Guide de la sécurité des sites web : une liste de contrôle en 10 étapes

Suivez cette liste de contrôle de la sécurité des sites web comportant 10 mesures essentielles que les organisations doivent adopter pour authentifier et autoriser les utilisateurs, chiffrer le trafic web, atténuer les risques liés à des tiers, bloquer les attaques DDoS et les bots, et plus encore.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Identifier les différentes manières de sécuriser les sites web
  • Comprendre les principaux moyens d'authentifier et d'autoriser les utilisateurs web
  • Expliquer certaines des attaques de site web parmi les plus courantes

Copier le lien de l'article

Importance de la sécurité des sites web

La sécurité des sites web est essentielle pour toutes les entreprises qui dépendent des applications web comme source de revenus, d'efficacité et d'informations sur les clients. Les entreprises dont les sites web reçoivent et stockent des données sensibles ou proposent des infrastructures et des services essentiels sont particulièrement vulnérables à des attaques qui sont variables selon leur complexité, leur d'ampleur et leur origine.

La sécurité des applications web en tant que discipline est vaste et en constante évolution, compte tenu de la transformation constante du panorama des menaces sur Internet et de l'environnement réglementaire. Par exemple, cette liste de contrôle se concentre sur la manière de protéger les sites web, mais il est de plus en plus important pour les grandes entreprises de pouvoir protéger les API et les applications assistées par l'IA (que les sites web intègrent de plus en plus).

Cependant, les sites web accessibles au public, quels que soient leur taille et leur secteur d'activité peuvent bénéficier de mesures pour les « principaux enjeux » en matière de contrôles techniques, de contrôle des accès et de gestion des utilisateurs. À cette fin, ce guide de sécurité des sites web énonce les 10 recommandations suivantes :

1) Sécurisez les comptes avec une authentification forte

Recommandation : utilisez l'authentification à deux facteurs plutôt que l'authentification par mot de passe uniquement

Tout comme une compagnie aérienne doit vérifier l'identité d'un passager à l'aide d'une pièce d'identité valide avant de l'autoriser à monter à bord d'un avion, les entreprises doivent également vérifier qui se connecte aux systèmes numériques sur lesquels reposent leurs applications web .

Le processus visant à empêcher les accès non autorisés (en vérifiant que les individus sont bien ceux qu'ils prétendent être) est appelé authentification. L'authentification vérifie l'identité en comparant des caractéristiques spécifiques, ou « facteurs », avec celles d'enregistrement numérique.

Les facteurs d'authentification les plus courants sont les suivants :

  • Quelque chose que la personne connaît : cette vérification concerne une information secrète que seule la véritable personne peut connaître, il peut s'agir d'une combinaison nom d'utilisateur-mot de passe, de questions de sécurité ou de codes PIN.
  • Quelque chose que la personne possède : ll s'agit de vérifier si la personne possède un élément qui lui a été remis ou dont elle est censée disposer (de la même façon qu'une clé physique est nécessaire pour ouvrir la porte d'entrée d'une maison). Dans les systèmes numériques, l'authentification vérifie la présence d'un jeton numérique (par exemple un code généré par un appareil mobile) ou d'un jeton physique (comme un petit objet physique qui doit être branché sur votre appareil via Bluetooth ou sur un port USB) avant d'autoriser l'accès.
  • Quelque chose qui caractérise la personne : ce facteur correspond à des qualités physiques inhérentes à une personne appréciées au moyen de données biométriques ; par exemple, en vérifiant une empreinte digitale ou par reconnaissance faciale.

La faiblesse du premier type de facteur tient à ce que les mots de passe peuvent souvent être devinés ou volés par des attaquants. Avec la prévalence du phishing, des attaques de l'homme du milieu, des tentatives de connexion par force brute et de la réutilisation des mots de passe, il est devenu plus simple pour les acteurs malveillants de collecter des identifiants de connexion volés.

C'est pourquoi les entreprises doivent mettre en œuvre l'authentification à deux facteurs (2FA) pour leurs comptes. L'authentification à deux facteurs exige (au moins) deux formes d'authentification distinctes ; ce qui est plus efficace que de n'en exiger qu'une. Certes l'authentification à deux facteurs n'est pas pas impossible à pirater, il est toutefois beaucoup plus difficile et coûteux de la compromettre que dans le cas de l'authentification par mot de passe uniquement.

2) Instaurez des autorisations en fonction du rôle

Recommandation : définissez des autorisations en fonction du rôle uniquement pour les utilisateurs autorisés

Ce n'est toutefois pas parce que l'identité d'une personne est vérifiée que celle-ci doit avoir le contrôle sur tout. L'autorisation permet de déterminer ce qu'un utilisateur authentifié peut voir et faire (c'est-à-dire ses autorisations).

Utilisateurs autorisés

Par exemple, un « super-administrateur » peut être le seul utilisateur autorisé à modifier l'ensemble des paramètres et des pages ; tandis qu'un utilisateur « en lecture seule » peut être limité à la visualisation des données analytiques du site et rien d'autre.

Le nombre de rôles exercés dans les équipes web augmente au même rythme que les entreprises se développent : il peut y avoir des développeurs front-end, des développeurs back-end, des analystes de sécurité, des analystes de reporting, des concepteurs web , des éditeurs de contenu, et bien plus encore. Il est donc important de contrôler et de mettre à jour régulièrement les autorisations en fonction du rôle.

3) Chiffrez le trafic web en SSL/ TLS

Recommandation : établissez des connexions avec SSL/ TLS en autogestion

Tout site web qui collecte et transmet des données sensibles, telles que des identifiants de connexion, des coordonnées, des informations de carte de crédit, des informations médicales et bien d'autres, a besoin de HTTPS. Le protocole HTTPS empêche les sites web de diffuser leurs informations d'une manière facilement visible par une personne malveillante espionnant le réseau.

Certificat SSL Navigation sécurisée

HTTPS fonctionne grâce à un protocole appelé Transport Layer Security (TLS) - les versions précédentes du protocole étaient connues sous le nom de Secure Sockets Layer (SSL).

SSL/TLS automatisé

Privilégiez un service proposant des certificats SSL/ TLS autogérés, grâce auxquels les sites web et les applications peuvent établir des connexions sécurisées.

TLS est l'élément central de la confidentialité et de sécurité des données dans les communications. Il permet aux utilisateurs de naviguer en toute confidentialité sur Internet , sans exposer les informations de leur carte de paiement ni d'autres données sensibles et personnelles.

Avec SSL/ TLS, un client (tel qu'un navigateur) peut vérifier l'authenticité et l'intégrité du serveur avec lequel il se connecte et utiliser le chiffrement pour échanger des informations. Cette méthode permet à son tour d'éviter les attaques de l'homme du milieu et de répondre à certaines exigences en matière de conformité des données.

Elle présente également d'autres avantages : le TLS permet de réduire au minimum la latence et ainsi d'écourter le temps de chargement des pages web, et les moteurs de recherche ont tendance à accorder une priorité moindre aux sites web qui n'utilisent pas le chiffrement.

Gardez à l'esprit que chaque certificat SSL/ TLS a une date d'expiration fixe et que les périodes de validité de ces certificats se sont raccourcies au fil du temps. Si un certificat a expiré, les clients (tels que le navigateur du visiteur) considéreront qu'une connexion sécurisée ne peut pas être établie, ce qui entraînera des avertissements ou des erreurs. Les défauts de renouvellements de certification peuvent également nuire au classement d'un site web dans les moteurs de recherche, mais certains services peuvent gérer le renouvellement automatique.

4) Chiffrez le trafic DNS sur HTTPS ou TLS

Recommandation : préservez la sécurité et la confidentialité de la navigation des utilisateurs grâce au chiffrement DNS

Le contenu d'un site web n'est techniquement pas joignable à une URL du type www.exemple.com, mais plutôt à une adresse IP unique, comme 192.0.2.1. Le processus de conversion d'une URL en adresse IP utilisable par un appareil est connu sous le nom de recherche DNS (Domain Name System) ; et les enregistrements DNS sont les instructions d'Internet pour l'adresse IP associée à un domaine particulier.

Toutefois, par défaut, les requêtes et les réponses DNS sont envoyées en texte brut (UDP), ce qui signifie qu'elles peuvent être lues par les réseaux, les FAI et d'autres acteurs susceptibles de surveiller les transmissions. Les répercussions de cet état de fait peuvent être énormes sur la sécurité et la confidentialité. Si les requêtes DNS ne sont pas confidentielles, il devient plus facile pour les gouvernements de censurer Internet et pour les acteurs malveillants de traquer le comportement en ligne des utilisateurs.

Utilisez un résolveur DNS gratuit pour chiffrer le trafic DNS à l' aide de l'une des options suivantes :

  • Le DNS sur TLS, ou DoT (DNS over TLS), est une norme de chiffrement des requêtes DNS permettant de les garder sécurisées et confidentielles. Il offre aux administrateurs réseau la possibilité de surveiller et de bloquer les requêtes DNS, ce qui est important pour identifier et bloquer le trafic malveillant.
  • Le DNS sur HTTPS, ou DoH, est une alternative au DoT. Avec le DoH, les requêtes et les réponses DNS sont chiffrées, mais elles sont envoyées via les protocoles HTTP ou HTTP/2 au lieu de passer directement en UDP. Cela donne aux administrateurs réseau moins de visibilité, mais confère aux utilisateurs une plus grande confidentialité.

5) Intégrez la sécurité DNS

Recommandation : répondre à certaines limitations des systèmes DNS grâce à une sécurité DNS dédiée

Le système DNS lui-même n'a pas été en tenant compte de la sécurité et il présente un certain nombre de limitations dues à sa conception. Par exemple, il ne garantit pas automatiquement la provenance des enregistrements DNS, et il accepte n'importe quelle adresse qui lui est donnée, sans poser de questions. Par conséquent, les serveurs DNS peuvent être vulnérables à l'usurpation de domaine, aux attaques DoS (par déni de service), etc.

Attaque DDoS fondée sur le DNS

La sécurité du DNS (DNSSEC) permet de remédier à certains défauts de conception du DNS. Par exemple, le protocole DNSSEC crée un système de noms de domaine sécurisé dans lequel il ajoute des signatures cryptographiques aux enregistrements DNS existants. En vérifiant la signature associée, les entreprises peuvent vérifier qu'un enregistrement DNS demandé provient bien de son serveur de noms de référence et qu'il ne s'agit pas d'un faux enregistrement.

Certains résolveurs DNS intègrent déjà le protocole DNSSEC. Recherchez également un résolveur DNS capable de proposer des fonctionnalités telles que le filtrage de contenu (qui peut bloquer des sites connus pour transmettre des logiciels malveillants et du spam) et la protection contre les botnet (qui bloque les communications avec les botnets connus). Nombre de ces résolveurs DNS sécurisés sont gratuits et peuvent être activés par simple modification d'un unique paramètre de routeur .

6) Masquez l'adresse IP d'origine

Recommandation : rendre plus difficile l'identification de votre serveur par les acteurs malveillants

Si les acteurs malveillants parviennent à trouver l'adresse IP d'origine du serveur d'une entreprise (c'est-à-dire l'endroit où sont hébergées les ressources de l'application web), ils peuvent être en mesure d'envoyer du trafic ou des attaques directement aux serveurs.

En fonction du résolveur DNS déjà en place, les étapes suivantes peuvent également vous aider à masquer l'adresse IP d'origine :

  • N'hébergez pas de service de messagerie sur le même serveur que la ressource web protégée, car les e-mails envoyés à des adresses inexistantes sont renvoyés à l'acteur malveillant, au risque de révéler l'adresse IP du serveur de messagerie.
  • Veillez à ce que le serveur web ne se connecte pas à des adresses arbitraires fournies par des utilisateurs.
  • Les enregistrements DNS se situant dans le domaine public, il est nécessaire de faire tourner les adresses IP d'origine.

7) Prévenir les attaques DDoS

Recommandation : mettre en place une atténuation des attaques DDoS permanente et un contrôle du volume des requêtes

Dans le pire des scénarios, les attaques par déni de service distribué (DDoS) peuvent entraîner l'arrêt d'un site web, voire d'un réseau entier pendant une longue période.

Les attaques DDoS se produisent lorsqu'un grand nombre d'ordinateurs ou d'appareils, généralement contrôlés par un seul acteur malveillant, tentent d'accéder à un site web ou à un service en ligne en même temps. Ces attaques malveillantes sont conçues pour provoquer la mise hors ligne des ressources et les rendre indisponibles.

Les attaques DDoS sur la couche applicative demeurent le type d'attaque le plus courant contre les applications web et ne cessent de gagner en sophistication, en taille et en fréquence.

Attaques DDoS sur la couche application

Recherchez les outils essentiels de prévention des DDoS suivants :

  • Atténuation des attaques DDoS : recherchez une défense contre les DDoS évolutive et « active en permanence », dotée des fonctionnalités suivantes :
    • absorption automatique du trafic malveillant au plus près possible de l'origine de l'attaque (afin de réduire la latence ressentie par les utilisateurs finaux et les interruptions de service)
    • des mesures d'atténuation des attaques DDoS illimitées et sans surcoût lié à l'utilisation (qui évitent des frais supplémentaires liés aux pics de trafic hostile)
    • Protections centralisées et autonomes contre tous les types d'attaques DDoS (y compris les attaques lancées contre la couche réseau et la couche applicative)
  • Contrôle du volume des requêtes : la limitation du débit est une stratégie permettant de limiter le trafic réseau. Il limite essentiellement la fréquence à laquelle une personne peut répéter une action dans un certain délai, par exemple, lorsque des botnets tentent de lancer une DDoS contre une application web. Ce procédé est comparable à l'intervention d'un policier qui arrête un conducteur en excès de vitesse sur la route. Il existe deux types de contrôle du volume de requêtes :
    • Le contrôle du volume des requêtes basé sur l'adresse IP standard qui protège les points de terminaison non authentifiés, limite le nombre de requêtes provenant d'adresses IP spécifiques et gère les abus des récidivistes
    • Le contrôle avancé du volume de requêtes, qui protège également les API contre les abus, atténue les attaques volumétriques provenant de sessions d'API authentifiées et offre davantage de personnalisation.

    Une défense complète contre les menace DDoS repose également sur plusieurs méthodes qui peuvent varier en fonction de la taille de l'entreprise, de son architecture réseau et d'autres facteurs. En savoir plus sur la prévention des attaques DDoS.

    8) Gérez les scripts tiers et l'utilisation des cookies

    Recommandation : recherchez des outils conçus spécifiquement pour gérer les risques côté client

    Dans le développement web, le « côté client » désigne tout ce qui, dans une application web, est affiché ou est exécuté sur le client (à savoir le dispositif de l'utilisateur final). Cela comprend ce que l'utilisateur du site web voit, par exemple du texte, des images et le reste de l'interface utilisateur, ainsi que toutes les actions qu'une application effectue dans le navigateur de l'utilisateur.

    La majorité des événements côté client nécessitent le chargement de JavaScript et d'autres codes tiers dans le web du visiteur web. Cependant, les acteurs malveillants cherchent à compromettre ces dépendances (par exemple, dans le cadre d'attaques de type Magecart). Cela laisse les visiteurs vulnérables aux logiciels malveillants, au vol de données de carte de crédit, au minage de cryptomonnaie et à d'autres menaces.

    Surveillance de script côté client

    Les cookies véhiculent également des risques côté client. Par exemple, un acteur malveillant peut exploiter des cookies pour exposer les visiteurs d'un site web à une altération des cookies pouvant les conduire à une usurpation de compte ou à une fraude au paiement. Or, les administrateurs de site web , les développeurs ou les membres de l'équipe chargée de la conformité ne sont souvent même pas conscients des cookies utilisés par leur site web.

    Afin de réduire le risque lié aux scripts tiers et aux cookies, mettez en œuvre un service qui :

    • identifie et gère automatiquement les risques liés aux scripts tiers ; et
    • offre une visibilité totale sur les cookies propriétaires utilisés par les sites web.
  • 9) Bloquez les bots et tout autre trafic non valide

    Recommandation : identifiez et atténuez de manière précoce le trafic lié aux bots malveillants

    Certains bots sont « légitimes » et exécutent un service nécessaire, comme les robots d'indexation de moteurs de recherche autorisés. Cependant, d'autres bots engendrent des perturbations et sont nuisibles lorsqu'ils ne sont pas vérifiés.

    Les organisations qui vendent des biens physiques ou des services en ligne sont particulièrement vulnérables au trafic lié aux bots. Un excès de trafic lié aux bots peut conduire à des :

    • incidences sur les performances : un excès de trafic lié aux bots peut peser lourdement sur les serveurs web et ralentir le service, voire le rendre inaccessible, pour les utilisateurs légitimes
    • perturbations opérationnelles : les bots peuvent « extraire » ou télécharger le contenu d'un site web, diffuser rapidement du contenu de type spam ou s'accaparer des stocks en ligne d'une entreprise
    • vols de données et usurpations de compte : les bots peuvent dérober des données de cartes bancaires et des identifiants de connexion, afin de prendre le contrôle de comptes

    Recherchez un service de gestion des bots qui :

    • identifie avec précision les bots à grande échelle à l'aide de l'analyse comportementale, de l'apprentissage automatique et des empreintes digitales appliquées à un vaste volume de données,
    • permet aux bots utiles (comme ceux des moteurs de recherche) de continuer à accéder à votre site, tout en empêchant la circulation du trafic malveillant,
    • S'intègre facilement à d'autres services d'amélioration de la sécurité et des performances des applications web
    • 10) Suivez et analysez le trafic web et les indicateurs de sécurité

      Recommandation : améliorez la sécurité web grâce à des décisions fondées sur les données

      Les outils d'analyse et les journaux contenant des données exploitables sont importants pour améliorer continuellement les performances et la sécurité de vos web.

      Par exemple, les journaux et les tableaux de bord de sécurité des applications peuvent fournir des informations concernant :

      • Les menaces potentielles dans le trafic HTTP, afin que les erreurs affectant les utilisateurs finaux puissent être identifiées et déboguées.
      • Les variations des attaques et leurs contenus malveillants (par exemple, les attaques par injection ou les attaques par exécution de code à distance), afin que les systèmes puissent être « réglés » et renforcés en conséquence.
      • Le trafic des requêtes DNS et la répartition géographique des requêtes au fil du temps pour repérer le trafic anormal

      La visibilité sur les données analytiques du trafic web est un élément clé de l'évaluation continue des risques. Grâce à elle, les entreprises peuvent prendre des décisions plus éclairées concernant la manière d'améliorer les performances de leurs applications et les secteurs où dynamiser leurs investissements en matière de sécurité.

      Comment les solutions Cloudflare peuvent-elles contribuer à la sécurisation des sites web ?

      Le cloud de connectivité de Cloudflare simplifie la transmission et la sécurité des applications web, avec une suite complète de services intégrés qui connectent et protègent les applications web et les API des entreprises.

      Ces services comprennent une protection contre les attaques DDoS, un pare-feu d'applications web (WAF) à la pointe du marché, la gestion des bots, la sécurité côté client, une passerelle d'API, un résolveur DNS public gratuit, des certificats SSL/TLS gratuits, des analyses complètes des performances et de la sécurité du web, et plus encore.

      Découvrez les services qui répondent aux besoins de votre site web sur www.cloudflare.com/plans.