D’après le 9ème Baromètre de la cybersécurité des entreprises, réalisé par le CESIN et OpinionWay en 2024, 49 % des organisations ont subi au moins une cyberattaque « réussie » en 2023. Pour les entreprises, il est plus que jamais crucial de renforcer la sécurité de leur site web afin de protéger leurs données et celles de leurs utilisateurs. Découvrez les 10 conseils de nos experts en sécurité internet pour une protection optimale contre le risque cyber.
1. Installer un certificat SSL
La mise en place d’un certificat SSL (Secure Sockets Layer ou couche de sockets sécurisés), ou TLS (Transport Layer Security ou sécurité de la couche Transport), est devenue indispensable pour protéger son site web. Auparavant utilisé pour chiffrer et sécuriser les transactions bancaires en ligne, le certificat SSL est devenu la norme sur les sites internet. Il permet d’activer le protocole HTTPS, qui chiffre la liaison entre le serveur de votre site web et le navigateur de l’utilisateur, afin de garantir une connexion sécurisée.
Les sites avec une adresse commençant par HTTPS sont considérés comme plus sécurisés par Google et donc mieux classés dans les résultats de recherche. En effet, ils garantissent une meilleure sécurisation des données des utilisateurs. C’est pour cela que se doter d’un certificat SSL fait partie des premières étapes d’une stratégie de référencement de site web.
2. Choisir des mots de passe complexes
Pour protéger votre site internet des cyberattaques, vous devez opter pour des mots de passes uniques, longs et complexes.
Prenons un exemple : « 1234 » ou « prénom_nom » ne sont pas des mots de passe sécurisés. En revanche, « Ur677AJ7vhp2Au » ou « e5E8_8gD$mg-L8 » sont des mots de passes sécurisés, contenant des chiffres et des lettres en majuscules et en minuscules, ainsi que des caractères spéciaux.
Choisir un mot de passe complexe est indispensable pour se protéger des attaques par force brute. Ce type d’attaque consiste, pour les pirates, à tester un grand nombre de combinaisons jusqu’à trouver la bonne. Cette démarche est automatisée et ne prend généralement que quelques minutes. Le pirate peut alors s’introduire dans l’administration de votre site web et créer un accès utilisateur qui lui permettra d’accéder à votre site internet à tout moment.
Il va sans dire que votre mot de passe doit être changé régulièrement. Pensez aussi à activer la double authentification, qui viendra renforcer encore davantage la sécurité de l’accès à votre compte.
3. Sécuriser les accès utilisateurs
Plutôt que de créer un compte utilisateur générique auquel auront accès tous vos employés, créez des comptes spécifiques pour chaque personne, avec des droits restreints au minimum nécessaire pour la réalisation de leurs missions quotidiennes. C’est ce que l’on appelle le principe du « moindre privilège ». Si vous donnez à un utilisateur trop de droits d’accès ou de modification, il sera plus facile pour les hackers d’accéder à vos fichiers critiques ou aux informations personnelles de vos utilisateurs. De plus, restreindre l’accès des utilisateurs au strict minimum permet d’éviter le risque d’erreurs humaines, qui peuvent être exploitées par les attaquants pour s’introduire dans votre système.
4. Faire des sauvegardes régulières de son site internet
Faire des sauvegardes est essentiel pour protéger son site internet. Si vous effectuez des sauvegardes régulières, vous limitez l’impact d’un piratage sur votre site. En cas d’attaque, vous pourrez toujours restaurer la sauvegarde la plus récente pour éviter une interruption d’activité. Non seulement, cela vous permet d’assurer la continuité du service de votre site web, mais en plus, vous pourrez vous en servir pour comparer les deux versions et vérifier la source du piratage.
Que faut-il sauvegarder pour protéger son site internet ? Il est indispensable de sauvegarder la base de données et tous les fichiers du site pour permettre une restauration complète. Vos sauvegardes doivent être stockées sur un serveur distant ou dans le Cloud pour qu’elles ne soient pas également détruites par les pirates. Par exemple, vous pouvez les stocker sur Dropbox ou Google Drive.
5. Mettre à jour son CMS
Il est conseillé de mettre à jour son CMS tous les 3 mois pour une protection optimale. Les mises à jour sont indispensables : à chaque nouvelle version, les développeurs vont identifier les éventuelles failles de sécurité et les corriger par l’intermédiaire d’une nouvelle version. Or, ces failles de sécurité finissent par être identifiées par les hackers. Si vous n’effectuez pas les mises à jour, votre site sera donc davantage exposé au cyber risque.
Ne faites pas les mises à jour dès qu’elles sont publiées, car il est toujours possible qu’elles comportent d’importantes failles de sécurité. L’idéal est d’attendre quelques jours, de lire les premiers retours sur cette mise à jour, puis de la réaliser.
Les mises à jour sont importantes pour assurer la sécurité de votre site web, mais aussi pour garantir un service performant. En effet, plus votre site est à jour, plus il sera capable de faire face à une augmentation soudaine du trafic (par exemple, suite à une campagne de publicité sur Google Ads).
Pour effectuer les mises à jour de WordPress, vous avez plusieurs options :
- Suivre l’actualité de WordPress et effectuer manuellement les mises à jour après publication
- Configurer les mises à jour automatiques
- Contracter une assurance de site internet auprès d’une société spécialisée, qui se chargera de vos mises à jour
6. Protéger son serveur
Mettre à jour son CMS et sauvegarder ses données ne sont pas les seules options qui s’offrent à vous pour une protection optimale de votre serveur. D’autres mesures peuvent être mises en place. Par exemple, vous pouvez bloquer les adresses IP suspectes, une mesure de sécurité qui permet de se protéger des accès non autorisés à vos données sensibles, ainsi qu’aux attaques par déni de service distribué (DDoS).
Pour bloquer des adresses IP, il y a une manipulation simple à effectuer sur le fichier .htaccess. Toutefois, si vous n’avez pas l’habitude de manier le code de votre site internet, il est préférable de confier cette manipulation à des experts de la sécurité internet, qui pourront effectuer cette tâche rapidement et efficacement.
Installer un pare-feu est une autres solution indispensable pour protéger votre site internet des accès non autorisés.
7. Bien choisir ses outils
Il est essentiel de vérifier que ses outils tiers soient bien fiables. En effet, utiliser des outils tiers qui ne sont pas fiables vous expose à des failles de sécurité importantes. Dès que vous faites appel à un fournisseur en matière de système informatique (par exemple, lorsque vous installez un logiciel ou un plugin), vérifiez les avis, la réputation et l’historique de ce fournisseur. Avant toute utilisation, vérifiez également les protocoles de sécurité mis en place par le fournisseur afin d’éviter d’exposer vos données sensibles.
Prenons l’exemple des plugins. Sur WordPress, il existe aujourd’hui plus de 50 000 extensions. Toutes ne sont pas aussi fiables les unes que les autres. Il est essentiel de vérifier plusieurs choses avant d’installer un plugin :
- Les avis sur ce plugin
- L’éditeur et sa fiabilité
- Le nombre d’installations
- La compatibilité avec votre version WordPress
A noter qu’une incompatibilité entre votre version de WordPress et un plugin, même fiable, peut créer une faille de sécurité importante.
8. Surveiller le journal d’activité
Le journal d’activité enregistre toutes les actions qui ont été réalisées sur votre site internet, par quel utilisateur, et à quelle date et heure. En consultant les journaux d’activités de votre site, vous saurez par exemple lorsqu’un utilisateur publie un article, ou lorsqu’un visiteur laisse un commentaire. Vous saurez aussi quels utilisateurs se sont connectés et quand.
Surveiller le journal d’activité est crucial pour assurer la sécurité de son site internet. Dès que vous constaterez une activité inhabituelle, vous pourrez ainsi prendre des mesures pour prévenir une éventuelle cyberattaque et ainsi renforcer la sécurité de votre site. La surveillance du journal d’activité peut se faire manuellement ou à l’aide d’un plugin dédié. Utiliser un plugin vous fera gagner du temps.
9. Effectuer des audits de sécurité
Effectuer des audits de sécurité est indispensable pour assurer la protection de votre site internet. L’avantage des audits, c’est qu’ils vont porter à votre attention des vulnérabilités et menaces potentielles afin que vous puissiez réagir avant qu’il ne soit trop tard. L’audit de sécurité analyse l’ensemble de votre système : votre site web, mais aussi les infrastructures informatiques. A chaque vulnérabilité détectée, une solution corrective vous est proposée afin de vous aider à faire face rapidement aux problèmes détectés. Ce type d’audit peut être effectué par une société spécialisée ou par un outil tiers.
10. Sensibiliser les employés à la sécurité informatique
Dernier conseil pour protéger votre site internet et vos données privées : sensibiliser vos employés au risque cyber. Il est important que chaque salarié soit capable de repérer les signes d’une attaque informatique afin de pouvoir réagir rapidement. Cette sensibilisation doit être continue, car les méthodes de piratage évoluent constamment, de même que les mesures préventives. Restez informé des dernières pratiques en matière de cybersécurité et assurez-vous d’en informer vos employés via des sessions d’information régulières et complètes.
