Partager cet article

Comme plus de 28 000 freelances, recevez des offres de mission tech à la messure de votre talent sur FreelanceRepublik.

Derniers articles

AccueilMarché de la techSociété7 règles essentielles pour sécuriser son site web

7 règles essentielles pour sécuriser son site web

Ces dernières années ont été marquées par une augmentation importante du nombre de cyberattaques avec, comme nous le verrons, des conséquences parfois désastreuses.

Pour éviter cela, il est aujourd’hui essentiel d’assurer la sécurité informatique de son entreprise, et plus particulièrement de son site web.

Vous voulez sécuriser votre site internet ? Pour vous aider dans cette démarche, nous avons sélectionné 7 règles à mettre en place dès aujourd’hui, pour améliorer la cybersécurité de votre site professionnel.

Pourquoi sécuriser son site web ?

Avant de lister ces sept étapes pour protéger son site d’entreprise, il est important de comprendre en quoi il est aujourd’hui essentiel de le faire, et quelles sont les conséquences en cas de manquement à ces règles de cybersécurité.

De multiples risques

Au cours des dernières années, les cyberattaques se sont multipliées, et avec elles les risques de se faire pirater. Si certaines sont médiatisées (attaques informatiques sur des services publics, tels que les hôpitaux), la plupart n’ont pas assez de conséquences à grande échelle pour faire parler d’elles. Ce sont cependant les plus nombreuses.

Les PME, notamment celles utilisant des sites e-commerce, sont les plus vulnérables. Les risques sont nombreux ; en voici les principaux :

  • attaque par phishing (vol de mot de passe via des mails frauduleux) ;
  • ransomware (bloquage du site et demande d’une rançon pour le débloquer) ;
  • virus infiltrant le réseau informatique ;
  • attaque par déni de services (DDoS).

Des cyberattaques aux conséquences désastreuses

Et les conséquences de ces attaques peuvent être désastreuses, voire fatales. 60% des PME victimes d’une attaque informatique mettent la clé sous la porte dans les 18 mois suivant l’attaque.

Si la fermeture de l’entreprise est le risque le plus extrême, il en existe d’autres :

  • bloquage du site (et donc perte nette de chiffre d’affaire) ;
  • vol de données des utilisateurs ou des administrateurs (parfois revendues sur le dark web) ;
  • perte de confiance de ces utilisateurs, mauvais avis sur le web.

Nous comprenons maintenant en quoi il est important de mettre en place quelques règles de sécurité !

Les 7 étapes pour sécuriser son site

Homme travaillant avec un ordinateur et un smartphone

Il existe beaucoup de moyens de sécuriser un site web. Nous avons choisi ici d’en expliquer 7, faciles à mettre en place tout en étant efficaces.

1. Sécuriser les données personnelles stockées

Nous l’avons dit, certains pirates peuvent récupérer les informations personnelles stockées par un site web (que cela soit celles des administrateurs comme des utilisateurs ou clients).

Ces données peuvent être utilisées à mauvais escients, et même, et c’est souvent le cas, revendues sur le dark net. Il est donc important, pour soi et pour ses clients, de protéger ces données.

Si vous utilisez des CMS tels que WordPress ou WooCommerce, une couche de sécurité existe déjà. Mais il existe également des plugins pour améliorer cette sécurité, comme nous le verrons.

En revanche, si vous avez la main sur ses données, voici quelques conseils simples :

  • ne demander et ne stocker que le minimum de données ;
  • chiffrer les mots de passe ;
  • utiliser des services externes pour gérer les comptes utilisateurs (connexion via Google, etc.).

2. Sécuriser les accès, les échanges et les paiements

Pour en assurer la cybersécurité, il est également important de sécuriser son site web à plusieurs niveaux : à l’accès au site, au niveau des échanges de données, et des paiements.

Pour l’accès au site, il peut être recommandé de mettre en place une authentification à double facteurs (ou 2FA – Two-Factor Authentication). Au moment de la connexion, le système demandera à l’utilisateur de rentrer un code, souvent envoyé par SMS, pour terminer la connexion. Attention toutefois, ce mode de connexion peut créer des frictions, et entraînera une possible perte d’utilisateurs.

Il est aussi essentiel de sécuriser les échanges entre le site web et les appareils des utilisateurs, grâce au protocole HTTPS, au lieu du simple HTTP. Ce certificat, généré par l’hébergeur du site, est même devenu obligatoire ; Google Chrome bloquera par exemple tout site n’utilisant pas le HTTPS.

Au niveau des paiements, il est possible d’intégrer des sécurités supplémentaires, comme le 3D secure. Sorte de double authentification pour le paiement, ce protocole renverra l’utilisateur vers le site de sa banque, où il devra saisir un code reçu par SMS pour pouvoir terminer la transaction.

3. Installer des modules assurant la sécurité

Si vous utilisez un CMS, comme WordPress, WooCommerce ou Prestashop, il est possible et recommandé d’installer des plugins améliorant la sécurité de votre site.

Il existe par exemple Wordfence, plugin permettant d’ajouter un pare-feu à votre site WordPress ou WooCommerce, ainsi que de scanner le site complet à la recherche de virus.

iThemes Security est un autre plugin WordPress permettant d’assurer la sécurité d’un site, notamment via le monitoring de son activité, le bloquage de bots ou le scan de vulnérabilités des modules installés.

4. Mettre à jour les modules

En parlant de modules installés, il est important de les mettre à jour dès qu’une nouvelle version est disponible.

Les nouvelles versions d’outils développés (peu importe le support : site web, application mobile, module WordPress, etc.) ne sont pas là uniquement pour corriger des bugs ou ajouter de nouvelles fonctionnalités.

Des problèmes de sécurité sont découverts tous les jours, et ils peuvent toucher n’importe quel outil basé sur du code informatique. Souvent, lorsqu’une faille est détectée, elle est rapidement corrigée par les développeurs, et une nouvelle version est mise en ligne. La mise à jour doit être faite le plus tôt possible ; il est donc important de vérifier régulièrement si de nouvelles versions sont disponibles.

5. Sensibiliser clients et collaborateurs au phishing

La majorité des cyberattaques démarrant avec du phishing, il est important d’y sensibiliser utilisateurs et collaborateurs !

Le phishing est une pratique visant à se faire passer pour un tiers de confiance pour tromper l’internaute. Typiquement, un pirate informatique envoie un mail, en se faisant passer pour une banque, avec un message contenant un lien.

Le lien mène vers une copie du site, créée par l’attaquant. L’utilisateur s’y connecte en y saisissant ses identifiants, mais le formulaire est faux ; c’est le pirate qui récupère adresse e-mail et mot de passe. Il utilisera ensuite ces identifiants pour tenter de se connecter aux autres comptes de la personne piégée (d’où l’importance d’avoir des mots de passe différents pour chaque service).

Pour éviter ce genre de problématique, il est possible d’afficher, comme le font les banques, des messages d’avertissement sur le site, demandant aux visiteurs de se méfier s’ils reçoivent tel ou tel e-mail.

Si vous avez des collaborateurs, ou si d’autres personnes ont accès à l’administration votre site, il est encore plus important de leur parler de ce risque.

Une bonne pratique dans ce cas, c’est d’instaurer la règle du moindre privilège. Elle consiste à donner le moins de droits possible à l’utilisateur d’un site. Par exemple, un collaborateur travaillant au SAV n’aura pas besoin d’avoir les mêmes droits qu’un administrateur. Si le compte de ce collaborateur se fait pirater, les conséquences en seront limitées.

6. Sauvegarder les données du site régulièrement

En sécurité informatique, le risque zéro n’existe pas ; il est impossible de sécuriser un site à 100%. Aussi, il est intéressant de prendre des mesures préventives. La sauvegarde des données en fait partie.

Cela consiste à sauvegarder régulièrement (par exemple, toutes les nuits) ce qui est contenu dans la base de données du site web. C’est encore plus important lorsqu’on parle de site e-commerce. Sauvegarder les commandes des clients permettra, en cas de cyberattaque, de limiter les pertes.

Pour cela, il est possible de programmer des sauvegardes automatiques, soit via l’hébergeur web, soit grâce à l’utilisation de plugins externes. La sauvegarde manuelle est également une possibilité.

Aussi, il est conseillé de faire plusieurs copies à chaque fois. Il est par exemple possible de sauvegarder l’ensemble des données à la fois sur le cloud et sur un disque physique.

7. Faire tester (et sécuriser) son site par un professionnel

homme travaillant devant un ordinateur sur un terminal

Enfin, le dernier conseil que nous pouvons donner ici : faites tester et sécuriser votre site par des professionnels.

Certains indépendants, ou entreprises, sont en effet spécialisés dans cette thématique : tester le niveau de cybersécurité d’une entreprise, et implémenter les bonnes pratiques en cas de manquements.

Cela à un coût, mais si votre entreprise tourne grâce à votre site web, c’est un investissement qui en vaut la peine.

Conclusion

Comme nous l’avons vu, devant des risques de plus en plus présents, et des conséquences parfois dramatiques, il est aujourd’hui essentiel de sécuriser le site web d’une entreprise. Et, pour cela, il existe des règles à mettre en place.

Nous espérons que les sept que nous avons citées ici vous permettront d’améliorer la sécurité informatique de votre entreprise et de son site web. Si vous souhaitez aller encore plus loin, il existe des sites spécialisés sur lesquels vous trouverez encore plus de conseils.

Ces articles peuvent vous intéresser

Ne perdez plus de temps à prospecter en vain. Inscrivez-vous gratuitement sur FreelanceRepublik, et recevez de belles offres de missions tech. FreelanceRepublik est gratuit pour les freelances.