La sécurité informatique, c’est un sujet encore flou pour de nombreuses entreprises. Pour beaucoup, la protection des systèmes d’information requiert budget et compétences informatiques accrues. Pourtant, il existe quelques bonnes pratiques, organisationnelles plus que techniques, simples à mettre en place, qui permettent de se protéger des principales attaques sur le web.

Faites du tri : suppression des éléments inutiles

Garder des éléments inutiles sur vos systèmes, c’est augmenter votre surface d’exposition et donc les risques de compromission… sans aucun gain en contrepartie. Supprimez vos données et pages web inutiles, vos services, plugins, ou technologies inutilisés… C’est ça de moins sur le radar des pirates, et cela réduit également le cadre de ce que vous avez à gérer !

Limitez les risques de vol de données : cartographie et chiffrement

C’est le troisième risque le plus courant sur le web, mais celui qui inquiète le plus. L’exposition de données sensibles, c’est-à-dire le fait que des données soient accessibles à des personnes qui ne sont pas censées pouvoir les consulter, est la cause principale des vols de données. Les pirates recherchent en priorité des données clients, mais peuvent également s’intéresser à des informations concernant votre société, par exemple pour créer une attaque d’ingénierie sociale.

Pour vous protéger, mettez en place une stratégie de sécurité claire. Identifiez la criticité de vos données (publique, sensible ou confidentielle) et adaptez leur niveau de sécurité selon ce classement. Cette bonne pratique est recommandée par de nombreuses lois et normes. Renseignez-vous, ce sont des mines de bonnes pratiques et d’idées pour votre sécurité web !

Et surtout, rendez vos données inexploitables même en cas de vol ! Pour cela, utilisez le chiffrement de données, à la fois lors du stockage et de la transmission de ces dernières. Utilisez des protocoles chiffrés, comme HTTPS pour le web, et chiffrez vos mails contenant des données sensibles. Attention cependant à ne pas utiliser de protocoles de chiffrement obsolètes, et à bien gérer vos clés : si le chiffrement est vulnérable, vos données le seront aussi.

Ne faites pas de cadeaux aux pirates : mise à jour des technologies

Là encore, c’est un sujet régulièrement évoqué dans la presse spécialisée : la découverte de failles informatiques. Systèmes d’exploitation, frameworks, plugins… Tous ont au moins une fois contenu une vulnérabilité informatique dont le correctif nécessitait une mise à jour.

Généralement, ces correctifs sont publiés par les éditeurs avant que les pirates n’aient le temps d’exploiter massivement les vulnérabilités correspondantes. Cependant, beaucoup d’entreprises n’appliquent pas le correctif à temps, et restent donc vulnérables aux attaques des pirates, qui s’en donnent à cœur joie.

Pour ne pas leur faire ce cadeau, tenez une cartographie de tous les composants et technologies utilisés sur vos systèmes d’information, et de leur version. En effectuant une veille auprès de sources comme CVE par exemple, vous pourrez rapidement repérer si une vulnérabilité pourrait vous compromettre, et ainsi appliquer le correctif le plus rapidement possible, au cas par cas. Bien entendu, c’est plus contraignant que de prévoir des mises à jour tous les mois par exemple, mais permet une bien meilleure sécurisation.

Il y a de nombreuses raisons pour lesquelles ces mises à jour sont repoussées par les entreprises, ou même jamais réalisées : manque d’information ou de ressources, incompatibilités de version entre certains programmes… Si la mise à jour est réellement complexe, il est alors nécessaire de mettre en place un correctif virtuel, ou virtual patching.

La suite de cet article sera disponible bientôt !

Pour garantir une bonne sécurité de votre plateforme web,
vous pouvez également choisir le cloud sécurisé CerberHost!
Disponible sur cloud privé suisse et sur AWS, c’est un bouclier contre la majorité des attaques web, peu importe l’état de votre plateforme.

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.