Face aux cyberattaques toujours plus nombreuses et toujours plus sophistiquées, la sécurité des sites e-commerce est devenue un enjeu majeur. Pour une entreprise, une cyberattaque a un coût colossal, tant sur le plan financier, que juridique, ou encore, au niveau de l’image de marque. Comment sécuriser son site web ? Comment s’assurer que son hébergeur est sécurisé ? Comment se protéger contre les cyberattaques ? Cytadel vous conseille et vous accompagne.
Hébergement sécurisé : se protéger des cyberattaques
Sécuriser son site web n’est pas une mince affaire, et pourtant, c’est un enjeu crucial pour les entreprises de nos jours. Selon la plateforme cybermalveillance.gouv.fr, le nombre de cyberattaques a connu une hausse majeure en 2019 : plus de 90 000 victimes ont demandé l’assistance de la plateforme, contre 28 855 en 2018, soit une augmentation de 210 %.
En France, selon l’étude NetExplorer 2019, 9 entreprises sur 10 sont touchées par des attaques ou des tentatives d’attaque. 43 % d’entre elles sont des PME. Parmi les attaques les plus courantes : le phishing (24 % des attaques), les attaques par malware (20 %), puis celles par rançongiciels (16 %). Selon cette même étude, le coût moyen d’une cyberattaque pour une entreprise en 2019 s’élevait à 1, 3 millions d’euros.
L’Agence nationale de la sécurité des systèmes d’information (Anssi) a récemment donné l’alerte sur ce dernier type d’attaque : l’Anssi enregistrait 104 interventions pour des attaques par rançongiciels entre le 1er janvier et le 1er septembre 2020, contre 54 cas en 2019, soit une évolution de près de 100 % en moins d’un an. La sophistication de ses attaques évolue chaque année. On observe de plus en plus d’attaques par ransomware, doublées de vol de données avec menaces de publication, pour pousser les entreprises à payer les rançons rapidement.
entreprises touchées par les attaques
Coût moyen d’une cyberattaque pour une entreprise
Les conséquences d’une cyberattaque pour les entreprises
Les retombées d’une cyberattaque sur une entreprise sont lourdes :
Financières
Avec un manque à gagner lié au temps d’arrêt de l’activité, une hausse des primes d’assurance et des taux d’intérêt si l’entreprise n’était pas suffisamment protégée, le coût de mesures prises pour résoudre le problème et le prévenir à l’avenir…
Juridiques
L’évolution de la législation sur la protection des données permet à votre clientèle de porter plainte pour négligence, en cas de vol de données. L’entreprise s’expose donc à des poursuites judiciaires et des amendes qui peuvent être très coûteuses.
Réputation
Une perte de confiance de la clientèle, des partenaires, mais aussi des salariés, peut impacter lourdement le chiffre d’affaires. Les investissements et le temps nécessaire pour redorer la réputation de la marque peuvent fragiliser l’entreprise.
Comment sécuriser son site web ?
Si cet état des lieux peut faire froid dans le dos, rassurez-vous, il existe bien sûr de bonnes pratiques pour sécuriser son site web, et se protéger contre les cyberattaques. La sécurité d’un site web peut s’effectuer sur trois axes : la sensibilisation des utilisateurs, la sécurisation du code, la sécurisation de l’infrastructure.
En interne, il est nécessaire que tous les administrateurs du site – et de manière générale, tous les collaborateurs – soient formés aux bonnes pratiques de cybersécurité. Ensuite, au niveau du code, les développeurs doivent aussi porter une attention toute particulière à la sécurité. Surtout, il doit y avoir une bonne compréhension de l’infrastructure par les développeurs, pour que le code soit adapté aux serveurs et que tout soit correctement paramétré.
Au niveau de l’infrastructure, vous pouvez vous tourner vers un hébergement web sécurisé. Certains prestataires mettent en avant les certifications PCI/DSS, ou la norme ISO 27001, comme gage de sécurité. Il faut cependant rester vigilant. En effet, ces certifications ne garantissent que le périmètre d’action de l’hébergeur. Si par la suite les couches de sécurité n’ont pas été activées ou paramétrées correctement par les développeurs, la faute vous reviendra en cas d’attaque. Dans ce cas de figure, mieux vaut donc opter pour une approche DevOps : une collaboration rapprochée entre les développeurs et l’hébergeur, pour un site parfaitement sécurisé.
Choisissez Cytadel pour un hébergement sécurisé
Chez Cytadel, nous avons toujours adopté une approche DevOps. Nous prenons connaissance de votre milieu d’activité, des problématiques que vous rencontrez sur votre site, et nous dressons un diagnostic complet. Cet audit de sécurité permet de discerner les éventuelles failles qui pourraient être exploitées en cas de cyberattaque.
Nous intervenons alors pour sécuriser l’infrastructure, paramétrer correctement les middlewares et les outils, notamment ceux rattachés à la base de données. Tout au long du processus, nous échangeons avec vos équipes de développement.
Une fois le site sécurisé, nous assurons la formation de vos développeurs pour qu’ils deviennent autonomes sur les questions de sécurité. Bien sûr, un suivi préventif est mis en place pour garder l’infrastructure sécurisée dans le temps. Les experts Cytadel restent à votre écoute en cas de besoin, notamment à travers un slack dédié.
Le témoignage de notre expert
”Dernièrement, j’ai été missionné pour récupérer un ancien hébergement sur un hébergeur externe, et le rapatrier sur l’infrastructure Cytadel. La connexion s'effectuait en ssh via le user root, sur le port 22 et ne disposait pas de protection anti-brute force (fail2ban). Une fois connecté, j’ai remarqué qu’un serveur apache hébergeait les sites web du client. Chacun d’entre eux utilisait le user www-data. En cas de compromission d’un des sites web, un attaquant avait donc la possibilité de corrompre les sources des autres.
ArnaudAdministrateur Système chez Cytadel
J’ai poursuivi mon analyse en m'intéressant aux backups de ces sites. Un script lancé en tâche planifiée archivait les sources, ainsi que la base de données, sur un volume distant. Le script gérait aussi la durée de rétention de ces archives. En somme, les anciennes sauvegardes n’étaient pas versionnées et étaient directement accessibles depuis le serveur. En cas de prise de contrôle malveillante de l’utilisateur user root, elles étaient vulnérables à une prise d’otages par ransomware, empêchant une future restauration des sites web. Ces différents points n'empêchaient pas le bon fonctionnement des sites hébergés sur le serveur. Mais d’un point de vue sécurité, cela fragilisait grandement les capacités de défense de ce dernier. Un site peut toujours présenter des failles de sécurité, et la meilleure façon de se protéger, c’est de limiter la capacité d’action d’un attaquant par la prévention.