Assurer la protection d’un site internet est un passage obligé pour tous les propriétaires de sites. TPE, PME ou grandes entreprises, toutes peuvent être victimes d’attaques en ligne. Les répercussions peuvent être dévastatrices, tant sur l’image de votre entreprise que sur la confiance de vos visiteurs, vos données et votre chiffre d’affaires. Comment savoir si un site est sécurisé ? Comment se prémunir contre les attaques ? Suivez le guide étape par étape.

Sécuriser un site internet : quelles sont les grandes étapes ?

Assurer la protection d’un site internet est un passage obligé pour tous les propriétaires de sites. TPE, PME ou grandes entreprises, toutes peuvent être victimes d’attaques en ligne. Les répercussions peuvent être dévastatrices, tant sur l’image de votre entreprise que sur la confiance de vos visiteurs, vos données et votre chiffre d’affaires. Comment savoir si un site est sécurisé ? Comment se prémunir contre les attaques ? Suivez le guide étape par étape.

Pourquoi sécuriser votre site internet ?

• Les attaques en ligne sont fréquentes et de toutes sortes : les attaques DDos (Distributed Denial of Service, les attaques par déni de service, c’est-à-dire qui rendent indisponibles un service), le piratage de données, l’injection de code, l’installation de logiciels malveillants, le phishing (hameçonnage en français, cette méthode consiste à obtenir via un e-mail ou un SMS, d’apparence légitime, les données sensibles du destinataire comme ses coordonnées bancaires ou ses identifiants de connexion à des services financiers), etc. Elles peuvent causer des dommages financiers considérables et ternir l’image de votre entreprise.
• Sur un site non sécurisé (ou déjà infecté par un malware, c’est-à-dire un logiciel malveillant), un message d’avertissement s’affiche sur l’écran de vos visiteurs. En général, celui-ci leur demande s’ils sont certains de vouloir poursuivre et de courir un risque. Ainsi, ne pas sécuriser votre site revient à vous couper d’une partie de vos visiteurs.
• Pour assurer la cybersécurité des internautes, les moteurs de recherche pénalisent désormais les sites web non sécurisés. Ne pas sécuriser votre site porte donc sérieusement atteinte à son référencement.

Pour en savoir plus sur la protection d’un site internet, consultez notre article : pourquoi faut-il impérativement protéger son site web ?

Les TPE et PME en première ligne face aux cyberattaques

D’après le cabinet Asterès, dans son Bilan des cyberattaques en France, les PME représentent  90 % du nombre total de cyberattaques parmi les organisations en France, avec  330 000 attaques recensées en 2022 contre 17 000 chez les ETI / Grands groupes. Ce sont des cibles privilégiées en raison de leurs ressources (technologiques et humaines) limitées en matière de cybersécurité, comparées aux grandes entreprises qui disposent de défenses plus robustes. 
Pour contrecarrer ces menaces, investir dans des solutions de sécurité adaptées et dans la formation de vos collaborateurs est essentiel. Une démarche proactive qui peut considérablement réduire les risques d’intrusion et de dommages, qui se chiffrent souvent en plusieurs milliers voire dizaines de milliers d’euros.

Vous avez déjà un site internet : comment le sécuriser ?

Comment sécuriser votre site existant ? Suivez le guide pour découvrir les bases de la cybersécurité : protocoles et plugins sécurisés, mots de passe, sauvegardes, etc.

Utilisez le protocole HTTPS

La première étape pour sécuriser votre site est de proposer une connexion sécurisée à vos visiteurs en utilisant le protocole HTTPS, l’extension sécurisée du protocole HTTP.

Qu’est-ce que le protocole HTTP ?

HTTP est l’acronyme de « Hypertext Transfer Protocol », un protocole développé au moment de la création du web. Le HTTP détermine comment la page est transmise du navigateur au serveur. À chaque fois que vos visiteurs se rendent sur votre site internet, une communication s’établit entre leur navigateur et le serveur web de votre site via HTTP.

Le « S » signifie « Secured » (sécurisé) et garantit que les données échangées entre le navigateur de l’utilisateur et votre serveur web sont cryptées. Ce protocole empêche ainsi les attaques de type « Man-in-the-Middle », qui redirigent les utilisateurs vers un site malveillant sans qu’ils s’en aperçoivent.

Pour créer un site HTTPS, vous devez vous rapprocher d’une autorité de certification reconnue et installer un certificat SSL (un certificat numérique qui établit avec certitude le lien entre vous et votre site internet). Il existe différents types de certificats SSL avec des degrés de sécurité web variables. Prenez le temps de bien comparer les différentes offres selon vos besoins et votre budget, pour établir une base solide de sécurité en ligne.

Il vous faudra ensuite passer à la phase de configuration de votre serveur web. Selon le logiciel utilisé, la procédure ne sera pas la même. Référez-vous aux tutoriels existants pour gérer efficacement les connexions sécurisées. Enfin, il convient de mettre en place des redirections permanentes pour réorienter le trafic de vos anciennes pages HTTP vers les nouvelles pages HTTPS. C’est indispensable pour préserver votre référencement sur les moteurs de recherche, en évitant les ruptures dans le suivi des liens.

Utilisez des plugins sécurisés

Si votre site est basé sur un CMS (Content Management System) comme WordPress, vous pouvez utiliser des plugins pour ajouter des fonctionnalités et options de personnalisation. Cependant, tous les plugins ne sont pas sécurisés. Des plugins obsolètes ou vulnérables pourraient être utilisés par des pirates pour compromettre la sécurité de votre site. Veillez à n’installer que des plugins provenant de sources fiables. 

Quelques conseils pour savoir si un plugin est fiable :

• Vérifiez la date de la dernière mise à jour : si elle est lointaine, il y a des chances qu’il ne soit plus maintenu ou plus compatible avec votre CMS.
• Regardez le nombre de téléchargements : les plugins les plus sécurisés sont souvent ceux qui sont le plus souvent téléchargés.
• Privilégiez les plugins qui sont les mieux notés.
• Assurez-vous que la page du plugin propose un lien vers le site de son auteur et que celui-ci est bien documenté.
• Consultez les forums, ils sont souvent de bons conseils.

Vérifiez et renouvelez régulièrement vos mots de passe

La protection ou création d’un site internet sécurisé passe également par la mise en place de mots de passe de comptes administratifs et de panneaux d’administration robustes. Un mot de passe est considéré comme fort lorsqu’il se compose de 12 caractères minimum, d’une combinaison aléatoire de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.

Évitez d’utiliser des mots de passe courants ou faciles à deviner, comme « 123456 » ou « motdepasse » ou bien des mots de passe en lien avec votre vie privée (date de naissance, nom de votre chat ou de vos proches).

Il est recommandé de changer vos mots de passe plusieurs fois par an : tous les 3 à 6 mois environ, de préférence. Cette régularité contribue à renforcer la sécurité de votre site web. De même, il est nécessaire de changer de mot de passe immédiatement après avoir pris conscience d’une brèche de sécurité, ou en cas d’activité suspecte.

Les conseils de Cybermalveillance

« Activez la double authentification lorsque c’est possible et utilisez un gestionnaire de mots de passe. 

Pour renforcer la sécurité de vos accès, de plus en plus de services proposent la double authentification. En plus de votre nom de compte et de votre mot de passe, ces services vous demandent un code provisoire que vous pouvez recevoir, par exemple, par SMS sur votre téléphone mobile ou qui peut être généré par une application ou une clé spécifique que vous contrôlez. Ainsi grâce à ce code, vous seul pourrez autoriser un nouvel appareil à se connecter aux comptes protégés.

Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui se chargera de gérer vos mots de passe à votre place, pour ne plus avoir à retenir que celui qui permet d’en ouvrir l’accès. En savoir plus sur la gestion des mots de passe et notamment le gestionnaire de mots de passe. »

Configurez des sauvegardes régulières

Malheureusement, même en prenant toutes les précautions, vous n’êtes pas à l’abri d’une attaque. Comment vous y préparer ? Prévoyez des sauvegardes régulières de votre site, soit manuellement soit de manière automatique. 

La méthode manuelle consiste à télécharger tous les fichiers présents sur votre serveur et à exporter votre base de données. C’est assez complexe et fastidieux, et plutôt réservé aux personnes avec des connaissances avancées en matière de cybersécurité. 

La méthode automatisée consiste à installer un plugin spécialisé dans la sauvegarde. Une fois installé, définissez la fréquence de sauvegarde que vous souhaitez, et le tour est joué ! Quelle fréquence choisir ? Tout dépend du contenu de votre site. Quelques exemples :

• Pour un site vitrine dont le contenu est mis à jour à peu près tous les ans, une sauvegarde par an est suffisante.
• Pour un site e-commerce, un site vitrine avec une rubrique actualités ou un blog, une mise à jour tous les mois est recommandée.

Pensez à stocker vos sauvegardes sur un serveur sécurisé (qui dispose d’un certificat SSL) ou sur un service de stockage en ligne. En cas d’attaque aboutie ou de problème technique, vous pourrez rapidement restaurer votre site à partir de ces sauvegardes.

Les conseils de Cybermalveillance

« Sauvegardez en priorité vos données les plus importantes qui sont régulièrement modifiées (informations sur vos clients, vos commandes, votre facturation, votre stratégie, votre R&D, etc.). Et pensez à déconnecter votre support de sauvegarde après utilisation. La fréquence des sauvegardes doit être calculée en fonction du risque admissible de perte d’information. »

Afin de prendre les bonnes décisions, faites-vous accompagner par des professionnels de confiance spécialisés en cybersécurité dès la création de votre site web.

Vérifiez la fiabilité de vos outils tiers

Si votre site web dépend d’outils tiers ou d’API externes (interfaces informatiques visant à connecter un logiciel ou une application à d’autres systèmes distincts) comme celles des réseaux sociaux tels que Facebook, Instagram ou d’applications comme Google Maps, assurez-vous de choisir des fournisseurs réputés et fiables. Vérifiez les protocoles de sécurité mis en place par ces fournisseurs avant de les intégrer à votre site. En cas de doute, faites-vous accompagner par des professionnels.
La protection d’un site internet est un enjeu majeur pour assurer la pérennité de votre entreprise et rassurer vos clients, ne lésinez pas sur la cybersécurité. Vous souhaitez choisir un logiciel de sécurité ? Découvrez nos conseils pour faire le bon choix.

Nos 10 conseils pour sécuriser son site internet

Les conseils de Cybermalveillance

« Faites régulièrement auditer la sécurité de votre site par des prestataires spécialisés. Que votre hébergement et votre administration soient internalisés ou externalisés, afin de vous assurer que les mesures de sécurité sont bien appliquées et qu’aucune faille de sécurité connue ne peut mettre en danger votre site internet, nous recommandons de faire réaliser régulièrement un audit de sécurité par des prestataires spécialisés. »

Vous n’avez pas de site web : comment vous protégez ?

Même si vous n’avez pas (encore) pas de site internet, vous pouvez dès maintenant adopter les bonnes pratiques pour vous protéger.

Rédigez bien votre cahier des charges

Vous êtes sur le point de créer un site et vous vous demandez comment rédiger un cahier des charges qui respecte les critères de cybersécurité ? Lors de sa rédaction, intégrez des exigences strictes en matière de cybersécurité pour protéger à la fois les données de votre 

entreprise et celles de vos utilisateurs ou clients (qui relèvent de votre responsabilité). 

Exemple : choisissez un hébergeur qui offre non seulement l’hébergement mais aussi un certificat SSL pour assurer une connexion sécurisée entre le serveur et les navigateurs des visiteurs, et protéger les données transmises. Si votre projet inclut le développement d’un site e-commerce, l’intégration de protocoles de sécurité supplémentaires comme le « 3D Secure » est recommandée. Il vise à renforcer la sécurité des transactions en ligne en ajoutant une étape de vérification de l’identité du titulaire de la carte, ce qui réduit très significativement le risque de fraude par carte de crédit.

Incluez également dans votre cahier des charges des directives exigeant l’utilisation de plugins sécurisés, des solutions tierces régulièrement mises à jour et jouissant d’une réputation solide pour prévenir les failles de sécurité. Précisez aussi la nécessité de mots de passe robustes, comme la fréquence de leurs modifications, et intégrez des pratiques de sauvegarde systématique pour assurer la récupération des données.
Pour vous faire accompagner, découvrez nos offres « Je passe au numérique ».

Formez-vous aux bases de la cybersécurité

Quels sont les usages à risques ? Les principales failles en matière de cybersécurité sont des mots de passe peu sécurisés, la navigation sur des sites non sécurisés, la méconnaissance concernant les techniques de phishing, la vulnérabilité face aux virus et aux logiciels malveillants, et le partage imprudent d’informations personnelles sur les réseaux sociaux.

Pour les prévenir, sensibilisez vos collaborateurs pour les aider à reconnaître et éviter ces risques. La formation continue et l’adoption de bonnes pratiques sont essentielles à la sécurité personnelle et professionnelle en ligne.

Installez un logiciel de sécurité

Ce type de logiciel vous permet de protéger vos infrastructures informatiques contre les menaces numériques (virus et logiciels malveillants) sous la forme d’une solution facile d’accès, fonctionnant de manière autonome, qui assure une protection constante sans intervention manuelle nécessaire de votre part. 

En centralisant la gestion de la sécurité sur tous les postes de travail, vous éliminez le besoin de maintenances régulières et d’équipements additionnels coûteux et faites ainsi des économies significatives.

Que faire en cas de cyberattaque ?

En cas de cyberattaque, il est recommandé par les autorités de ne pas payer la rançon exigée et de désigner un responsable pour gérer la crise. Il est aussi important de maintenir les ordinateurs infectés allumés pour analyse, tout en éteignant les autres appareils et le wifi. Documentez tout ce qui concerne l’attaque, y compris son origine et ses détails. Contactez le site Cybermalveillance.gouv.fr pour obtenir de l’aide et déposez plainte. Informez également la CNIL et les personnes affectées. Une bonne communication externe est essentielle pour rassurer les clients et partenaires.

Les conseils de Cybermalveillance

« Pensez aussi à renforcer la sécurité de vos comptes de réseaux sociaux ! Vos réseaux sociaux sont parfois la vitrine promotionnelle de votre entreprise pour faire connaître votre activité auprès de vos abonnés. Pour éviter le piratage de vos comptes, utilisez des mots de passe suffisamment robustes (longs, complexes et uniques) et activez la double authentification pour vous assurer que personne ne puisse utiliser ou détourner votre compte à votre insu. »