logo agence web VIVE la VIE création site internet

CONTACT / DEVIS
Tel 03 28 76 93 33
ou formulaire:

Les informations collectées sont utilisées pour traiter votre demande et y répondre. Nous ne les cédons jamais à des tiers. Pour exercer votre droit d'accès, vous pouvez utiliser : contact@vivelavie.fr ou le courrier postal.

POSTULER A UNE OFFRE

Une tribune ouverte pour échanger Le web donne souvent l'occasion de s'interroger, s'indigner, réagir...

La sécurité des sites web

Le 24-11-2022

A l'heure où les piratages se multiplient à l'encontre des sites des grandes entreprises ou ceux des institutionnels, il est bon de se rappeler que sécuriser son site, même si on ne constitue pas à proprement parler une cible, n'est pas une option.

On ne pourra jamais garantir qu'un site est sur à 100% ni vous promettre que vous ne serez jamais victime d'une attaque par déni de service. Mais avant d'arriver à ces extermités, il y a un certain nombre de procédures et de précautions à respecter.

Une visite dans le site de la CNIL (il existe encore) permet de découvrir un certain nombre de conseils utiles.

La suite de cette tribune est largement inspiré de l'article proposé par la CNIL.

S’assurer que les bonnes pratiques minimales sont appliquées

Tout site web doit garantir son identité et la confidentialité des informations transmises.

Les précautions élémentaires

  • Mettre en œuvre le protocole TLS (c'est le nouveau protocole qui remplace le SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant leur bonne mise en œuvre.
  • Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.
  • Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.

Cette recommandation dépasse très largement le savoir faire du concepteur de site dans la mesure où ce réglage s'effectue au niveau du serveur d'hébergement. A titre d'information l'hébergeur partenaire de VIVE la VIE a conservé 2 ports ouverts pour tenir compte des contenus toujours publiés en http...

  • Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateurs aux équipes en charge de l’informatique et ce, uniquement pour les actions d’administration qui le nécessitent.
  • Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.
  • Limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.

Cette recommandation est particulièrement utile aux sites basés sur des CMS (notamment les sites Wordpress) et votre prestataire doit veiller à supprimer toutes les extensions inutiles et celles qui ne sont plus suivies par leurs concepteurs. Les vulnérabilités des sites CMS sont très souvent dues à des extensions non mises à jour.

Ce qu’il ne faut pas faire

Dans le paragraphe précédent, vous avez découvert les bonnes pratiques. Passer en revue les mauvaises est utile également et nous les passons en revue ci-dessous.

  • Faire transiter des données à caractère personnel dans une URL telles que identifiants ou mots de passe.
  • Utiliser des services non sécurisés (authentification en clair, flux en clair, etc.).
  • Utiliser les serveurs comme des postes de travail, notamment pour naviguer sur des sites web, accéder à la messagerie électronique, etc.
  • Placer les bases de données sur un serveur directement accessible depuis Internet.
  • Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs utilisateurs).

Les trois derniers points sont du ressort de votre prestataire informatique, si vous en avez un. Ce sont des conseils "de base" mais on voit tout sortes de choses dans les entreprises...

Pour aller plus loin

Vous aurez certainement envie d'en savoir plus sur la solidité (ou sur les perméabilités) de votre site. De nombreux logiciels et autant de prestataires permettent de réaliser des audits. A vous de choisir le bon et en parler à votre agence web ensuite.

S’agissant des logiciels s’exécutant sur des serveurs, il est conseillé d’utiliser des outils de détection des vulnérabilités (logiciels scanners de vulnérabilité tels que nmap, nessus, nikto, etc.) pour les traitements les plus critiques afin de détecter d’éventuelles failles de sécurité.

ANSSI

Des systèmes de détection et prévention des attaques sur des systèmes ou serveurs critiques peuvent aussi être utilisés. Ces tests doivent être menés de façon régulière et avant toute mise en production d’une nouvelle version logicielle.

L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d'Information) a publié sur son site des recommandations spécifiques pour mettre en œuvre TLS ou pour sécuriser un site web.


Facebook
Toutes les tribunes

CONTACT

Adresse VIVE la VIE agence web
Adresse
Vive la Vie
14 av. Schuman - 59370 Mons-en-Baroeul
Tel VIVE la VIE agence internet Nord France
Téléphone
+33 (0) 328 769 333
e-mail VIVE la VIE agence web à Lille, création de sites
Courriel
Horaires de l'agence web de Mons-en-Baroeul, Hauts-de-France
Ouverture
du lundi au vendredi 8h00 à 17h00
©2015-2018 VIVE la VIE | Création de sites internet à Lille | Mentions légales
site mis à jour le 24 avr. 2024