Comment garantir la sécurité d’un site web

Sécurité webLes systèmes d’information des entreprises, administrations, associations ou centres d’enseignement sont désormais très ouverts sur l’extérieur, et toutes les applications du SI comportent un module ou une interface web : extranet clients ou fournisseurs, portail, e-commerce,… Ces applications et sites web jouent un rôle croissant dans la relation avec les clients, le public et les usagers, les partenaires et les salariés. Accessible de partout, à tout moment,  le site/application web voit son nombre de visites progresser régulièrement, et sa contribution à l’activité est devenue majeure

Dans ces conditions la disponibilité et le bon fonctionnement d’un site web sont devenus aussi critiques, voire davantage, que ceux d’un ERP. Le site web est devenu le premier vecteur d’image, de notoriété et de visibilité des entreprises et administrations. Par nature, il se doit d’être accessible au plus grand nombre, ce qui augmente sa surface de vulnérabilité.

Les incidents de sécurité sont à 80% la première cause de dysfonctionnement d’un site web, que le service soit totalement interrompu ou très dégradé par des actions de piratage. Un hébergeur de site web fait face quotidiennement à des attaques.

La question de la protection et  de la sécurité des sites web est donc essentielle, elle reste pourtant souvent mal adressée.  De nombreuses idées fausses circulent sur le sujet et une proportion considérable de sites négligent les règles pourtant simples qui permettent un premier niveau de protection.

Les menaces sur les sites web

L’augmentation des menaces sur les sites web

Ces dernières années, la menace a changé et s’est systématisée.

L’attaque classique consistant à modifier l’aspect d’un site existe toujours, mais la principale attaque est insidieuse, elle cherche à bloquer le fonctionnement du site, ou à l’utiliser pour s’y infiltrer et commettre des actions illégitimes de manière la plus discrète possible.

Le deuxième changement est lié aux outils utilisés par les pirates : grâce à des scripts et robots, ils vont pouvoir scanner sur le web un très grand nombre de sites pour y détecter une faille et s’y infiltrer. Quelle que soit votre activité, vous pouvez être visé sans que ce soit votre activité en tant que telle qui intéresse le pirate.

C’est l’utilisation de ces outils très puissants qui augmente la menace et la fréquence des attaques.

Changement de nature des menaces

Les attaques sont beaucoup plus insidieuses  et moins visibles, elles visent à :

  • infiltrer un site pour y récupérer des informations confidentielles : login et mots de passe, informations clients, moyens de paiements,…
  • se servir de votre site pour lancer des attaques sur la véritable cible à votre insu,
  • tous les sites comportant un CMS, un blog ou forum, du e-Commerce sont sensibles.

Lire aussi une article récent paru sur le sujet sur IT social:  Le Top 3 des cyber-risques dans l’entreprise

 

Les types d’attaques web

Defacing ou défiguration de sites

Consiste à modifier l’aspect d’un site pour y apposer sa marque ou déposer un message hostile. Cela concernera surtout les sites à forte exposition et notoriété, ou portant sur des sujets d’actualité ou polémiques.

Pour un site standard, ce type d’attaque a tendance à diminuer.

Dépôt de fichiers ou logiciels illicites

Consiste à déposer sur le site un fichier exécutable permettant de prendre la main sur le serveur pour :

  • accéder aux informations du site, à sa base de données, relever des identifiants, des accès administrateurs,
  • capturer des informations illicitement, le phishing ou hameçonnage,
  • effectuer des envois de mails massifs,
  • mener des attaques de déni de service sur le site ciblé depuis votre serveur en usurpant votre adresse IP,

L’injection de commande SQL

Permet de prendre la main sur la base de données en exploitant un formulaire mal construit ou une requête SQL.

Déni de services ou attaques Ddos

Elle vise à rendre indisponible un service web en le surchargeant, soit en saturant sa bande passante, soit en épuisant ses ressources en lançant un très grand nombre de sessions, de requêtes, de traitements…Votre site peut servir de serveur de rebond pour attaquer la véritable cible, votre site sera impacté également.


Tout site web comportant un formulaire d’inscription, un espace client, est une cible potentielle.

Tout site web attaqué une fois le sera à nouveau.

La très grande majorité des attaques web passe par une vulnérabilité logicielle.


 

Les risques pour le propriétaire du site

Un risque réel, même lorsque le site web attaqué n’est pas la cible finale de l’attaque

  • Indisponibilité totale ou partielle du site,
  • Dommage d’image,
  • Blacklisting, dommage sur la e-réputation, mise en quarantaine du site par son hébergeur,
  • Mise en cause de la responsabilité du propriétaire du site par les personnes morales ou physiques ayant subi un préjudice,
  • Fuite d’informations commerciales avec la concurrence,
  • Coût financier de la remise en route et correction du site

Vérifier son contrat avec son hébergeur

Les hébergements low cost rejettent toute responsabilité de l’hébergeur sur le client ou son agence web/prestataire de service. Si votre contrat ne comporte pas de services managés d’administration ou mise à jour logiciel , ou encore de services de sécurité  comme un simple firewall, vous serez seul responsable des dommages causés, sans avoir pu en prévenir le risque.

 

Les mesures de prévention des attaques web

Hébergement externalisé

Recours à un hébergement sécurisé chez un prestataire spécialisé. Votre site bénéficiera d’une infrastructure plus robuste et sécurisée, et devrait bénéficier de mesures de protection standards.

Privilégier un hébergement dédié

L’hébergement mutualisé est une solution simple et très économique. Votre site est installé avec d’autres sur une même plateforme ou environnement.  Vous n’en maîtrisez donc pas les sécurités et les mises à jour, et votre site peut être bloqué par une attaque subie par un autre site mutualisé. Cette solution est adapté à un site très simple sans enjeu business ou image.

Dès que votre site présente un enjeu fort au regard de votre activité, il vaut mieux privilégier un hébergement dédié sur un serveur virtuel privé ou VPS, vous maîtrisez votre environnement et pouvez le protéger efficacement et régulièrement. Vous pourrez également décider des actions à engager en cas d’attaque et disposer de tous les moyens d’analyse

Architecture N tier

En optant pour une archictecture web sécurisée, et en segmentant les rôles et fonctions des serveurs, vous réduisez le risque de contamination à l’ensemble de la plateforme, les pirates auront aussi plus de mal à atteindre tous les serveurs. En ajoutant un serveur proxy en amont, vous réduisez la surface de votre site exposée aux pirates.

Architecture logicielle

Minimiser le nombre de composants applicatifs, ne pas installer des modules non utilisés qui risquent de ne pas être mis à jour, tout ceci contribue à réduire votre surface d’exposition et le risque de non mise à jour d’une brique logicielle.

Maintenance corrective efficace

Organiser la maintenance corrective avec son prestataire hébergeur et l’équipe de développement afin de mettre à jour régulièrement tous les composants logiciels (Php, My SQL, le CMS, ses modules,…), et en particulier en passant très régulièrement les patch de sécurité. Cette prestation fait partie des services managés que doit proposer votre hébergeur.

Auditer le site avec un test de vulnérabilité applicative

Il existe des outils qui scannent votre site pour repérer une éventuelle faille de vulnérabilité applicative. Ces outils disposent d’un catalogue de vulnérabilités et vont tester votre applicatif sur l’ensemble de ce catalogue. Le résultat de l’audit préconisera une liste d’actions correctives. Cette opération doit être menée à intervalle régulier et en particulier au moment de mises à jour ou d’évolutions significatives. Un bon hébergeur doit savoir vous proposer ce type de service.

Antivirus

Installer un antivirus sur les serveurs. Votre hébergeur doit être capable de vous proposer un service simple, administré par ses soins et économique.

Firewall sécurité des accèsRègles de filtrage réseau et firewall

Aussi élémentaire que cela puisse paraître, de nombreux hébergements n’incluent pas de service de firewall dignes de ce nom, voire n’en prévoient pas du tout, ou enfin vous laissent complètement seul pour le gérer. C’est pourtant une protection absolument indispensable et le principe général doit être de resserrer au maximum les accès via la règle du moindre privilège et modèle positif. Vérifiez tout de suite votre situation.

Organisation de la sécurité des accès au site web

Votre hébergeur doit vous préconiser un ensemble de bonnes pratiques qui rendront une attaque beaucoup plus compliquée à mener, voici une liste non exhaustive des points à adresser :

  • Gestion des mots de passe : diversifier vos mots de passe pour chaque fonction et assurez-vous qu’ils ont le bon niveau de protection.
  • Type d’accès: privilégier un nombre limité d’accès en excluant les autres.
  • Protéger les répertoires en mode d’accès limités : par exemple interdire de lister le contenu d’un répertoire, d’y exécuter un script, d’y…..
  • Accès réseau sécurisé de type VPN IPsec ou SSL pour l’administration du site.
  • Tenir à jour une matrice des flux.
  • Assurer une revue régulière des accès.

Traçabilité

Tracer les accès pour analyser et prendre des contre-mesures.

Protéger les informations clés

Changer les valeurs et nommages par défaut.

Protéger les éléments sensibles comme les éléments de configuration.

Détection des changements non programmés

Assurer la détection de l’apparition de nouveaux fichiers, modification ou changement de configuration.

Véritable supervision

Surveiller le comportement du site, positionner des alertes sur des comportements atypiques, ne pas oublier de vérifier qui va exploiter la supervision, et que cette supervision est bien assurée sur une plage horaire qui couvre votre site. Trop souvent, un site attaqué un week-end n’est en fait pas supervisé en heures non ouvrées, il va rester en panne jusqu’au lundi matin, et remis en route dans la journée. C’est arrivé l’année dernière dans les jours précédant Noël au site marchand d’une marque de produits haut de gamme.

Scénario de test applicatif

Surveiller le comportement du site en incluant dans votre supervision applicative un scénario standard, positionner des alertes sur des comportements atypiques.

Gestion de la capacité

Une bonne gestion de la capacité doit permettre au site de conserver à tout moment une marge de manœuvre pour absorber le début d’un trafic anormal, et avoir le temps de l’identifier et de le bloquer.

Service de CDN

Permet de rendre le site moins sensible. Un dispositif externe au site d’hébergement est important. De nombreux services de CDN comportent des dispositifs spécifiques de prévention et détection en amont des attaques de types Ddos. Relativement peu coûteux et simples à mettre en œuvre, ils sont très efficaces. Vous prévenez l’attaque Ddos avant qu’elle atteigne de plein fouet votre site, et donc en réduisez l’impact. Votre hébergeur doit savoir vous le proposer.

Certificat-SSLProtocole https

Recourir à un certificat SSL et  au cryptage des flux sur internet pour sécuriser vos clients et éviter le vol d’informations personnelles et d’identifiants sur un formulaire, un espace client,…

Le coût d’un certificat SSL est modique par rapport au risque encouru, ne pas l’avoir déployé est difficile à justifier vis à vis des clients en cas d’incident, et pourtant la majorité des sites n’en sont pas équipés.

Gestion des incidents de sécurité

Identification, traçabilité, analyse, mesures de réaction, la gestion des incidents de sécurité doit être organisée entre le client, le développeur du site et l’hébergeur. L’objectif est d’agir rapidement en réaction, d’identifier les causes et d’y remédier pour l’avenir.

 

Conclusion – Pour aller plus loin sur la sécurité web

Le risque 0 n’existe pas, et un risque proche de 0 peut être prohibitif.

Néanmoins, il faut être conscient que les attaques sont quotidiennes et nombreuses.

La première étape  de votre démarche consiste à évaluer votre exposition potentielle et l’impact que pourrait avoir une attaque pour votre société.

A partir de là, vous pourrez sélectionner les mesures que vous souhaitez appliquer en passant en revue la liste que nous vous proposons.

Un certain nombre de ces actions sont juste de bonnes pratiques et n’impliquent que des coûts très faibles et un minimum d’organisation. Décider de les appliquer est très simple et n’a pas d’implication budgétaire majeure.

L’hébergeur de votre site est plus directement concerné par les incidents de sécurité. Tout d’abord parce qu’il est la plupart du temps le premier à les constater, et souvent le premier à être mis en cause sur un incident même si la cause n’est pas de sa responsabilité. Ensuite, par le grand nombre de sites qu’il héberge, il dispose en général d’une expérience large. Il doit savoir vous conseiller au mieux de votre intérêt et dans le cadre de votre contrainte budgétaire. Il est important de d’impliquer votre hébergeur dans cette démarche et de vous fixer des objectifs sur lesquels il pourra vous conseiller, et vous indiquer les  mesures à privilégier.

Confier à un prestataire l’hébergement de son site web en mode services managés est la meilleure garantie pour assurer une bonne sécurité.

Laisser un commentaire

*

Be sure to include your first and last name.

If you don't have one, no problem! Just leave this blank.