La sécurité informatique est un sujet qui fait actuellement l’objet de discussions partout. Les ransomwares, les chevaux de Troie, le phishing, les attaques DDoS, les virus et les botnets ne sont que quelques exemples de menaces qui jouent un rôle.
Les sites Web ne sont pas à l’abri des attaques – les chiffres montrent que ce que l’on peut trouver sur Internet est également attaqué. Au cours du premier semestre 2019, Deutsche Telekom a effectué une série de tests avec 3000 31 « honeypots », des serveurs Web spécialement configurés pour mesurer les attaques externes. Les pots de miel ont enregistré en moyenne 46 millions d’attaques chaque jour, et jusqu’à <> millions d’attaques se sont réunies en une journée.
Ce qui rend ces chiffres intéressants, c’est qu’ils peuvent être comparés aux chiffres de 2017 – d’une moyenne de 4 millions d’attaques par jour, les attaques ont augmenté de 675% en deux ans.
La sécurité des sites Web est donc plus importante aujourd’hui que jamais – ne donnez aucune chance aux failles de sécurité et protégez vos systèmes avec des mesures appropriées!
Vecteurs d’attaque
Les façons dont les sites Web peuvent être attaqués (appelés vecteurs d’attaque) sont très diverses. Le nombre élevé d’attaques observées dans l’étude Telekom est principalement dû au fait que de nombreuses attaques sont désormais effectuées automatiquement. Ce ne sont plus seulement de simples scripts qui sont utilisés, des algorithmes complexes et des applications d’IA font désormais partie du répertoire des hackers.
Attaques automatisées sur les plateformes populaires
Bien sûr, l’automatisation apporte les meilleurs résultats lorsqu’elle peut être appliquée à grande échelle. C’est pourquoi les systèmes de gestion de contenu populaires et largement utilisés comme WordPress sont également des cibles privilégiées.
Ici, les pirates tentent non seulement de deviner les mots de passe avec des attaques par « force brute », mais aiment également exploiter les vulnérabilités connues qui existent dans les systèmes qui n’ont pas été mis à jour, par exemple. Cela s’applique à la fois aux systèmes eux-mêmes et aux plug-ins et extensions présentant des vulnérabilités connues, telles que le cross-site scripting (XSS) ou les injections SQL. Avec des outils adaptés, il n’y a aucun problème pour les attaquants de détecter et d’exploiter automatiquement ces vulnérabilités.
Hameçonnage et ingénierie sociale
Un vecteur d’attaque beaucoup plus complexe, mais souvent réussi, est le facteur humain. Le « phishing » est un terme utilisé comme une menace, en particulier dans le domaine de la banque en ligne, mais bien sûr, il affecte également de nombreux autres domaines. Le terme décrit la tentative d’accéder aux mots de passe et aux autorisations d’accès via des formulaires de connexion d’imitation (plus ou moins) trompeusement réels ou en prétendant d’autres circonstances.
Dans les constellations plus complexes, le phishing est souvent associé à « l’ingénierie sociale ». Ici, les (fausses) relations entre les personnes sont utilisées pour gagner la confiance et ainsi obtenir des informations. Dans sa forme la plus simple, cela peut signifier, par exemple, que les pièces jointes de logiciels malveillants sont (apparemment) envoyées à partir d’adresses e-mail de confiance et fournies avec une lettre de motivation réaliste et personnelle. Dans les attaques plus spécifiques, cependant, l’ingénierie sociale peut également être utilisée pour espionner une cible spécifique afin d’exploiter ses intérêts et ses faiblesses pour une attaque.
Déni de service distribué (DDoS)
Un site Web peut être victime d’une attaque par déni de service distribué (DDoS) ou, si lui ou le serveur a été infecté, il peut lui-même être utilisé dans le cadre d’une attaque. Dans le processus, le site Web est inondé de nombreuses demandes simultanées provenant d’endroits très différents (donc « distribués »). Les botnets sont souvent utilisés ici. L’objectif principal est de submerger le serveur avec trop de requêtes afin que le site Web ne soit plus accessible.
Conséquences d’une attaque réussie
Si l’attaque sur un site Web réussit, un certain nombre de conséquences peuvent survenir pour les opérateurs.
Coûts et efforts
La réparation des dommages après une attaque entraîne des coûts et des dépenses d’argent et de main-d’œuvre. Dans certaines circonstances, l’ensemble du système doit être configuré à partir de zéro, les serveurs doivent être configurés à partir de zéro. L’investigation exacte des causes est tout aussi importante que la restauration de l’état d’origine – plus apparemment quelques améliorations.
La règle de base est la suivante: la prévention coûte toujours moins cher que le nettoyage a posteriori. Mieux vaut prévenir que guérir.
Perte de productivité
Un site Web sophistiqué ne lie pas seulement les travailleurs avec vous et vos fournisseurs de services. Si votre site Web joue un rôle majeur dans votre stratégie de vente – que ce soit indirectement en tant que source d’information pour vos clients ou directement dans une boutique en ligne – tout temps d’arrêt vous coûtera bien sûr des demandes de renseignements ou même des commandes et donc de l’argent.
Selon la constellation, cependant, votre site Web peut également affecter des systèmes importants de l’entreprise, l’intranet ou d’autres domaines de l’infrastructure numérique. Il est évident que cela peut nuire à la productivité de votre entreprise – et la prévention est particulièrement importante ici.
Perte de réputation
Un site Web qui peut être en panne pendant des jours, des systèmes inaccessibles – tout cela peut donner à vos clients (ou clients potentiels) l’impression que vous n’êtes pas fiable. Si votre site Web est même utilisé pour propager des logiciels malveillants (cela s’est également produit après des piratages), les dommages causés à votre réputation peuvent également se manifester par une baisse significative de votre réputation SEO. Dans certaines circonstances, votre classement peut alors chuter sensiblement, un dommage qui ne peut être réparé qu’avec difficulté et dans un long processus.
Perte
L’un des problèmes très graves avec un piratage de site Web est une perte possible de données – par exemple, si des informations d’une base de données sont perdues – ou une fuite de données. Les informations importantes sur l’entreprise et les données des clients ne doivent donc jamais être directement accessibles via le site Web.
Si les attaquants réussissent à voler des informations personnelles à des clients ou à leur sujet, cela doit généralement être signalé non seulement aux personnes et aux entreprises concernées, mais également aux autorités de protection des données.
Six conseils pour assurer la sécurité de votre site Web
Bien sûr, toutes les attaques ne réussissent pas – et vous pouvez faire beaucoup pour rendre les choses aussi difficiles que possible pour les pirates. Nous décrivons ici des conseils essentiels sur la façon de protéger votre site Web contre les attaques.
Sécuriser et segmenter les réseaux
Tout d’abord: Bien sûr, la sécurité informatique doit également être garantie dans le reste de vos systèmes; Cela commence par la protection antivirus et les pare-feu, comprend les mises à jour du système pour les postes de travail et ne se termine pas avec les films de confidentialité pour les ordinateurs portables de l’entreprise qui sont également utilisés en dehors du bureau.
Par-dessus tout, il est important de segmenter vos réseaux en différentes zones dans la mesure du possible afin que les logiciels malveillants ne puissent pas se propager latéralement d’un système à l’autre. Coupez toutes les connexions qui ne sont pas nécessaires! Cela signifie que même un pirate informatique qui a accès à votre site Web ne peut pas accéder immédiatement aux données de zones complètement différentes.
Vérifiez si tous les utilisateurs qui ont des droits d’administration en ont vraiment besoin : limitez autant que possible l’accès aux systèmes et autorisations importants !
Mises à jour, mises à jour, mises à jour
Il en va de même pour votre système de gestion de contenu (CMS) : les mises à jour de sécurité sont importantes. On ne le dira jamais assez. Chaque système a des faiblesses, chaque système reçoit des mises à jour de sécurité – et entre-temps, il ne s’écoule souvent que quelques heures entre la divulgation d’une vulnérabilité et la date de publication d’un script qui exploite cette vulnérabilité, au moins de manière semi-automatique.
Vous devez vérifier toutes les façons dont vos systèmes peuvent être attaqués directement via le Web. Cela est particulièrement vrai pour les systèmes de gestion de contenu tels que WordPress et TYPO3, qui sont utilisés par de nombreuses entreprises et organisations.
Vous devez donc systématiquement vous assurer ou faire assurer que votre CMS, votre système de boutique est à jour, idéalement la dernière version a toujours été installée. Les mises à jour de sécurité doivent être effectuées avec une priorité élevée. Il n’y a rien de plus facile que de se protéger des failles de sécurité connues et déjà comblées.
Sauvegardes, sauvegardes, sauvegardes
Encore une fois, on ne le dira jamais assez : assurez-vous que toutes les informations importantes sont sauvegardées régulièrement et automatiquement et, idéalement, stockées physiquement séparément du système en direct, de préférence sans connexion directe à Internet ou au reste de votre réseau.
La sécurité ici signifie que vous pouvez être sûr que vous serez bientôt en mesure de restaurer votre système avec toutes les données qu’il contient – en cas de piratage, vous vous protégerez contre la perte de données et les longs temps d’arrêt.
Passez en revue votre politique de sauvegarde et obtenez des conseils sur ce qu’est une fréquence de sauvegarde « régulière » raisonnable pour vos besoins et sur la façon dont les copies de sauvegarde peuvent être stockées.
Sécurisation du serveur
Bien sûr, ce qui s’applique à votre CMS devrait également s’appliquer à votre serveur. Si vous n’avez pas l’expertise nécessaire pour exploiter vos propres serveurs, vous devriez faire appel à un fournisseur professionnel qui propose des serveurs gérés, y compris les garanties nécessaires, les mises à jour et les sauvegardes nécessaires.
Un serveur géré bien exploité et adapté à vos besoins avec des capacités contrôlables et évolutives correspondantes est également une protection assez fiable contre les attaques DDoS.
Former les employés
Le facteur humain peut être une vulnérabilité dangereuse dans les attaques de phishing, mais c’est exactement là que les employés formés sont la meilleure stratégie de défense. Apprenez-leur à reconnaître les tentatives d’hameçonnage et, surtout, à se conformer aux normes de sécurité. De cette façon, beaucoup de ces attaques peuvent déjà être repoussées.
Des employés formés sont également la meilleure protection car ils peuvent détecter les attaques réussies à un stade précoce et ainsi prévenir des dommages majeurs.
Hygiène des mots de passe
Une exigence importante pour vos employés sera de garder leurs mots de passe en ordre. Cela ne signifie pas que les mots de passe doivent être changés régulièrement – l’Office fédéral allemand de la sécurité de l’information (BSI) s’est également écarté de cette maxime, qui a souvent été invoquée dans le passé, depuis octobre 2019.
Au lieu de cela, il est important que vos employés n’utilisent que des mots de passe qui répondent à au moins deux critères clés :
- Complexe. Le mot de passe doit être suffisamment complexe et long pour qu’il ne puisse pas être deviné sans grand effort par des tentatives de force brute – et en particulier ne doit apparaître dans aucune liste de mots (« lexique »). Idéalement, un mot de passe se compose de plus de dix caractères et contient à la fois des chiffres et des symboles ainsi que des lettres minuscules et majuscules.
- Unique. Chaque mot de passe ne peut être utilisé qu’une seule fois, en aucun cas la même combinaison de code d’accès et de mot de passe ne peut être choisie pour plusieurs services différents.
À titre de mesure supplémentaire, par exemple, l’authentification à deux facteurs (2FA) peut être utilisée, dans laquelle une connexion à un système doit encore être confirmée via un appareil indépendant (par exemple, un smartphone). De cette façon, vous pouvez protéger vos systèmes même dans le cas où un mot de passe tombe entre de mauvaises mains.
Dans tous les cas, un mot de passe soupçonné d’avoir été compromis doit être modifié.
Résultat
Même si le domaine de la sécurité informatique est bien sûr complexe et difficilement gérable, il existe des mesures simples avec lesquelles vous pouvez réduire considérablement le risque de devenir la cible d’une attaque réussie. Protégez votre site web! Vous contribuez ainsi de manière significative à l’amélioration de la sécurité de vos systèmes informatiques dans leur ensemble.
N’ayez pas peur de faire appel à des experts. Travaillez avec des experts pour élaborer un plan clair des mesures qui ont du sens et qui sont importantes, priorisez et impliquez vos employés.