7 étapes à suivre pour sécuriser le site Web de votre entreprise
De plus en plus de propriétaires d’entreprise recourent à des actifs numériques (sites Web, médias sociaux) pour assurer leur croissance, et la sécurité est une préoccupation croissante, à tous les niveaux. Votre entreprise ainsi que vos clientes et clients sont importants pour vous; il est donc impératif de prendre les mesures nécessaires pour sécuriser ces actifs.
Voici sept étapes de base à suivre pour protéger votre site Web. Certaines de ces étapes vous permettront également de protéger vos profils dans les médias sociaux et vos comptes de courriel. Si vous maîtrisez mal les technologies, faites lire cet article à votre administratrice ou administrateur de site, directrice ou directeur TI ou partenaire TI/Web afin qu’elle ou il prenne les dispositions voulues pour protéger les actifs de votre entreprise.
1. Planifiez des sauvegardes à intervalles réguliers
La première question que la plupart des gens se posent en ce qui a trait aux sauvegardes de sites Web est la fréquence à laquelle les faire. Pour y répondre, vous devez vous demander: à quelle fréquence est-ce que je mets mon site Web à jour? Si c’est tous les jours, vous devez alors faire une sauvegarde quotidienne et garder au moins des copies des 30 derniers jours.
Si la configuration de votre site Web est complexe, demandez idéalement à une professionnelle ou un professionnel TI de se charger des sauvegardes (si, par exemple, vous avez de multiples serveurs qui hébergent différentes fonctions, vous devrez planifier des sauvegardes distinctes pour chacun de ces serveurs).
Il est important de respecter consciencieusement votre calendrier de sauvegarde pour éviter les interruptions, en particulier si vous utilisez un hôte de site Web partagé. Si vous faites appel à des technologies à code source ouvert comme WordPress, Drupal, Joomla, nopCommerce, ExpressionEngine, Magento, Zen Cart, PrestaShop ou AspDotNetStorefront, pour n’en nommer que quelques-unes, vous risquez d’être victime de piratage. En effectuant des sauvegardes à intervalles réguliers, vous vous assurez d’être en mesure de régler rapidement les problèmes pouvant survenir (selon la complexité de votre site Web).
2. Évitez les noms d’utilisateur et les mots de passe faibles
Croyez-le ou non, l’utilisation de noms d’utilisateur et de mots de passe faibles est monnaie courante; et il s’agit du moyen le plus sûr d’être repéré par les scanneurs qu’utilisent les pirates pour identifier ce type de vulnérabilités en matière de sécurité. Veillez à choisir un nom d’utilisateur qui ne soit pas évident et, dans le cas des mots de passe, évitez les mots du dictionnaire ou encore votre nom ou celui de votre animal de compagnie. Optez pour une combinaison d’au moins huit caractères, formée de lettres (majuscules/minuscules), de chiffres et de caractères spéciaux. Des outils comme KeePass ou LastPass peuvent vous aider à générer des mots de passe complexes et à les sauvegarder: vous n’avez ainsi qu’un seul nom d’utilisateur et un seul mot de passe au lieu de devoir retenir plusieurs mots de passe complexes.
REMARQUE: Il est déconseillé d’utiliser le même mot de passe pour différents services, car en cas d’atteinte à la sécurité, vous mettez tous vos actifs numériques à la portée des pirates.
3. Utilisez CAPTCHA et des filtres de pourriels
Si votre site Web est hébergé sur une plateforme à code source ouvert, il est probable que vous receviez des pourriels et commentaires étranges de sources suspectes qui n’ont rien à voir avec votre site. Pour atténuer ce problème, activez CAPTCHA sur vos formulaires afin de vous assurer que ce sont des personnes qui les remplissent. En outre, la plupart des systèmes de gestion à code source ouvert offrent des modules d’extension qui filtrent les pourriels. Vous n’éliminerez pas ces derniers à 100 %, mais c’est assurément un pas dans la bonne direction.
4. Dotez-vous d’un pare-feu et adoptez des mesures de sécurité adaptées à votre plateforme
Il existe d’innombrables méthodes pour protéger vos données, et les spécialistes en sécurité ont créé des outils spécialisés qui peuvent aider à prévenir les violations. Commencez par activer Google Webmaster Tools sur votre site Web. Étant donné que Google analyse votre site pour mettre à jour son index de recherche, il vous indiquera toute activité anormale détectée; et cet outil est gratuit. On trouve en outre un certain nombre de modules d’extension pour pare-feu à installer et à configurer pour chaque plateforme à code source ouvert afin d’ajouter un niveau supplémentaire de protection. Si vous désirez sécuriser votre site encore davantage et que vous n’avez pas de spécialistes des TI à l’interne, vous pouvez demander à des entreprises fournisseuses spécialisées telles que sucuri.net de régler certains des problèmes de piratage les plus courants.
5. Mettez régulièrement à jour votre système de gestion de contenu/commerce électronique et vos modules d’extension
Les logiciels à code source ouvert comportent des avantages et des inconvénients qu’il est important de connaître. La plupart des plateformes à code source ouvert comptent sur une communauté de développeuses et développeurs pour continuer à améliorer et à mettre à jour le code source. Par conséquent, dès que des vulnérabilités en matière de sécurité sont identifiées, elles sont signalées dans des blogues et des forums de développeuses et développeurs de logiciels à code source ouvert à l’échelle du Web. Cela signifie que les pirates ont également accès à cette information. Si les systèmes de gestion de contenu ou de gestion du commerce électronique de votre site Web ne sont pas mis à jour assez rapidement (dans le mois qui suit ou, idéalement, dans les deux semaines ou moins suivant la publication de cette information), vous risquez d’être victime de piratage.
Même si les mises à jour ont été faites, cela ne garantit pas que vous êtes à l’abri des pirates si vous utilisez des modules d’extension de tiers. C’est pourquoi il est important que la personne qui développe votre site sélectionne les modules d’extension avec soin.
Par ailleurs, il est fortement recommandé de procéder à intervalles réguliers (idéalement tous les mois) à des vérifications de votre site Web et de tous les modules d’extension installés, afin de vous assurer que tout fonctionne bien après la mise à jour d’un module d’extension ou après la mise à jour du système de gestion de contenu et son déploiement sur le site en ligne.
6. Optez pour un processus d’authentification en deux étapes
Un processus d’authentification en deux étapes (en anglais seulement) prévoit non seulement l’entrée d’un mot de passe, mais également une autre méthode d’authentification, comme la transmission d’un texte à votre téléphone afin de vérifier votre compte. Ainsi, même en cas d’atteinte à la sécurité, vous bénéficiez d’un niveau supplémentaire de protection.
7. Activez HTTPS avec un certificat SSL à l’échelle de votre site Web
Il est recommandé de chiffrer votre site Web et les données transmises depuis celui-ci en demandant à votre administratrice ou administrateur de site ou à une ou un partenaire TI d’installer un certificat SSL. Cela constitue un autre niveau de protection pour votre entreprise et les visiteuses et visiteurs ou clientes et clients qui utilisent votre site. C’est également un avantage du point de vue de Google.
Il est important de protéger les actifs numériques de votre entreprise. Les sept étapes énumérées ci-dessus constituent un bon point de départ, mais le processus ne s’arrête pas là. J’ai inclus ci-dessous la liste de ressources supplémentaires qui décrivent quelques-unes des meilleures pratiques de sécurité pour certaines des plateformes à code source ouvert les plus populaires.
Ressources supplémentaires (en anglais seulement)
- 14 Ways To Prevent Your WordPress Blog From Being Hacked
- Hardening WordPress
- Magento Security Center
- Magento security: checklist to protect your store
- 9 Tips and Tricks to Securing Your Drupal Site on Pantheon
- Security Checklist/Joomla! Setup
Avez-vous déjà été victime de piratage? Cela a-t-il perturbé les activités de votre entreprise? Nous aimerions connaître vos commentaires.