Navigation path

Comment sécuriser votre site Web?

Comment sécuriser votre site Web?

Que vous développiez vous-même votre site Web ou que vous recouriez aux services d’un tiers, vous devez toujours accorder une attention particulière au développement et à la maintenance de votre site.

Les incidents de cyber-sécurité peuvent avoir un impact significatif sur votre entreprise ou votre marque (ex.: la détérioration de la réputation de votre marque), car ils peuvent être à l’origine d’une interruption de vos services, d’une perte de confiance chez vos clients, voire de sanctions réglementaires et de poursuites judiciaires. Les incidents de cyber-sécurité comprennent notamment le vol des données de vos clients, l’altération des informations fournies sur votre plateforme, la fermeture de votre site Web, la divulgation d’informations confidentielles relatives à votre entreprise, etc.

Il est également primordial d’effectuer un inventaire à l’avance, avant toute brèche de sécurité. Quelles informations sont essentielles à la mission de votre organisation? Où sont-elles conservées? En combien de temps peut-on les restaurer si elles sont supprimées lors d’une attaque? Vous devez effectuer un audit complet de vos systèmes, prendre note des composants les plus importants et assurer un suivi généralisé. Veillez également à ne pas être le seul au courant du contenu de ce document.

Protéger les informations présentes sur votre site Web

Avant même d’aborder la question avec des fournisseurs d’hébergement, vous devez vous interroger sur trois aspects fondamentaux en matière de sécurité des informations: les exigences de votre site et de vos services en termes de confidentialité, d’intégrité et de disponibilité. Vous devez ensuite déterminer les exigences de niveaux de service dont vous avez besoin. 

Pour assurer la sécurité de la conception de votre système, vous devez obtenir certaines garanties et vous assurer que les aspects suivants sont effectivement protégés:
•    confidentialité: protéger les informations (numéros de carte bancaire, données à caractère personnel…) de toute divulgation à des tiers non autorisés. Cette protection peut être effectuée en configurant un mécanisme d’authentification adapté (comme les solutions d’authentification à deux facteurs). Il est également possible d’utiliser des connexions cryptées (HTTPS, protocole de sécurité SSL) afin de veiller à ce que seules les personnes autorisées puissent accéder aux informations et les lire.
•    intégrité: protéger les informations de toute altération par des tiers non autorisés, afin de garantir leur exactitude et leur fiabilité. Pour y parvenir, plusieurs moyens existent: mise en place de contrôles quotidiens des fichiers altérés, de tests de sécurité de votre site et de vos services (afin d’éviter les attaques, comme les injections SQL), ou d’un système de prévention des intrusions. 
•    disponibilité: garantir que votre site Web fonctionne et s’exécute correctement, à tout moment. Pour ce faire, deux mesures s’avèrent essentielles: la mise en œuvre d’un système d’alimentation de secours et la maintenance rigoureuse de l’ensemble de votre matériel. 

L’accès aux systèmes de données ne doit être accordé qu’en cas de «nécessité absolue» afin de garantir la protection des trois aspects que nous venons d’évoquer.

Répondre aux incidents de sécurité

À partir du moment où une brèche de sécurité existe, la confiance que vos clients placent en vous est menacée. Vous devez réagir rapidement pour en limiter les effets négatifs. Il est primordial d’informer vos clients de la situation. Par exemple, si la faille a un impact sur les mots de passe, vous devez signaler le problème à vos clients afin qu’ils puissent modifier leur mot de passe (le même mot de passe étant souvent utilisé pour plusieurs sites Web). 

Comme indiqué précédemment, une fois que vous savez ce qui est le plus important, assurez-vous que tous les acteurs concernés sont également au courant. Pour ce faire, il est conseillé de désigner un propriétaire informatique dans l’éventualité d’un problème de sécurité. Cette personne doit être facilement disponible en cas d’urgence et disposer de l’équipement adéquat pour gérer les nombreux composants techniques internes nécessaires pour se remettre d’une brèche de sécurité. Il est également conseillé d’élaborer une politique de notification des violations de données (pouvant être incluse dans votre politique de confidentialité  ). Cette politique devrait spécifier comment et quand vous informez vos clients d’une violation de la protection des données à caractère personnel (via des notifications par courrier électronique ou postal, par exemple). Il est probable que cette bonne pratique devienne bientôt une obligation légale dans tous les pays de l’UE (s’accompagnant alors d’une obligation d’informer l’autorité en charge de la protection des données  , dès que vous prenez connaissance de l’existence d’une atteinte à la protection des données).

Par ailleurs, vous devez déterminer la cause de la brèche et tâcher de recueillir des preuves pouvant être utilisées devant un tribunal (par exemple, s’il peut être établi que la faille n’est pas due à un manque de mesures de sécurité). Si la brèche affecte des informations financières, comme les données de carte bancaire, informez le prestataire en charge de la gestion de vos transactions financières afin qu’il puisse prendre les mesures nécessaires. 

En résumé, il est indispensable de disposer d’un plan d’action qui prévoit des mesures et des procédures spécifiques et concrètes pour assurer le suivi d’un incident de sécurité. Les procédures doivent indiquer le principal responsable, comment contacter le personnel clé et quels sont les données, réseaux et services à restaurer en priorité, ou les personnes à notifier (propriétaires de données, clients ou entreprises partenaires) si leurs données ou des données affectant leurs réseaux font l’objet d’une fuite.

Notez que certaines brèches de sécurité sont simplement causées par une erreur humaine/d’inattention de la part d’un membre de votre personnel. Assurez-vous d’offrir à vos salariés une formation adéquate en matière d’identification et de notification des failles. Apprenez-leur également à faire preuve de vigilance. La négligence des salariés (suite au vol d’un ordinateur ou d’un téléphone portable, par exemple) est à l’origine de la majorité des incidents de sécurité des données.

Sélectionnez votre pays  et consultez le site national du CERT (Computer Emergency Response Team), une équipe d’experts de la sécurité informatique chargée de la gestion des incidents (ex.: signaler et répondre aux menaces). Ces experts peuvent vous fournir des informations sur la marche à suivre et les personnes à contacter en cas de cyber-attaque. Ils publient également des alertes sur les vulnérabilités et les menaces spécifiques à votre pay

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgique Équipe d’intervention d’urgence en sécurité informatique: www.cert.be
Téléchargez le guide belge de la cyber-sécurité : adoptez les 10 principes clés de sécurité et mettez en place les 10 actions «indispensables».
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques: www.cert.ssi.gouv.fr
Obtenez plus d’informations sur les mesures simples pour sécuriser votre entreprise, ainsi que d’autres renseignements (comme «Les 10 commandements de la sécurité sur l’Internet»).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Sources d’informations

Protéger les informations présentes sur votre site Web
•    Samara Hart (n/a) , How can I be sure my website is secure, disponible sur http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010), 15 great ways to secure your website, disponible sur http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, disponible sur http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad//, IT Security Community Blog

Répondre aux incidents de sécurité
•    Experian® Data Breach Resolution (2013-2014 edition),  Data Breach Response Guide
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup, disponible sur http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Manuel sur la Loi européenne de protection des données à caractère personnel: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014), EU Article 29 Working Party Publishes Guidance on Data Breach Notification, disponible sur http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington