passe est complexe, mieux c'est.
Activez l'authentification à deux facteurs pour tous vos comptes, si possible. L'authentification à deux facteurs signifie qu'il y aura deux vérifications avant que vous puissiez vous connecter. Par exemple, après avoir entré le mot de passe, un code PIN sera envoyé à votre mobile. Vous devez ensuite saisir le code PIN pour vous connecter.
2. Mettez régulièrement à jour votre logiciel
Vous devez garder tous vos logiciels à jour. Les mises à jour logicielles ne consistent pas seulement à ajouter de nouvelles fonctionnalités ; dans la plupart des cas, ces mises à jour corrigent des vulnérabilités de sécurité. Si vous ne mettez pas régulièrement à jour votre logiciel ou si vous utilisez des versions non prises en charge, vous serez une cible facile pour les pirates.
Si vous utilisez un CMS pour votre site Web, assurez-vous d'avoir la dernière version de ce CMS. Vérifiez que vous utilisez les dernières versions de vos plugins. N'utilisez pas de plugins anciens ou obscurs, même si vous les trouvez utiles.
3. Sauvegardez régulièrement vos données
Quel que soit le niveau de sécurité de votre site Web, il existe toujours une possibilité de perdre des données importantes ou l'accès au site. Pour cette raison, vous devez toujours conserver une copie de sauvegarde de votre site.
La plupart des fournisseurs de services d'hébergement sauvegardent automatiquement les sites sur des serveurs distants. Néanmoins, la meilleure pratique consiste à conserver une sauvegarde locale supplémentaire. Il existe des outils et des plugins pour créer une sauvegarde du contenu et de la base de données de votre site et, si vous avez besoin d'aide concernant la sauvegarde du site, vous devez contacter votre hébergeur ou votre agence de conception Web.
4. Mettre en œuvre SSL
Lorsque votre site dispose d'un certificat SSL, toutes les informations saisies par un utilisateur sur votre site sont transmises au serveur via un canal sécurisé. Cela signifie qu'un intrus ou un pirate ne peut pas s'immiscer et intercepter les informations. En d'autres termes, SSL protège les utilisateurs de votre site Web contre les attaques de type « man in the middle ».
SSL est devenu la norme pour tous les types de sites Web. Même si vous ne vendez rien en ligne ou si vous n'avez aucune option de connexion sur votre site, vous devriez sérieusement envisager d'installer SSL pour rendre votre site plus fiable.
Vous pouvez obtenir un certificat SSL gratuitement. Mais vous avez besoin d'un peu de savoir-faire technique pour le faire. Il convient également de noter que les certificats SSL gratuits ont certaines limitations.
5. Choisissez un hébergeur sécurisé
Choisir une société d'hébergement réputée pour votre site Web est très important. Votre hébergeur doit être conscient des cybermenaces et se consacrer à protéger votre site de son côté.
Dans le cas d'une faille de sécurité du site Web, il devient essentiel de communiquer avec l'hébergeur pour restaurer rapidement votre site et résoudre les problèmes techniques. Avant de choisir votre hôte, assurez-vous qu'il vous fournira un soutien continu. Ils doivent avoir un excellent service client et un temps de réponse rapide.
Comment répondre à un incident de sécurité de site Web
Si la sécurité de votre site Web est compromise, vous avez deux responsabilités ;
1. Minimiser vos pertes financières et protéger la réputation de votre entreprise
2. S'assurer que les informations de vos clients sont en sécurité
Ce sera avantageux si vous avez déjà mis en place un plan de gestion des réponses aux incidents de sécurité du site Web. Un plan comme celui-ci devrait avoir cinq parties.
(A) Préparation
Développez une politique de sécurité de site Web que tous vos employés doivent suivre. Identifiez les informations sensibles que votre entreprise utilise ou stocke. Ensuite, définissez les rôles et les responsabilités concernant ce qu'il faut faire si un incident se produit.
(B) Détection
Voici quelques signes courants qui indiquent un incident de sécurité ;
1. Vous ne pouvez pas accéder à votre site Web
2. Les mots de passe liés à votre site ne fonctionnent pas
3. Des données critiques sont manquantes ou altérées dans la base de données
4. Votre ordinateur n'arrête pas de planter et manque de mémoire
5. Les spams sont envoyés depuis votre compte professionnel
(C) Évaluation
C'est là que vous devez trouver la cause de l'incident ou au moins déterminer comment il a affecté votre site Web, vos données et votre entreprise.
(D) Réponse
Isolez les systèmes affectés. Déconnectez la partie affectée de votre réseau si possible. Réparez et restaurez votre site Web. Demandez l'aide d'experts en sécurité professionnels si nécessaire.
(E) Révision
Évaluez la raison du problème de sécurité. Était-ce une attaque ciblée ou un incident général ? Identifiez les parties de votre système ou processus qui doivent être améliorées pour éviter des événements similaires à l'avenir.
N'oubliez pas qu'il vaut toujours mieux prévenir une faille de sécurité que d'avoir à y répondre. Une politique de sécurité de site Web claire aidera votre entreprise à prévenir et à répondre efficacement aux cybermenaces.
Création d'une politique de sécurité de site web
Une politique de sécurité de site Web doit couvrir les éléments suivants ;
(A) Exigences relatives au mot de passe
Spécifiez la longueur minimale des mots de passe à utiliser dans vos comptes professionnels. Définissez un délai particulier après lequel tout mot de passe doit être mis à jour.
(B) Politique de courrier électronique
Indiquez dans quels cas vos employés peuvent partager leur e-mail professionnel. Définissez des critères pour les courriers indésirables et frauduleux. Rendre obligatoire l'analyse des pièces jointes avant l'ouverture.
(C) Politique relative aux appareils amovibles
Définissez dans quels cas il est possible de connecter un périphérique amovible à un ordinateur de bureau et d'y copier des fichiers. Rendez obligatoire l'analyse d'un périphérique amovible avant de le connecter à un ordinateur, surtout s'il a accès au backend de votre site Web.
(D) Traitement des données sensibles
Déterminez quelles personnes spécifiques auront accès au backend et à la base de données de votre site Web. Vous devez également être très prudent avec les données client que vous stockez et qui peut y accéder.
(E) Dispositifs de manutention
Spécifiez comment signaler un appareil perdu. Mettre en place une routine qui sera suivie pour mettre à jour les appareils.
Conclusion
Malheureusement, malgré le respect des meilleures pratiques de sécurité, votre site Web peut être victime de cyberattaques. Les pirates et les créateurs de logiciels malveillants ciblent agressivement les failles de sécurité des plates-formes et applications Web existantes pour trouver de nouvelles façons d'attaquer les sites et les ordinateurs. Il est presque impossible de prévenir tous les types de cybermenaces avec un succès à 100 %.
Pour cette raison, rester en contact avec un fournisseur de services de sécurité Web est essentiel pour protéger votre site Web. Les propriétaires de PME peuvent trouver plus pratique de travailler avec une agence de conception de sites Web axée sur la sécurité dès le début.
Si vous souhaitez concevoir un nouveau site Web sécurisé ou redessiner un site existant avec un accent particulier sur la sécurité, notre équipe est là pour vous aider. Nous adhérons aux derniers principes de sécurité, mettons régulièrement à jour nos plateformes et fournissons une assistance à long terme à nos clients. Contactez-nous dès aujourd'hui pour obtenir un devis gratuit.
Noter:
Le ministère de l'Industrie, de l'Innovation et des Sciences dispose de ressources supplémentaires sur différents aspects de la gestion des risques commerciaux (y compris la cybersécurité). Nous avons utilisé leurs directives comme référence dans cet article.