On continue avec les bonnes pratiques de sécurité web ! Nos premiers conseils pour sécuriser un site web se concentraient sur des bonnes pratiques plutôt opérationnelles : suppression des éléments inutiles, utilisation du chiffrement, bonne connaissance de ses systèmes, mise à jour des composants… Nous rentrons aujourd’hui un peu plus dans la technique, avec de nouvelles bonnes habitudes simples à prendre et à mettre en place.

Ne laissez rien au hasard : configurations soignées

La configuration de vos systèmes joue également un rôle majeur dans leur protection. A l’installation d’un programme ou service, vous ne devez pas utiliser la configuration par défaut, bien connue des pirates et donc extrêmement simple à exploiter.

Pour vous assurer que les bonnes pratiques sont respectées, passez tout en revue. Serveur web, base de données, application, code… tout doit être vérifié, car les pirates profiteront du moindre maillon faible ! Pour faciliter l’exploitation de votre environnement et le maintien de votre sécurité numérique, vous pouvez notamment créer un processus humain permettant de mettre en marche facilement un environnement sécurisé, et un processus automatisé de vérification des configurations.

Voici quelques exemples de points auxquels faire attention :

  • Comptes par défaut : supprimez les comptes ou changez à minima les mots de passe
  • Messages d’erreur : limitez les informations fournies dans les messages pour ne pas donner d’indices aux pirates
  • Gestion des accès : limitez les accès aux fichiers, fonctionnalités ou données au strict nécessaire

Soyez réactifs en cas d’attaque : repérage et réponse aux alertes

Même en portant une grande attention à la protection de vos systèmes, ces derniers ne seront jamais sécurisés à 100%. Vous devez donc être préparé à la possibilité d’une compromission, car les pirates comptent, pour atteindre leur but sans être repéré, sur le manque de surveillance et le temps de réponse souvent lent des entreprises en cas d’attaque. Mettez en place une stratégie de cyberdéfense en amont afin d’être préparé en cas d’éventuelles attaques.

Prêtez donc une attention particulière au monitoring et à la journalisation de vos plateformes, et mettez en place des alertes pour tout comportement douteux. En créant un processus de réponse aux incidents, vous pourrez réagir efficacement et arrêter les pirates avant qu’ils ne puissent réaliser leur objectif.

Il existe un bon moyen de tester votre monitoring et journalisation : réalisez un test d’intrusion et vérifiez les logs. Ces derniers doivent montrer les actions réalisées par les testeurs, et les dommages qu’ils auraient pu faire… Ces informations sont notamment très utiles en cas d’analyse post-compromission et de dépôt de plainte !

Pour vérifier que ces bonnes pratiques de sécurité informatique sont bien respectées,
et que votre site ou application web est bien sécurisé,
faites tester votre site par nos experts en sécurité !

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.