Le vendredi 21 octobre 2016, une attaque de grande ampleur a paralysé les sites du New York Times, Twitter ou encore Netflix. Elle a été perpétrée via une technique de « déni de service » qui consiste à saturer un service de connexion pour le rendre inaccessible.
En avril dernier, c’est une PME du Béarn qui est attaquée par un cryptolocker qui crypte tous les fichiers de l’entreprise : paye, données commerciales. La seule option : payer une rançon de 1500 €uros en bitcoins. Loin d’être un mythe tiré de romans policiers, la menace est bien là. Le pirate se taguera d’ailleurs d’un mail de conseils à la directrice de la société : « Utilisez des serveurs de sauvegarde externe, et installez des antivirus, avec mots de passe, à l’avenir ! ».
Le cabinet Vanson Bourne a réalisé à ce sujet une enquête indiquant que 48 % des entreprises admettent avoir subi une attaque par ransomware au cours de 2015, et 81 % ont indiqué avoir subi 3 attaques ou plus. Même si les menaces sont de plus en sophistiquées, nous proposons ici un article avec quelques conseils afin de minimiser les risques.
Un mot de passe complexe par site ou réseau utilisé
Un des éléments prioritaires : vos mots de passe. Deux règles essentielles à retenir :
• Exploitez un mot de passe par site exploité
• Créez des mots de passe complexes
Certes, ce sont des règles basiques, mais vitales ! Pourquoi ? Car un mot de passe faiblement sécurisé rendra votre site plus facilement attaquable. De la même manière, si par manque de vigilance, vous décidez de laisser le mot de passe par défaut ou encore de le définir à la va-vite (« 12345 »), c’est une négligence qui peut avoir de fortes répercussions.
Il est nécessaire d’y réfléchir. La recommandation principale sera de choisir un mot de passe long et complexe, avec à minima une lettre majuscule et un caractère spécial.
Une technique efficace est celle d’une information personnelle et confidentielle (non affichée sur les réseaux sociaux) qui sera exploitée :
– Exemple : « J’adore les cookies La Mie Câline » pourra devenir l’acronyme « JlcLMC » couplé d’un chiffre et d’un caractère, soit « JlcLMC20!»
– Soit 9 caractères minuscules, majuscules, chiffres et caractères spéciaux mêlés.
Le site web d’une entreprise est au cœur de sa stratégie digitale, à ce titre, le mot de passe utilisé pour s’y connecter doit rester unique afin d’éviter un effet de contagion si une des plateformes ayant le même mot de passe est hackée (cf. cas LinkedIn il y a peu).
Des gestionnaires de mots de passe en ligne existent, comme LastPass qui vous permettront de gérer vos mots de passe et d’en optimiser la sécurité si cela paraît trop compliqué de gérer plusieurs mots de passe complexes.
Recours ultime : mettre en place avec les équipes techniques un système de double authentification afin de sécuriser davantage l’accès à votre site (exemple : mot de passe + sms, mot de passe + appel…). L’ANSSI, l’agence nationale de sécurité informatique propose également un guide intitulé « Les douze règles essentielles pour la sécurité des systèmes d’information » à ce sujet pour en savoir plus.
Effectuez les mises à jour de CMS (WordPress, Joomla…) :
Des failles de sécurité sont régulièrement découvertes et c’est en faisant les mises à jour que votre site restera sécurisé. Il ne faut donc pas laisser un site en désuétude. Cependant, il faut noter que les premières versions sont souvent trop peu sécurisées. Mieux vaut attendre les premiers retours puis activez la mise à jour. Citons à ce titre WordPress : lors du passage à la version 4.2 l’année dernière, une faille s’est glissée dans une des fonctions. Celle-ci, via du code JavaScript, a permis de générer une porte dérobée (« backdoor ») permettant d’accéder au site.
Sécurisez votre serveur d’hébergement web
Le CMS est mis à jour, mais qu’en-est-il de votre serveur d’hébergement ? Il est essentiel de se doter d’un serveur sécurisé. Plusieurs niveaux : premièrement, le fichier htacess qui est à placer à la racine du serveur. Suivant la configuration, il est également envisageable de bloquer l’accès du site à certaines adresses IP, d’interdire certains types de fichiers dangereux ou de bloquer des requêtes (exclure les logiciels suspects pirates, bloquer les séries de failles potentielles…).
Créez des sauvegardes de sites
Les données sont l’or noir d’une entreprise. Si les données sont inaccessibles, l’entreprise est paralysée. Si un site est hacké, comme un site e-commerce par exemple, c’est le chiffre d’affaires de la structure qui s’en ressent directement. La mise en place de sauvegardes régulières est donc essentielle. Encore mieux : chez un hébergeur tel qu’Openhost, faire des sauvegardes externalisées. De telle manière que si votre site est attaqué, la sauvegarde est intacte.
Limitez les privilèges des comptes utilisateurs
Les administrateurs de site disposent d’un panel de privilèges et d’actions défini (droits de modification, écriture, lecture…). Ces comptes administrateurs doivent être limités et nominatifs. Inutile de donner trop de droit à des comptes utilisateurs classiques.
C’est la politique du moindre privilège. Les utilisateurs doivent avoir des droits limités à leurs missions, pas plus. Malheureusement, les erreurs ou inattentions sont fréquentes et c’est en limitant les droits de modification de chacun que l’on limite le risque.
A titre d’exemple, si un accès type imprimante dispose d’un accès administrateur avec un mot de passe faiblement protégé, il est fort probable qu’un pirate identifie cette faille et s’y engouffre. Il essaiera alors d’installer un fichier sur votre site afin d’en prendre le contrôle (pour effacer les données, les rendre inaccessibles, placer des fichiers pour du phishing, etc.). C’est donc au service informatique de l’entreprise de limiter les privilèges de compte de manière à ce que, si un compte de seconde zone est impacté, il n’aura pas les droits suffisants pour modifier des fichiers importants.
Faites des audits de sécurité régulièrement
Un site web sécurisé exige du temps et des tests. Les équipes informatiques peuvent utiliser des outils de monitoring pour observer les actions faites sur le site (mise à jour d’articles, connexion au back office, plugins…) afin de détecter une activité inhabituelle. Si malgré tout, le site reste sujet aux failles de sécurité mieux vaut alors faire appel à des experts qui réaliseront un audit de sécurité des infrastructures. Des entreprises, comme Digitémis sont spécialisées dans ce type de mission et permettront de repérer les failles, générer un rapport avec les actions de corrections à réaliser.
Pour finir et en synthèse, il est important de s’entourer de bons prestataires informatiques à même de vous aider à maximiser le niveau de sécurité de vos systèmes d’information.