A l'heure où les piratages se multiplient à l'encontre des sites des grandes entreprises ou ceux des institutionnels, il est bon de se rappeler que sécuriser son site, même si on ne constitue pas à proprement parler une cible, n'est pas une option.
On ne pourra jamais garantir qu'un site est sur à 100% ni vous promettre que vous ne serez jamais victime d'une attaque par déni de service. Mais avant d'arriver à ces extermités, il y a un certain nombre de procédures et de précautions à respecter.
Une visite dans le site de la CNIL (il existe encore) permet de découvrir un certain nombre de conseils utiles.
La suite de cette tribune est largement inspiré de l'article proposé par la CNIL.
S’assurer que les bonnes pratiques minimales sont appliquées
Tout site web doit garantir son identité et la confidentialité des informations transmises.
Les précautions élémentaires
- Mettre en œuvre le protocole TLS (c'est le nouveau protocole qui remplace le SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant leur bonne mise en œuvre.
- Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.
- Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
Cette recommandation dépasse très largement le savoir faire du concepteur de site dans la mesure où ce réglage s'effectue au niveau du serveur d'hébergement. A titre d'information l'hébergeur partenaire de VIVE la VIE a conservé 2 ports ouverts pour tenir compte des contenus toujours publiés en http...
- Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateurs aux équipes en charge de l’informatique et ce, uniquement pour les actions d’administration qui le nécessitent.
- Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.
- Limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.
Cette recommandation est particulièrement utile aux sites basés sur des CMS (notamment les sites Wordpress) et votre prestataire doit veiller à supprimer toutes les extensions inutiles et celles qui ne sont plus suivies par leurs concepteurs. Les vulnérabilités des sites CMS sont très souvent dues à des extensions non mises à jour.
Ce qu’il ne faut pas faire
Dans le paragraphe précédent, vous avez découvert les bonnes pratiques. Passer en revue les mauvaises est utile également et nous les passons en revue ci-dessous.
- Faire transiter des données à caractère personnel dans une URL telles que identifiants ou mots de passe.
- Utiliser des services non sécurisés (authentification en clair, flux en clair, etc.).
- Utiliser les serveurs comme des postes de travail, notamment pour naviguer sur des sites web, accéder à la messagerie électronique, etc.
- Placer les bases de données sur un serveur directement accessible depuis Internet.
- Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs utilisateurs).
Les trois derniers points sont du ressort de votre prestataire informatique, si vous en avez un. Ce sont des conseils "de base" mais on voit tout sortes de choses dans les entreprises...
Pour aller plus loin
Vous aurez certainement envie d'en savoir plus sur la solidité (ou sur les perméabilités) de votre site. De nombreux logiciels et autant de prestataires permettent de réaliser des audits. A vous de choisir le bon et en parler à votre agence web ensuite.
S’agissant des logiciels s’exécutant sur des serveurs, il est conseillé d’utiliser des outils de détection des vulnérabilités (logiciels scanners de vulnérabilité tels que nmap, nessus, nikto, etc.) pour les traitements les plus critiques afin de détecter d’éventuelles failles de sécurité.
Des systèmes de détection et prévention des attaques sur des systèmes ou serveurs critiques peuvent aussi être utilisés. Ces tests doivent être menés de façon régulière et avant toute mise en production d’une nouvelle version logicielle.
L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d'Information) a publié sur son site des recommandations spécifiques pour mettre en œuvre TLS ou pour sécuriser un site web.