Suivez cette liste de contrôle de la sécurité des sites web comportant 10 mesures essentielles que les organisations doivent adopter pour authentifier et autoriser les utilisateurs, chiffrer le trafic web, atténuer les risques liés à des tiers, bloquer les attaques DDoS et les bots, et plus encore.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
La sécurité des sites web est essentielle pour toutes les entreprises qui dépendent des applications web comme source de revenus, d'efficacité et d'informations sur les clients. Les entreprises dont les sites web reçoivent et stockent des données sensibles ou proposent des infrastructures et des services essentiels sont particulièrement vulnérables à des attaques qui sont variables selon leur complexité, leur d'ampleur et leur origine.
La sécurité des applications web en tant que discipline est vaste et en constante évolution, compte tenu de la transformation constante du panorama des menaces sur Internet et de l'environnement réglementaire. Par exemple, cette liste de contrôle se concentre sur la manière de protéger les sites web, mais il est de plus en plus important pour les grandes entreprises de pouvoir protéger les API et les applications assistées par l'IA (que les sites web intègrent de plus en plus).
Cependant, les sites web accessibles au public, quels que soient leur taille et leur secteur d'activité peuvent bénéficier de mesures pour les « principaux enjeux » en matière de contrôles techniques, de contrôle des accès et de gestion des utilisateurs. À cette fin, ce guide de sécurité des sites web énonce les 10 recommandations suivantes :Recommandation : utilisez l'authentification à deux facteurs plutôt que l'authentification par mot de passe uniquement
Tout comme une compagnie aérienne doit vérifier l'identité d'un passager à l'aide d'une pièce d'identité valide avant de l'autoriser à monter à bord d'un avion, les entreprises doivent également vérifier qui se connecte aux systèmes numériques sur lesquels reposent leurs applications web .
Le processus visant à empêcher les accès non autorisés (en vérifiant que les individus sont bien ceux qu'ils prétendent être) est appelé authentification. L'authentification vérifie l'identité en comparant des caractéristiques spécifiques, ou « facteurs », avec celles d'enregistrement numérique.
Les facteurs d'authentification les plus courants sont les suivants :
La faiblesse du premier type de facteur tient à ce que les mots de passe peuvent souvent être devinés ou volés par des attaquants. Avec la prévalence du phishing, des attaques de l'homme du milieu, des tentatives de connexion par force brute et de la réutilisation des mots de passe, il est devenu plus simple pour les acteurs malveillants de collecter des identifiants de connexion volés.
C'est pourquoi les entreprises doivent mettre en œuvre l'authentification à deux facteurs (2FA) pour leurs comptes. L'authentification à deux facteurs exige (au moins) deux formes d'authentification distinctes ; ce qui est plus efficace que de n'en exiger qu'une. Certes l'authentification à deux facteurs n'est pas pas impossible à pirater, il est toutefois beaucoup plus difficile et coûteux de la compromettre que dans le cas de l'authentification par mot de passe uniquement.
Recommandation : définissez des autorisations en fonction du rôle uniquement pour les utilisateurs autorisés
Ce n'est toutefois pas parce que l'identité d'une personne est vérifiée que celle-ci doit avoir le contrôle sur tout. L'autorisation permet de déterminer ce qu'un utilisateur authentifié peut voir et faire (c'est-à-dire ses autorisations).
Par exemple, un « super-administrateur » peut être le seul utilisateur autorisé à modifier l'ensemble des paramètres et des pages ; tandis qu'un utilisateur « en lecture seule » peut être limité à la visualisation des données analytiques du site et rien d'autre.
Le nombre de rôles exercés dans les équipes web augmente au même rythme que les entreprises se développent : il peut y avoir des développeurs front-end, des développeurs back-end, des analystes de sécurité, des analystes de reporting, des concepteurs web , des éditeurs de contenu, et bien plus encore. Il est donc important de contrôler et de mettre à jour régulièrement les autorisations en fonction du rôle.
Recommandation : établissez des connexions avec SSL/ TLS en autogestion
Tout site web qui collecte et transmet des données sensibles, telles que des identifiants de connexion, des coordonnées, des informations de carte de crédit, des informations médicales et bien d'autres, a besoin de HTTPS. Le protocole HTTPS empêche les sites web de diffuser leurs informations d'une manière facilement visible par une personne malveillante espionnant le réseau.
HTTPS fonctionne grâce à un protocole appelé Transport Layer Security (TLS) - les versions précédentes du protocole étaient connues sous le nom de Secure Sockets Layer (SSL).
Privilégiez un service proposant des certificats SSL/ TLS autogérés, grâce auxquels les sites web et les applications peuvent établir des connexions sécurisées.
TLS est l'élément central de la confidentialité et de sécurité des données dans les communications. Il permet aux utilisateurs de naviguer en toute confidentialité sur Internet , sans exposer les informations de leur carte de paiement ni d'autres données sensibles et personnelles.
Avec SSL/ TLS, un client (tel qu'un navigateur) peut vérifier l'authenticité et l'intégrité du serveur avec lequel il se connecte et utiliser le chiffrement pour échanger des informations. Cette méthode permet à son tour d'éviter les attaques de l'homme du milieu et de répondre à certaines exigences en matière de conformité des données.
Elle présente également d'autres avantages : le TLS permet de réduire au minimum la latence et ainsi d'écourter le temps de chargement des pages web, et les moteurs de recherche ont tendance à accorder une priorité moindre aux sites web qui n'utilisent pas le chiffrement.
Gardez à l'esprit que chaque certificat SSL/ TLS a une date d'expiration fixe et que les périodes de validité de ces certificats se sont raccourcies au fil du temps. Si un certificat a expiré, les clients (tels que le navigateur du visiteur) considéreront qu'une connexion sécurisée ne peut pas être établie, ce qui entraînera des avertissements ou des erreurs. Les défauts de renouvellements de certification peuvent également nuire au classement d'un site web dans les moteurs de recherche, mais certains services peuvent gérer le renouvellement automatique.
Recommandation : préservez la sécurité et la confidentialité de la navigation des utilisateurs grâce au chiffrement DNS
Le contenu d'un site web n'est techniquement pas joignable à une URL du type www.exemple.com, mais plutôt à une adresse IP unique, comme 192.0.2.1. Le processus de conversion d'une URL en adresse IP utilisable par un appareil est connu sous le nom de recherche DNS (Domain Name System) ; et les enregistrements DNS sont les instructions d'Internet pour l'adresse IP associée à un domaine particulier.
Toutefois, par défaut, les requêtes et les réponses DNS sont envoyées en texte brut (UDP), ce qui signifie qu'elles peuvent être lues par les réseaux, les FAI et d'autres acteurs susceptibles de surveiller les transmissions. Les répercussions de cet état de fait peuvent être énormes sur la sécurité et la confidentialité. Si les requêtes DNS ne sont pas confidentielles, il devient plus facile pour les gouvernements de censurer Internet et pour les acteurs malveillants de traquer le comportement en ligne des utilisateurs.
Utilisez un résolveur DNS gratuit pour chiffrer le trafic DNS à l' aide de l'une des options suivantes :
Recommandation : répondre à certaines limitations des systèmes DNS grâce à une sécurité DNS dédiée
Le système DNS lui-même n'a pas été en tenant compte de la sécurité et il présente un certain nombre de limitations dues à sa conception. Par exemple, il ne garantit pas automatiquement la provenance des enregistrements DNS, et il accepte n'importe quelle adresse qui lui est donnée, sans poser de questions. Par conséquent, les serveurs DNS peuvent être vulnérables à l'usurpation de domaine, aux attaques DoS (par déni de service), etc.
La sécurité du DNS (DNSSEC) permet de remédier à certains défauts de conception du DNS. Par exemple, le protocole DNSSEC crée un système de noms de domaine sécurisé dans lequel il ajoute des signatures cryptographiques aux enregistrements DNS existants. En vérifiant la signature associée, les entreprises peuvent vérifier qu'un enregistrement DNS demandé provient bien de son serveur de noms de référence et qu'il ne s'agit pas d'un faux enregistrement.
Certains résolveurs DNS intègrent déjà le protocole DNSSEC. Recherchez également un résolveur DNS capable de proposer des fonctionnalités telles que le filtrage de contenu (qui peut bloquer des sites connus pour transmettre des logiciels malveillants et du spam) et la protection contre les botnet (qui bloque les communications avec les botnets connus). Nombre de ces résolveurs DNS sécurisés sont gratuits et peuvent être activés par simple modification d'un unique paramètre de routeur .
Recommandation : rendre plus difficile l'identification de votre serveur par les acteurs malveillants
Si les acteurs malveillants parviennent à trouver l'adresse IP d'origine du serveur d'une entreprise (c'est-à-dire l'endroit où sont hébergées les ressources de l'application web), ils peuvent être en mesure d'envoyer du trafic ou des attaques directement aux serveurs.
En fonction du résolveur DNS déjà en place, les étapes suivantes peuvent également vous aider à masquer l'adresse IP d'origine :
Recommandation : mettre en place une atténuation des attaques DDoS permanente et un contrôle du volume des requêtes
Dans le pire des scénarios, les attaques par déni de service distribué (DDoS) peuvent entraîner l'arrêt d'un site web, voire d'un réseau entier pendant une longue période.
Les attaques DDoS se produisent lorsqu'un grand nombre d'ordinateurs ou d'appareils, généralement contrôlés par un seul acteur malveillant, tentent d'accéder à un site web ou à un service en ligne en même temps. Ces attaques malveillantes sont conçues pour provoquer la mise hors ligne des ressources et les rendre indisponibles.
Les attaques DDoS sur la couche applicative demeurent le type d'attaque le plus courant contre les applications web et ne cessent de gagner en sophistication, en taille et en fréquence.
Recherchez les outils essentiels de prévention des DDoS suivants :
Une défense complète contre les menace DDoS repose également sur plusieurs méthodes qui peuvent varier en fonction de la taille de l'entreprise, de son architecture réseau et d'autres facteurs. En savoir plus sur la prévention des attaques DDoS.
Recommandation : recherchez des outils conçus spécifiquement pour gérer les risques côté client
Dans le développement web, le « côté client » désigne tout ce qui, dans une application web, est affiché ou est exécuté sur le client (à savoir le dispositif de l'utilisateur final). Cela comprend ce que l'utilisateur du site web voit, par exemple du texte, des images et le reste de l'interface utilisateur, ainsi que toutes les actions qu'une application effectue dans le navigateur de l'utilisateur.
La majorité des événements côté client nécessitent le chargement de JavaScript et d'autres codes tiers dans le web du visiteur web. Cependant, les acteurs malveillants cherchent à compromettre ces dépendances (par exemple, dans le cadre d'attaques de type Magecart). Cela laisse les visiteurs vulnérables aux logiciels malveillants, au vol de données de carte de crédit, au minage de cryptomonnaie et à d'autres menaces.
Les cookies véhiculent également des risques côté client. Par exemple, un acteur malveillant peut exploiter des cookies pour exposer les visiteurs d'un site web à une altération des cookies pouvant les conduire à une usurpation de compte ou à une fraude au paiement. Or, les administrateurs de site web , les développeurs ou les membres de l'équipe chargée de la conformité ne sont souvent même pas conscients des cookies utilisés par leur site web.
Afin de réduire le risque lié aux scripts tiers et aux cookies, mettez en œuvre un service qui :
Recommandation : identifiez et atténuez de manière précoce le trafic lié aux bots malveillants
Certains bots sont « légitimes » et exécutent un service nécessaire, comme les robots d'indexation de moteurs de recherche autorisés. Cependant, d'autres bots engendrent des perturbations et sont nuisibles lorsqu'ils ne sont pas vérifiés.
Les organisations qui vendent des biens physiques ou des services en ligne sont particulièrement vulnérables au trafic lié aux bots. Un excès de trafic lié aux bots peut conduire à des :
Recherchez un service de gestion des bots qui :
Recommandation : améliorez la sécurité web grâce à des décisions fondées sur les données
Les outils d'analyse et les journaux contenant des données exploitables sont importants pour améliorer continuellement les performances et la sécurité de vos web.
Par exemple, les journaux et les tableaux de bord de sécurité des applications peuvent fournir des informations concernant :
La visibilité sur les données analytiques du trafic web est un élément clé de l'évaluation continue des risques. Grâce à elle, les entreprises peuvent prendre des décisions plus éclairées concernant la manière d'améliorer les performances de leurs applications et les secteurs où dynamiser leurs investissements en matière de sécurité.
Le cloud de connectivité de Cloudflare simplifie la transmission et la sécurité des applications web, avec une suite complète de services intégrés qui connectent et protègent les applications web et les API des entreprises.
Ces services comprennent une protection contre les attaques DDoS, un pare-feu d'applications web (WAF) à la pointe du marché, la gestion des bots, la sécurité côté client, une passerelle d'API, un résolveur DNS public gratuit, des certificats SSL/TLS gratuits, des analyses complètes des performances et de la sécurité du web, et plus encore.
Découvrez les services qui répondent aux besoins de votre site web sur www.cloudflare.com/plans.