Les sites web font régulièrement l’objet d’attaques dont les conséquences peuvent être désastreuses pour les entreprises : usurpation d’identité, chute du chiffre d’affaires, détérioration de la réputation… Les sites internet, dont les sites e-commerce en première ligne, stockent un grand nombre de données utilisateurs (nom, adresse, carte bancaire…). Ces données doivent être protégées.
Comment securiser un site internet ?
Pour commencer, nous vous conseillons de toujours vous tourner vers le développement d’un site web sur mesure, avec un framework entièrement personnalisable comme Sylius, plutôt que de passer par un CMS dont les hackers sont plus friands. Les chances de menaces sont ainsi déjà réduites.
S’il ne vous est pas possible de construire un site sur mesure, que ce soit en raison de votre budget ou de votre besoin, il est possible de déployer plusieurs actions pour s’assurer de la sécurité de son site. Par ailleurs, les sites sur mesure ne dérogent pas à la règle et doivent aussi déployer ces actions. Dans cet article, nous vous donnons 5 conseils pour optimiser la sécurité de votre site internet.
Comment s’assurer de la sécurité d’un site ?
1- Complexifier les informations d’identification
Pour sécuriser votre site internet, commencez par sécuriser les identifiants de connexion de vos utilisateurs.
- Définir des critères lors de la création des mots de passe : vous devez imposer plusieurs règles à vos utilisateurs lorsqu’ils créent ou changent leurs mots de passe. Chiffres, lettres, majuscules, minuscules ET caractères spéciaux sont de rigueur. Au moins 10 caractères sont nécessaires pour un mot de passe sécurisé.
C’est ensuite aux utilisateurs d’ajouter aléatoirement ces caractères les uns après les autres sans lien direct avec leur identité (pas de prénom ou date de naissance par exemple). Parce qu’il est possible de manquer d’imagination pour la création d’un mot de passe long et complexe, les utilisateurs peuvent aussi passer par des générateurs de mots de passe en ligne comme lastpass.com.
- Imposer la mise à jour régulière des mots de passe : vous devez demander à vos utilisateurs de changer leur mot de passe (au moins 3 à 4 fois par an) pour sécuriser davantage leurs accès. Pour cela, envoyez-leur une notification indiquant la tâche et affichez l’interface de modification de mot de passe directement à la prochaine connexion. Cette tâche peut paraître pénible mais elle l’est toujours moins que de devoir gérer un site piraté.
- Ajouter des “questions personnelles” auxquelles répondre en cas de récupération de mot de passe : cela permet de vérifier l’identité de la personne qui tente de récupérer le mot de passe et ainsi enclencher une “double identification” pour réduire les chances de piratages.
2- Faire les mises à jour : elles ne sont pas toujours automatiques
Cela peut paraître bête, mais beaucoup de personnes oublient de faire les mises à jour. La communauté Open source détecte rapidement les bugs quand il y en a, notamment la communauté Sylius qui est très réactive et qui saura réagir en cas de problème. Pour profiter des évolutions, vous devez tenir vos systèmes à jour.
Pour les adeptes des CMS, vous devez mettre à jour la solution mais aussi ses plugins puisque toutes les mises à jour ne sont pas automatiques ! Un système daté et pas à jour, c’est la porte ouverte aux attaques. Les mises à jour sont aussi créées pour renforcer la sécurité du logiciel.
3- Sauvegarder régulièrement votre base de données
En plus d’espionner les sites internet, les hackers peuvent décider de supprimer complètement votre base de données pour effacer les traces de leur passage. Vous devez donc réaliser régulièrement des sauvegardes de vos données, soit manuellement, soit automatiquement, ce qui se révèle tout de même plus simple.
- Sauvegarder depuis un CMS : pour la sauvegarde des bases de données avec un CMS, il existe plusieurs plugins, comme UpdraftPlus sur WordPress reconnu comme un des meilleurs. Il dispose d’une version gratuite présentant assez d’options pour vous lancer.
- Sauvegarder depuis un site sur mesure : pour les sites sur mesure comme Sylius, il vous faudra passer par des hébergeurs web qui proposent notamment des sauvegardes journalières comme Hostinger et PlanetHoster
4- Vous tenir constamment informé
Vous devez pouvoir réagir rapidement lorsqu’une faille de sécurité est détectée. Pour rester informé, vous pouvez suivre ou intégrer les communautés qui utilisent les mêmes solutions que vous et ne pas hésiter à poser des questions sur les forums.
Vous pouvez aussi consulter les sites cert.ssi.gouv et ssi.gouv qui recensent les failles et menaces de sécurité.
Vous tenir informé signifie aussi suivre les évolutions des réglementations sur internet. Le RGPD pose le cadre juridique en ce qui concerne la collecte et le traitement des données personnelles des utilisateurs, mais elle ne doit pas être votre seule préoccupation. La DSP 2 (Directive des Services de Paiements) a revu ses règles quant à l’authentification des paiements en ligne. E-commerçants, nous vous conseillons pour être conformes à la DSP 2 avant le 30 juin 2021.
5- Obtenir les certificats HTTPS et SSL : sécurité + SEO !
Le protocole HTTPS veille à la transmission des données sensibles. Le certificat SSL chiffre les données entre le serveur et le client pour empêcher les hackers d’intercepter et de lire ces mêmes données. Renseignez-vous auprès de votre hébergeur web, ces derniers proposent généralement les certificats de sécurité.
Pour apporter une sécurité supplémentaire avec le protocole HTTPS et certificat SSL et ainsi rassurer les utilisateurs, l’icône cadenas fermé (ou vert en fonction des moteurs de recherche) apparaît également pour indiquer que votre site est sécurisé. A contrario, s’il ne l’est pas, c’est un cadenas ouvert et barré en rouge (ou la mention « non sécurisé”) qui s’affichera et qui découragera vite les visiteurs.
Affichage d’un site sécurisé
Affichage d’un site non sécurisé
En plus de la sécurité du site, les certificats ont un impact sur votre référencement naturel ! L’objectif de Google est de répondre aux attentes des utilisateurs et de leur faciliter la vie. Sans certificat, Google peut juger votre site comme dangereux pour les visiteurs et le pénaliser dans son classement.
Un site internet HTTPS avec un certificat SSL, c’est un site sécurisé et mis en avant par les moteurs de recherche, que du positif !
Avec toutes ces astuces, votre site devrait être sécurisé, mais vous n’êtes jamais à l’abri d’une faille. Les grandes entreprises sont plus souvent ciblées par les pirates car elles stockent plus de données, mais les plus petits sites peuvent aussi faire partie des victimes s’ils ne mettent pas tout en place. Vous devrez donc constamment réaliser des tests de sécurité sur votre site internet, qui feront ressortir un diagnostic général de son état et ainsi vous guider dans les nouvelles actions à déployer.
Vous cherchez un partenaire pour la création de votre site sécurisé ?
