Hier nous apprenions que Le groupe pharmaceutique et cosmétique Pierre Fabre a été victime d’une cyberattaque et certains sites de production sont à l’arrêt, a indiqué mercredi à l’AFP le troisième laboratoire français. Il y a quelques jours, victimes d’un virus informatique cryptant leurs données, le Courrier de l’Ouest, la ville d’Angers et la Clinique de l’Anjou ont mis plusieurs semaines à retrouver un fonctionnement normal. …Ne nous mentons pas, sécuriser son site internet ne peut pas être garantie à 100%. Des organisations comme la NSA ont déjà subi des intrusions sur leurs serveurs alors qu’elles disposent de quelques-uns des meilleurs spécialistes en sécurité de la planète. Il est cependant possible de parer la grande majorité des attaques en appliquant des règles simples. Ces dispositions permettent de stopper les robots des pirates mais aussi de décourager les pirates les plus pressés ou les simples script kiddies qui veulent s’amuser.
Bien choisir et gérer ses mots de passe
De nombreux utilisateurs choisissent encore des mots de passe génériques. Aussi étonnant que cela puisse paraître, le mot de passe « password » figure toujours en bonne place dans les classements des mots de passe les plus utilisés dans le monde. Aujourd’hui, de nombreuses applications contraignent heureusement leurs utilisateurs à choisir des mots de passe composés de lettres, de chiffres et de caractères spéciaux. Malgré cette contrainte, les applications restent vulnérables. Les pirates utilisent en effet des dictionnaires pour générer des millions de mots de passe aléatoires. Ces listes sont utilisées pour faire des tentatives d’intrusions automatisées.
Le choix d’un mot de passe dénué de sens et mélangeant plusieurs types de caractères est un excellent point de départ pour la mise en place d’une stratégie de cyber sécurité. Elle permet du moins de ne pas la rendre caduque.
Les mots de passe ne doivent pas être les seuls à faire l’objet de l’attention de l’utilisateur. De nombreux outils proposent comme identifiant des mots génériques comme « admin » ou « root ». Remplacez autant que possible ces noms par des mots pensés à la manière d’un mot de passe.
La sauvegarde des mots de passe doit être effectuée de préférence sur papier. Les précieux sésames sont ainsi coupés du réseau !
Si un prestataire doit avoir accès à un espace sécurisé, la meilleure approche est de lui créer un compte. Mais surtout de le supprimer après la réalisation de la mission.
Avoir une politique de sauvegarde
Un site internet, et plus généralement tout système d’information, doit faire l’objet d’une politique de sauvegarde. Dans le cas d’un site ou d’une application, les sauvegardes doivent être régulières et mieux encore, automatisées. Cette sauvegarde doit de plus être stockée sur un réseau privé ou sur un réseau déconnecté du réseau, comme un disque dur externe. Par ailleurs, elle doit de plus impérativement faire l’objet d’un test. Une sauvegarde peut être corrompue.
Un pirate informatique peut non seulement voler des données mais également les effacer après son passage. Si un vol de données est critique, la perte des données peut mettre fin à l’activité d’un site.
L’automatisation des sauvegardes peut être mise en place avec l’installation de scripts, la création de tâches récurrentes et la location d’un espace de sauvegarde. Elles sont généralement proposées lors de la souscription à un hébergement. Une autre solution encore plus simple est de souscrire à un service de sauvegardes automatisées. Celle-ci est proposée souvent en option par les hébergeurs comme la sauvegarde de serveur d’Amen. Pour une dizaine d’euros par mois, vous vous assurez de toujours disposer de vos données.
Si vous mettez en place votre propre système de sauvegarde, il est essentiel de conserver plusieurs versions des sauvegardes. Après un piratage, la dernière sauvegarde a de grandes chances d’être infectée par un virus ou de contenir un cheval de Troie.
Maintenir à jour ses logiciels
Des applications comme Wordpress, Prestashop ou Drupal permettent de créer un site internet en quelques minutes avec très peu de connaissances en informatique. Le webmaster débutant, après avoir passé de longues heures à configurer son site, va parfois ignorer les mises à jour pour ne pas recommencer le travail. Cette approche est malheureusement très dangereuse.
Les mises à jour ne peuvent et ne doivent pas être ignorées. Elles ajoutent non seulement de nouvelles fonctionnalités mais apportent aussi et surtout des corrections des failles de sécurité. Un logiciel non mis à jour est très facile à pirater. Les failles de sécurité sont en effet connues et généralement très bien documentées. Les pirates ont aucun mal à s’engouffrer dans ces brèches. Pire encore, l’exploitation de ces failles est généralement automatisée avec des robots.
Les mises à jour doivent être effectuées pour les logiciels du site internet. Mais aussi au niveau des ordinateurs des administrateurs du site.
En conclusion, si la sécurisation d’un système informatique connecté à un réseau ne peut être garantie à 100%. L’adoption de règles simples permet de se prémunir de la majorité des attaques. En associant à cette politique de sécurité, une politique de sauvegarde le webmaster s’assure de toujours disposer de ses données. Il pourra ainsi remettre en ligne son site internet.