Le site web de votre entreprise est beau. Il est efficace. Il attire constamment de nouveaux visiteurs dans votre entreprise. Mais il peut aussi être un fardeau si la gestion n’est pas confier à un Webmaster. Pour être en sécurité, il est important de connaître les risques à ne pas confier la gestion de son site web à un Webmaster comme SecuServ.
Nous avons tous vu ce qui se passe dans le monde des affaires lorsque des informations confidentielles sont mises en danger. Et ce n’est pas beau à voir. La sécurité web n’est certes pas le sujet le plus glamour, mais c’est peut-être l’un des plus importants que vous devriez aborder lorsque vous travaillez sur votre site web d’entreprise.
La sécurité peut être un sujet difficile, surtout si vous n’êtes pas un développeur de logiciels.
La première étape consiste à reconnaître qu’il existe un certain nombre de risques de sécurité pour les sites web d’entreprise, en particulier pour les petites entreprises. Il est facile de penser que seules les grandes entreprises comme Amazon, Target et autres sont dans la ligne de mire des attaquants.
Mais ce n’est pas parce que votre entreprise est petite qu’elle n’est pas une cible.
Une erreur importante en matière de menaces de sécurité est de croire que les pirates attaquent explicitement et directement votre site web. En réalité, ils s’attaquent à l’application qui supporte votre site web.
La plupart des sites web sont pris en charge par un CMS ou une application web, et certaines de ces applications sont plus sûres que d’autres. Les risques pour les applications dont nous parlons ici ne s’appliquent pas tous à votre entreprise. Mais en règle générale, plus les applications personnalisées sont utilisées (CMS, CRM, etc.), plus les risques de sécurité pour les sites web d’entreprise sont importants.
Les vulnérabilités d’injection
Le web fonctionne par requêtes et transferts de données. Le code, dans le navigateur, sur un serveur, dans une base de données, etc., est responsable de la transmission des requêtes et des données d’une entité à une autre.
Une vulnérabilité d’injection se produit lorsqu’un attaquant abuse de l’une de ces commandes pour envoyer des données non fiables dans un système. Le système est ainsi amené à exécuter des commandes involontaires ou à accéder à des données sans y être autorisé.
Cela se produit assez fréquemment. Il est facile à exploiter. Et elle peut sérieusement compromettre votre système. WordPress, par exemple, a connu une importante faille de sécurité qui a exposé des dizaines de milliers de sites web au risque de prise de contrôle du site.
La solution ? Si vous n’êtes pas développeur, la meilleure chose à faire est de mettre à jour, mettre à jour, mettre à jour ! Les développeurs de logiciels comme les experts de SecuServ sont constamment à la recherche d’erreurs dans leur code ou de vulnérabilités qu’ils auraient pu manquer. Lorsqu’ils trouvent des erreurs ou des vulnérabilités, ils publient des correctifs pour les combler.
En maintenant votre logiciel à jour, vous réduisez le risque d’attaques par injection, car il reflète les correctifs mis en œuvre par les développeurs. Plus une application est ancienne, plus il est probable qu’un attaquant sache comment l’exploiter dans sa base de données.
Authentification défectueuse
Vos clients ont-ils des comptes sur votre site web ? Lorsque vos clients se connectent, vous authentifiez leur identité. Vous prouvez qu’ils sont bien ceux qu’ils prétendent être et vous vous assurez que vos données privées sont traitées de manière confidentielle.
Si l’authentification est faible ou erronée, les pirates peuvent usurper l’identité d’une personne dans ce système. Ils peuvent prétendre être l’utilisateur authentifié et se livrer à toutes sortes d’activités frauduleuses.
En réalité, les pirates ont accès à des centaines de millions de combinaisons valables de noms d’utilisateur et de mots de passe. (Et comme nous le savons, de nombreuses personnes ne mettent pas régulièrement à jour leurs mots de passe. C’est là qu’un gestionnaire de mots de passe comme SecuServ peut aider). Ils peuvent créer des comptes d’administrateur frauduleux par défaut. Ils disposent d’outils automatisés pour pirater les systèmes et ont de bons yeux pour détecter manuellement les vulnérabilités sur les sites web où ils devraient utiliser ces outils automatisés.
Et il se peut qu’ils n’aient besoin que d’accéder à un compte pour infiltrer votre système.
Pour vous protéger contre ce type d’attaque, vous devriez, dans la mesure du possible, mettre en place une authentification à plusieurs niveaux. Plus un attaquant doit franchir d’obstacles, plus il lui sera difficile de pénétrer dans votre système. Faites également attention à la gestion des sessions et réglez correctement les limites de temps pour les applications. Lorsqu’un utilisateur ferme son navigateur, déconnectez-le du système. Chaque fois qu’un utilisateur quitte une session alors qu’il est encore connecté, l’ensemble du système reste vulnérable.
Mise en danger des données sensibles
Au cours des cinq dernières années, les attaques les plus fréquentes et les plus lourdes de conséquences ont eu lieu par la simple divulgation d’un trop grand nombre de données sensibles. Les logiciels qui divulguent des informations confidentielles via des sessions, des URL ou du code mal construit augmentent le risque de cette faille de sécurité.
Bien que la plupart des petites entreprises n’aient pas à se soucier de la conception des URL, si vous voyez des informations personnelles dans l’URL d’un navigateur, vous devriez vous poser quelques questions.
Faites également attention aux clés qui ne correspondent pas et qui peuvent indiquer que le site auquel vous souhaitez accéder et le site pour lequel l’authentification est effectuée sont différents. Avez-vous déjà vu la mention « Cette application n’est pas fiable » sur Google ?
Contrôle d’accès défaillant
Il est important de contrôler qui a accès à quelles parties de votre site Web.
Il ne faut pas confondre cela avec l’accès non autorisé, comme nous l’avons mentionné plus haut.
Par exemple, disons que vous donnez à un entrepreneur des privilèges d’administrateur de votre site Web. Avez-vous supprimé cet accès lorsqu’il ne travaillait plus pour vous ? Qu’en est-il de vos informations Google ? De votre service de messagerie électronique ?
Plus il y a de points d’accès expirés mais valides à votre système, plus vous êtes vulnérable aux attaques. Les attaquants peuvent s’introduire dans votre système et modifier vos données sans même que vous le sachiez. Et les employés disposant d’un accès trop important peuvent casser quelque chose, intentionnellement ou non. Assurez-vous donc de savoir qui a accès, en permanence !
Dont voilà les risques à ne pas confier la gestion de son site web à un Webmaster comme SecuServ.