Logo - Banque de développement du Canada - BDC

Comment réduire le risque de piratage de votre site Web

Lecture de 5 minutes

S’il y a bien une chose que vous ne voulez pas, c’est que votre site Web soit piraté. Je sais de quoi je parle.

Des individus mal intentionnés peuvent infiltrer votre site Web, voler de précieuses informations, ternir votre réputation et endommager votre machine bien rodée de vente et de marketing en ligne.

Laissez-moi vous raconter mon histoire, celle d’un entrepreneur Web qui se réveille un matin et découvre avec horreur que son site Web a été banni par Google, et que son générateur de revenus a été reconverti en distributeur de virus.

Pénible découverte

Tout a commencé quand je suis allé sur mon site pour tenter de comprendre pourquoi les ventes avaient chuté au cours des derniers jours. En me connectant à Google AdWords, je découvre que mon compte a été banni. On m’accuse d’être un pourrielleur, la pire étiquette qu’on puisse accoler à un aimable spécialiste en marketing comme moi. C’était forcément une erreur!

J’ai alors tapé le nom de mon produit dans Google pour voir si mon site Web apparaissait toujours en tête des résultats de recherche; c’était le cas. Cependant, une petite note sous le lien disait: «Il est possible que ce site ait été piraté.» Je savais que c’était une bien mauvaise nouvelle, mais je ne soupçonnais pas l’ampleur du désastre.

Mon entreprise 100 % en ligne était fermée et je ne savais pas comment la remettre en état. Je suis un excellent spécialiste du marketing en ligne, mais pas une sommité en informatique.

Longue récupération

Incapable de résoudre le problème par moi-même, j’ai engagé un consultant technique.

J’ai eu la chance de trouver une équipe compétente et disponible sur-le-champ. La première étape consistait à restaurer les données sauvegardées pour résoudre le problème. En vain. Le virus avait également contaminé le serveur, comme cela arrive fréquemment.

L’équipe a alors entrepris de décontaminer chaque fichier de mon site Web et les fichiers sur le serveur. Le processus a duré des heures et, après une nuit blanche, on m’a annoncé que mon site était rétabli.

J’ai appelé Google dans la matinée pour l’informer que le site était nettoyé et qu’on pouvait à nouveau nous faire confiance. On m’a répondu que des ingénieures et ingénieurs allaient effectuer des vérifications et donner des nouvelles dans les 24 heures. Le soir, j’ai reçu un courriel de Google disant en substance: «Bel effort, mais votre site est toujours aussi infecté.»

Prise deux

Zut! J’avais encore besoin d’aide. Heureusement, mon équipe de nettoyage était toujours disponible. Elle a passé une autre nuit à nettoyer les systèmes plus en profondeur, en trouvant de l’aide en ligne, à la recherche de portes dérobées qui pouvaient propager à nouveau le virus après le nettoyage.

Le matin suivant, j’ai rappelé Google, avec la confiance de celui qui a gravi deux fois l’Everest parce qu’il a oublié son appareil photo au sommet la première fois.

Google m’a répondu à nouveau que des ingénieures et ingénieurs allaient effectuer des vérifications et me faire part des résultats. En attendant, j’ai décidé de voir comment rattraper le temps perdu et ramener les ventes à leur juste niveau. Le verdict de Google est tombé en soirée: «Pas de chance!»

Victoire!

Après 10 jours de travail acharné, nous avons enfin trouvé le coupable. Le pirate avait infiltré mon compte AdWords et inséré un lien qui réinfectait mon site Web dès que quelqu’un cliquait sur l’une de mes annonces.

Il s’agissait d’une attaque très sophistiquée sur un site qui n’avait, pour le pirate, aucune valeur autre que la retransmission d’un stratagème complexe de propagation de pourriels. La nature de mon site Web importait peu pour les pirates, qui auraient pu s’attaquer sans discernement à n’importe quel autre.

Leçons apprises

Qu’ai-je appris de cette expérience?

  1. Il est difficile de se remettre d’une attaque malveillante, même avec l’aide de spécialistes.
  2. Les attaques malveillantes coûtent TRÈS cher.
    • Vous pourriez ne pas vous en remettre sans l’aide de spécialistes. Elles et ils le savent et vous facturent en conséquence.
    • Vous devez inclure la perte de revenus de votre site dans vos frais totaux.
  3. Les systèmes de gestion de contenu conviviaux et populaires comme WordPress permettent à des gens comme moi de gérer un site Web, mais ils doivent être étroitement surveillés car ils sont une cible privilégiée par les pirates.
  4. Les mises à jour de sécurité doivent être rapidement appliquées pour éradiquer les failles.
  5. Des sauvegardes doivent être effectuées et examinées régulièrement.
  6. Des modules d’expansion de sécurité doivent être installés afin de protéger la configuration du site.
  7. Si vos compétences sont limitées, le recrutement d’une administratrice ou un administrateur système pour superviser et mettre à jour votre site peut vous éviter la catastrophe. L’entreprise qui héberge ou développe votre site propose probablement ce service.
  8. Vos mots de passe doivent être complexes et changés régulièrement. Il est également recommandé d’employer différents mots de passe pour chacun de vos systèmes essentiels. Ainsi, le craquage de l’un de vos mots de passe ne compromettra pas l’ensemble.
  9. Une fois remis d’une attaque malveillante, vous remarquerez que le classement de vos mots-clés par les moteurs de recherche est sans doute plus bas. Cela se traduit par un nombre moins élevé de visiteuses et visiteurs sur votre site qu’avant l’attaque.

Éviter un désastre encore pire

Avec de l’aide, j’ai pu résoudre la crise. D’autres n’ont pas autant de chance. J’ai travaillé avec des clientes et clients qui ont dû se défaire de leur site et tout recommencer, avec pour conséquences des mois de revenus perdus, des occasions manquées, et des milliers de dollars pour un nouveau site Web.

Nous avons toutes et tous entendu ou lu des histoires d’horreur à propos de grandes entreprises piratées et de données personnelles sur leurs clientes et clients volées. Si vous pensez que ça n’arrive qu’à elles, réfléchissez bien. Les petites et moyennes entreprises sont ciblées pour plusieurs raisons, souvent non reliées au type d’activité en soi.

Rendre la vie difficile aux pirates

Même si vous ne pouvez empêcher un pirate compétent et déterminé de s’attaquer à votre site, ce dernier n’est qu’un des millions de sites qu’il pourrait attaquer. Si le vôtre s’avère difficile à forcer, le pirate ira probablement voir ailleurs.

Il choisira la voie offrant le moins de résistance. En appliquant les mesures mentionnées ci-dessus, vous réduisez les chances que cette voie mène à votre site Web et à votre portefeuille.

Mieux vaut prévenir que guérir, non?

Cela vous est-il arrivé? Comment avez-vous réagi? Nous aimerions en savoir plus sur la façon dont vous avez réglé la situation, alors laissez-nous un commentaire.

Votre vie privée

BDC utilise des témoins de navigation (cookies) pour améliorer votre expérience sur son site et à des fins publicitaires, pour vous offrir des produits ou des services qui sont pertinents pour vous. En cliquant sur «J’ai compris» ou en poursuivant votre navigation sur ce site, vous consentez à leur utilisation.

Pour en savoir plus, consultez notre Politique de confidentialité.