Toujours en juillet, Meow, une mystérieuse attaque informatique, a sévi en détruisant des bases de données non protégées. Ce sont ainsi plus de 3 300 attaques qui ont été recensées dans le monde. En France, 298 bases de données ont été visées. Aucune rançon n’était demandée, il s’agissait juste de supprimer des bases de données.

À l’aube de la nouvelle décennie, cette tendance devrait malheureusement perdurer. Alors que les menaces continueront à évoluer, les cyberattaquants opéreront en mode de plus en plus furtif avec des techniques de plus en plus sophistiquées.

Si les attaques contre de grandes entreprises comme Twitter, ou comme Disney Plus en 2019 font la une des médias, en réalité aucun site web n’est trop petit pour être piraté. Pour preuve, près de 70 % des petites et moyennes entreprises (PME) sont victimes de cyberattaques. Alors, si ce n’est déjà fait, inscrivez la sécurité du site web de votre petite entreprise dans vos priorités pour 2021.

Mais par où commencer ?

GlobalSign va tenter d’apporter des éléments de réponses pour les quatre grandes questions sur la sécurité d’un site web. On abordera également les raisons pour lesquelles les petites entreprises ont tout intérêt à prospérer et se développer en ligne.

1. Qu’est-ce que la sécurité des sites web ?

Pour faire court, la sécurité des sites web donne à une entreprise le pouvoir de protéger son site et ses visiteurs contre de dangereuses cybermenaces. Un site web standard subit en moyenne 62 attaques par jour. La sécurité des sites web (ou « sécurité web ») permet de protéger efficacement son site contre ces tentatives d’infraction.

Aperçu des principales solutions de sécurité pour sites web :
• Analyse de site web : un scanner de site web vérifie la présence éventuelle de programmes malveillants et de vulnérabilités sur un site web et alerte l’administrateur le cas échéant.
• Suppression de logiciels malveillants (malwares) : cette fonction nettoie automatiquement les contenus malveillants d’un site web, pour que les visiteurs puissent consulter le site en toute sécurité. En supprimant les malwares d’un site, l’entreprise procéde comme la personne qui entreprend de dératiser sa maison. Ainsi, en cas de problème lié à un malware, celui-ci sera automatiquement supprimé.
• Pare-feu d’applications web (WAF) : un WAF (Web Application Firewall) intervient en première ligne de défense d’un site web et barre l’accès aux cybercriminels et au trafic malveillant.

2. Un hébergeur ne protège-t-il pas ?

La plupart des propriétaires de sites web pensent à tort que leur hébergeur sécurise les sites web qui sont hébergés sur leurs serveurs. En fait, sur le plan de la sécurité, la responsabilité des hébergeurs se limite à la protection de leurs serveurs. Cela revient à comparer le serveur à un bâtiment, et le site web à un appartement. Le gestionnaire du bâtiment est chargé de fournir le personnel de sécurité, mais c’est à chaque locataire d’installer un système de sécurité dans son appartement. Les propriétaires de sites web doivent donc trouver, par leurs propres moyens, les solutions pour sécuriser leurs vitrines numériques.

Outre l’aspect purement sécuritaire, il est nécessaire d’être conscient des conséquences financières pour sa petite entreprise si notre site n’est pas sécurisé. Une cyberattaque qui « réussit » peut coûter à l’entreprise jusqu’à 362 euros par minute — ce chiffre tient compte de la durée de l’interruption d’activité qu’il faut ensuite récupérer, mais n’englobe pas les coûts liés à la reconstruction de l’image de marque de l’entreprise.

3. Un site non-marchand doit-il quand même être protégé ?

Naturellement, les sites marchands sont des cibles de premier plan pour les cybercriminels. Mais, même si l’on ne gére pas de boutique en ligne, la sécurité d’un site reste essentielle. Les cybercriminels ont dans leur viseur d’autres actifs, données et ressources que les informations de paiements.

À quoi s’intéressent-ils ?

• Aux adresses e-mail : la liste d’e-mails qui a été si patiemment constituée pourrait attirer la convoitise des rois du phishing et autres escroqueries.
• Au trafic du site : l’utilisation d’un logiciel malveillant appelé « URL redirect » permet de rediriger automatiquement les visiteurs d’un site web vers un site malveillant.
• Au classement des mots clés : le spam SEO, également appelé spamdexing ou référencement abusif, consiste à injecter des mots clés et des liens dans un site web dans le but de le polluer. Ces mots clés et ces liens indiquent à Google comment le site web doit se classer dans les résultats de recherche. Ainsi, le référencement abusif force un site web à apparaître dans les résultats de recherches de mots clés sans rapport avec son activité, en empêchant ses pages de renvoi de s’afficher dans les recherches de termes liés à l’activité de l’entreprise.
• Aux visiteurs : en défigurant un site, les cybervandales cherchent à capter l’attention de ses visiteurs et à promouvoir certaines thèses politiques ou religieuses.

4. Un site quasiment peu utilisé peut-il se faire pirater ?

Si une entreprise utilise son site web principalement pour maintenir une présence en ligne, ou si elle ne dispose que d’un simple site personnel ou d’information, elle ne doit pas négliger pour autant la sécurité. Même si elle ne l’utilise pas, son site web reste vulnérable aux attaques. Surprenant ? Pas tant que ça, car lorsque l’on ne maintient pas son site web, plusieurs facteurs accroissent le risque d’en faire une cible d’attaque :
• Modules d’extension obsolètes : les modules d’extension (plug-ins) obsolètes sont susceptibles de présenter des problèmes de sécurité non corrigés. Deux raisons à cela : soit les correctifs n’ont jamais été téléchargés, soit ils n’ont jamais été créés par le développeur. Il faut savoir que 44 % des plug-ins du référentiel de WordPress n’ont pas été mis à jour depuis plus d’un an. Or, s’ils ne sont pas corrigés, ces problèmes peuvent entraîner des vulnérabilités.
• Système de gestion de contenus (CMS) obsolète : 52 % des sites WordPress infectés n’utilisaient pas les derniers correctifs de sécurité pour le noyau WordPress au moment de leur attaque.

En conclusion, face à la sophistication et à la furtivité croissante des cyberattaques, il est impératif d’adopter le niveau de sécurité adéquat. En 2021, les entreprises vont devoir s’atteler à la sécurité de leur site web. Il en va de la préservation de leur réputation, de leurs revenus et de leur trafic.