Embed Size (px)
Citation preview
23
101
912
0
67
5
Quelques gestes simples pourla sécurité de votre site Web
en 2016
G U I D E D E L A S É C U R I T É D E S S I T E S W E B
En 2014, les violations de données ont exposé plus de 384 millions d’identités, soit l’équivalent de toute la population d’Europe
occidentale.
Si les hackers parviennent à s’engouffrer dans les failles de votre site, vous risquez non
seulement de vous attirer les foudres de clients mécontents et d’une mauvaise publicité dans
les médias, mais aussi de devoir payer de fortes amendes.
Avantages d’un site Web sécuriséVotre site Web peut constituer un formidable levier de croissance pour votre
entreprise. Mais il peut aussi réduire votre réputation à néant. Loin de nous
l’idée d’agiter un chiffon rouge à coup de statistiques alarmantes et autre jargon
technique. Mais notons qu’il est tout aussi important de cerner les risques que
les opportunités. Pour cela, vous devez d’abord comprendre ce que vos clients
font sur votre site :
4 Acheter
Alors que les consommateurs sont de plus en plus nombreux à délaisser les magasins au profit d’Internet, le commerce en ligne est appelé à représenter 21,5 % des ventes d’ici 2018, contre 12,7 % aujourd’hui. Il détiendra alors la plus grosse part du secteur de la vente au détail.
Or, si le Web marchand représente désormais un élément vital de l’économie, les cyberconsommateurs se montrent aussi de plus en plus méfiants. Pour eux, pas question de fournir un numéro de carte bancaire sans preuves formelles de votre engagement sur la protection de leurs données.
4 Lire votre blog
D’après Selz, spécialiste des logiciels e-commerce, près de la moitié des clients lisent les avis de consom-mateurs et autres billets de blogs avant d’acheter en ligne. C’est ainsi que 13 % d’entre eux affirment avoir pris leur décision d’achat suite à la lecture d’un blog.
Pour booster le nombre de lecteurs sur votre blog, il vous faudra plus qu’un contenu de qualité : pensez aussi à sécuriser votre site afin de les protéger contre les logiciels malveillants et de rester dans les petits papiers de Google.
4 Fournir des coordonnées sur une page d’accueil
Le marketing entrant coûte 61 % moins cher par lead que les techniques traditionnelles. Mieux encore, il double le taux de conversion, soit 12 % contre 6 % pour les autres méthodes.
Or, une fois l’internaute sur votre site, tout l’enjeu consiste à le mettre en confiance pour qu’il n’ait aucune crainte à vous transmettre ses coordonnées pour accéder à vos contenus.
4 Compléter un autre type de transactions, par exemple, la prise de rendez-vous
Des sites comme Amazon ont habitué les internautes à une expérience d’achat efficace, facile d’accès et disponible 24h/7j. Aujourd’hui, vos visiteurs attendent donc le même niveau de praticité pour leurs autres transactions en ligne.
Lorsque vos clients peuvent fixer un rendez-vous ou effectuer toute autre sorte de formalités non finan-cières via votre site, ils interagissent avec vous comme ils l’entendent et quand ils le veulent.
3 I Quelques gestes simples pour la sécurité de votre site Web en 2016 2
3
1
0
1
9
1
2
0
67
5
4 Demander un essai gratuit
Selon 37Signals, « les entreprises averties le savent : le gratuit constitue un bon moyen d’attirer le client ».
Les versions gratuites d’applis ou autres logiciels permettent à vos clients potentiels de tester votre interface utilisateur et vos fonctionnalités au regard de leurs attentes.
Toutefois, personne ne chargera ses données dans votre logiciel sans avoir l’assurance de sa sécurité.
4 Télécharger une appli
Gigaom prévoit un chiffre d’affaires de 85,3 milliards de dollars pour les développeurs européens d’applis en 2018. Rien d’étonnant puisqu’une étude de comScore a démontré que nous passons désormais plus de temps sur les applis mobiles qu’à surfer sur le Web sur nos PC.
Toutefois, selon le rapport Symantec Internet Security Threat Report, les cybercriminels vont suivre cette tendance en « injectant du code malveillant dans des applis légitimes » ou en « créant de nouvelles applis malveillantes d’apparence utiles ».
C’est pourquoi la protection de vos clients passe par des signatures de code sécurisées et le recours à des app stores légitimes.
4 Obtenir des informations sur votre entreprise et vos produits
« Alors que la recherche en ligne joue un rôle toujours plus important tout au long du processus d’achat, 60 % des consommateurs vont d’abord sur un moteur de recherche avant de se rendre sur le site Web du magasin », explique Toni White, Directrice marketing de la division Retail Finance de GE Capital.
Même si les clients n’interagissent pas activement avec vous sur votre site Web, ils se feront une opinion de vous en fonction de l’image que vous projetez, y compris en matière de sécurité.
4 Contacter l’entreprise
D’après une étude Forrester, 44 % des cyberconsommateurs considèrent une assistance humaine directe au moment de l’achat comme l’une des fonctionnalités les plus importantes qu’un site puisse offrir.
Les helpdesks et formulaires de contact en ligne vous aident à aller au-devant des attentes de vos clients. Toutefois, puisqu’ils impliquent un échange d’informations, vous vous devez de les sécuriser.
4 Donner de l’argent (par ex., associations ou crowdfunding)
Selon un rapport publié par Massolution, le crowdfunding pèsera plus lourd que le capital-risque d’ici à 2016. De 16 milliards de dollars en 2014, ce mode de financement participatif devrait atteindre 34 milliards en 2015. De son côté, le domaine caritatif a récolté les dons de 1,4 milliard de personnes en 2015.
Les sites marchands ne sont donc pas les seuls à devoir rassurer leurs visiteurs avant qu’ils ne leur fournissent leur numéro de carte bancaire.
4 I Quelques gestes simples pour la sécurité de votre site Web en 2016 2
3
1
0
1
9
1
2
0
67
5
4 Partager vos contenus sur les médias sociaux
« La preuve sociale désigne un concept selon lequel les uns se conforment aux actions des autres en par-tant du principe que ces actions reflètent le bon comportement à adopter », explique Ed Hallen of Buffer.
Dans cette optique, les réseaux sociaux représentent un énorme potentiel marketing. Mais là encore, les internautes veulent des preuves de la légitimité de votre site avant de le faire découvrir à leurs amis. Pour eux, pas question d’être responsable de l’infection de l’ordinateur d’un collègue, voire pire.
4 Effectuer des transactions bancaires en ligne
Alors que les consommateurs gèrent de plus en plus leurs finances personnelles sur Internet, les pertes de la banque en ligne imputables à la fraude ont augmenté de 48 % entre 2013 et 2014. Ce qui ne signifie pas pour autant que vous devrez faire une croix sur la tendance de fond que représente la banque en ligne.
Selon Richard Levy, Directeur marketing UK de MoneyGram, « le numérique a élevé le niveau des attentes de clients désormais habitués à des marques comme Amazon, ce qui oblige les services financiers à répondre à ces exigences ».
Il n’est jamais trop tôt pour bien se préparerImaginons que vous ayez décidé de vous mettre au jogging cette année. Vous
aurez de bien meilleures chances de tenir cette résolution si vous prenez des
engagements fermes. Par exemple, il est bien plus efficace de s’inscrire et
s’entraîner pour un semi-marathon au mois de mai que de simplement se dire
« j’irai courir de temps en temps ».
Cela s’applique aussi à votre site Web. Il vous faut un objectif, un plan et une bonne visibilité. Or, si prédire l’avenir relève de la gageure, le passé peut cependant nous livrer quelques bons enseignements.
En 2014, deux problèmes de sécurité majeurs, Heartbleed et Shellshock, ont exploité les vulnérabilités des logiciels open-source qui forment la base de la sécurité et du commerce en ligne. D’après Anthony Caruana de CSO Online, « la principale leçon à tirer d’Heartbleed est sans doute qu’on ne peut plus faire confiance à une technologie du simple fait qu’elle n’a pas encore été exploitée. »
En d’autres termes, il n’existe aucune certitude dans l’univers de la sécurité des sites Web. Ainsi, en 2016, votre principale motivation devra être de renforcer votre résistance face à l’imprévu.
En outre, une sécurité renforcée génère des opportunités. En 2014, Google a annoncé qu’il relèverait le classement des sites qui implémentent le protocole HTTPS sur toutes leurs pages, et non uniquement sur celles de paiement – une bonne pratique de sécurité baptisée Always-On SSL. Google favorise également les sites qui offrent une expérience client de qualité. En clair, l’amélioration de votre classement dans les résultats de recherche passe par la sécurité de vos visiteurs : tout le monde y gagne !
5 I Quelques gestes simples pour la sécurité de votre site Web en 2016 2
3
1
0
1
9
1
2
0
67
5
Les cybercriminels mettront votre volonté à l’épreuveIl n’est jamais facile de tenir ses bonnes résolutions. Mais en matière de sécurité
de votre site Web, le défi est d’autant plus difficile à relever que les cybercrimi-
nels feront tout pour saper vos meilleures intentions. À commencer par ces trois
techniques courantes :
4 Usurpation
Le principe est simple : cloner un site Web à forte fréquentation afin de recueillir les mots de passe et au-tres informations confidentielles d’internautes se croyant sur le bon site. C’est pourquoi les certificats SSL EV (Extended Validation) ont un rôle si important à jouer dans l’authentification de votre entreprise : la barre d’adresse verte pourrait bien constituer la seule différence entre votre site et son clone malveillant.
4 Capture de données
Les malwares que les cybercriminels injectent dans le code de votre site peuvent frapper de plusieurs manières. Parfois, ils visent à infecter les ordinateurs des internautes afin d’enregistrer leurs saisies cla-vier et de voler d’autres informations personnelles. Dans d’autres cas, ils permettent aux hackers d’infiltrer votre serveur et votre réseau. N’oubliez jamais ceci : plus vous conservez de données d’entreprise sur le même réseau que votre serveur Web, plus le butin est alléchant pour les cybercriminels.
4 Attaque du « point d’eau »
Les hackers pourront exploiter la popularité de votre site pour cibler certains de vos clients. Là encore, la technique consiste à injecter des malwares dans les logiciels sous-jacents, puis d’attendre patiemment que la victime s’y rende pour l’infecter. Particulièrement néfastes, les attaques du « point d’eau » sont spéciale-ment conçues pour passer inaperçues.
Nos recommandations pour un site Web performant en 20164 Contrôlez l’accès à vos serveurs et certificats
Plus une entreprise est grande et plus elle possède de serveurs Web, de certificats SSL et de personnes ayant accès aux informations sensibles liées à la sécurité des sites Web. Ce qui augmente systématique-ment le risque de menaces internes.
Vous devez donc minimiser le facteur risque humain. Pour cela, contrôlez les accès aux systèmes et serveurs, et modifiez régulièrement vos mots de passe, en particulier en cas de changement dans la composition de l’équipe sécurité de votre site Web. Mettez également en place des processus et règles pour restreindre les accès, enregistrer les modifications et protéger les clés de cryptographie privées.
6 I Quelques gestes simples pour la sécurité de votre site Web en 2016 2
3
1
0
1
9
1
2
0
67
5
4 Créez un espace d’information sécurité sur votre site
Pour montrer à vos visiteurs que vous prenez leur sécurité au sérieux, créez une page sur votre site qui leur explique les mesures de sécurité en place et les avantages pour eux.
Le site eBookers.fr montre ainsi l’exemple. Informez vos visiteurs sur la nature des informations cryptées et vos méthodes de chiffrement, tout en leur offrant des garanties précises. Non seulement vous renfor-cerez la sécurité de vos clients, mais vous le leur prouverez également de manière concrète.
4 Affichez des marques de confiance
Les internautes ont pris l’habitude de chercher des preuves visuelles de la sécurité d’un site Web. Par exemple, 64 % des participants à une enquête consommateurs internationale menée en septembre 2015 se disaient davantage disposés à poursuivre une transaction en ligne en présence du sceau Norton Secured.
Donnez à vos visiteurs ce qu’ils demandent. Fourni avec tous les certificats Symantec SSL, le sceau Norton Secured s’impose comme la marque de confiance la plus reconnue sur Internet et s’affiche plus d’un mil-liard de fois par jour dans 170 pays.
4 Choisissez une autorité de certification réputée
Chaque autorité de certification (AC) n’engage pas les mêmes ressources et n’affiche pas les mêmes niveaux de rigueur et de résilience dans sa lutte contre la cybercriminalité.
Il est donc important de bien garder à l’esprit que le choix de votre AC est primordial. En effet, l’émission de certificats SSL n’obéit pas aux mêmes règles d’une AC à l’autre. C’est pourquoi les entreprises doivent être particulièrement vigilantes sur le niveau et la rigueur de l’authentification et de la sécurité des certifi-cats SSL dans lesquels elles engagent la réputation de leur marque et la confiance de leurs clients.
Tous les certificats SSL ne se ressemblent pas car toutes les AC ne se valent pas. Pour qu’Internet demeure un environnement sûr pour tous, deux principes clés doivent dicter la conduite des AC : le respect des bonnes pratiques de sécurisation des clés privées et la mise en œuvre attentive de pratiques d’authentification rigoureuses.
Fondé en 1995 sous le nom de VeriSign, Symantec équipe les plus grands parcs de certificats SSL de la planète.
• Services de validation traitant en moyenne plus de 4,5 milliards de hits par jour, et ce sans interrup-tion de service depuis plus de huit ans
• Certificats SSL présents dans 97 des 100 plus grands établissements financiers et dans 75 % du top 500 des sites d’e-commerce en Amérique du Nord
• Infrastructure PKI robuste, composée de data centers et de sites de secours ultra-sécurisés pour une protection et une disponibilité maximales des données client
7 I Quelques gestes simples pour la sécurité de votre site Web en 2016 2
3
1
0
1
9
1
2
0
67
5
4 Gérez le calendrier de renouvellement de vos certificats SSL
Si vous ne renouvelez pas vos certificats SSL à temps, les internautes verront s’afficher un message d’avertissement dans leur navigateur. Ces alertes sont très mauvaises pour les affaires : selon une enquête menée auprès de cyberconsommateurs américains, 91 % des personnes interrogées interrompront leur transaction en cas d’avertissement signalant l’absence d’une connexion sécurisée.
C’est pourquoi vous prendrez soin de désigner un(e) responsable des renouvellements qui disposera d’un outil dédié au suivi et à la gestion de vos certificats. En ce sens, Symantec offre une gamme d’outils de gestion de certificats SSL capables de répondre à tous les besoins d’entreprises de toutes tailles.
4 Incitez vos salariés à adopter les bons gestes
D’après une étude Symantec menée en association avec le Ponemon Institute, 51 % des salariés interrogés estiment qu’il est acceptable de transférer des données de leur entreprise vers leur ordinateur personnel puisque celle-ci n’applique aucune politique stricte de sécurité en la matière.
Au vu de tels chiffres, la question n’est pas uniquement de savoir comment vous collectez les données clients sur votre site Web. La façon dont vous les stockez et les utilisez importe également. Vos salariés doivent donc être formés aux questions de conformité. Pour cela, la directive européenne de protection des données est un bon début.
4 Ne laissez pas vos salariés reprendre de mauvaises habitudes
Vous devez protéger votre site Web contre les menaces tant internes qu’externes.
Sensibilisez vos salariés aux risques que les e-mails/sites malveillants et l’ingénierie sociale représentent pour l’intégrité de vos réseaux et serveurs Web.
Pour vous aider à mener ce combat, Symantec offre des ressources en ligne gratuites, ainsi que des forma-tions en présentiel et des programmes de certification.
4 Formez-vous
Ne sous-estimez pas le pouvoir du savoir. En entretenant vos connaissances, vous pourrez mieux protéger votre site. Bien qu’il soit difficile d’en saisir tous les rouages techniques, vous devrez cependant bien comprendre la physionomie des menaces en présence.
En d’autres termes, s’il est bon de faire appel à un expert en sécurité comme Symantec, il est tout aussi important d’en connaître les raisons en premier lieu.
4 Exécutez des analyses antimalwares
« Le fait que l’hacktivisme et les logiciels malveillants existent depuis un certain temps ne les rend pas moins menaçants. Il n’y a donc aucune raison de relâcher notre attention, loin de là ! », affirme l’Information Security Forum dans son rapport Threat Horizon 2015.
Pour les cybercriminels, votre site représente un formidable vecteur de propagation de logiciels malveil-lants. En effectuant des analyses antimalwares régulières, vous repérerez immédiatement les signes d’infection. Ainsi, toutes vos pages Web publiques seront passées au crible pour protéger votre entreprise et vos clients. Tous les certificats Symantec SSL incluent des analyses antimalwares quotidiennes.
8 I Quelques gestes simples pour la sécurité de votre site Web en 2016 2
3
1
0
1
9
1
2
0
67
5
4 Détectez vos vulnérabilités
Dans la plupart des cas, un pirate qui cherche à s’infiltrer sur un site Web y parvient assez facilement. Et pour cause : d’après le Symantec Internet Security Threat Report, 76 % des sites Web comportaient une vulnérabilité critique en 2014.
D’où l’importance d’évaluer le système immunitaire de votre site Web et de remédier à ses carences. Pour cela, de nombreux certificats Symantec SSL offrent un service gratuit de détection des vulnérabilités.
4 Gardez vos serveurs à jour
D’après une étude Symantec, plus des deux tiers des sites Web utilisés pour propager des malwares sont des sites légitimes mais compromis. En cause : le manque de mise à jour des logiciels serveurs.
Lorsqu’un correctif ou une MAJ est publié, cela signifie que le fabricant a développé un remède contre une vulnérabilité spécifique. En d’autres termes, si vous n’actualisez pas vos serveurs, vous exposerez votre site à des vulnérabilités déjà connues, et donc facilement exploitables.
C’est pourquoi vous devez réduire au minimum la vulnérabilité de votre site : chaque fois qu’un correctif est publié, testez-le et installez-le immédiatement.
4 Utilisez des certificats SSL Extended Validation
Prouvez votre identité à l’aide des certificats SSL Extended Validation (EV). Leur présence déclenche l’affichage d’une barre d’adresse verte qui indique que votre entreprise a été soumise à une vérification poussée de son identité. En fait, selon une enquête Symantec, la présence de la barre verte accentue le sentiment de sécurité de 60 % des cyberconsommateurs.
Après le déploiement de certificats Symantec SSL Secure Site Pro avec EV, Liberty Games – une boutique en ligne spécialisée dans la vente d’équipements allant de 5 £ à 35 000 £ – a enregistré une hausse de plus de 35 % de son chiffre d’affaires en glissement annuel.
4 Implémentez Always-On SSL
En protégeant tout votre site par HTTPS au moyen des certificats SSL d’une AC de confiance comme Symantec, vous cryptez l’intégralité des sessions des internautes – et pas uniquement les pages de connexion et de paiement.
Facile à déployer, Always-On SSL authentifie l’identité d’un site Web et crypte toutes les informations échangées entre ce site et les internautes (y compris les cookies). Résultat : ces informations sont proté-gées contre toute visualisation, modification ou utilisation non-autorisée.
Comme nous l’expliquons sur notre blog, la protection des seuls espaces de connexion et de transaction n’empêche pas les hackers d’exfiltrer les cookies retraçant une session utilisateur donnée. Ensuite, libre à eux de recréer une session Web et d’accéder à toutes sortes de données sensibles.
C’est pourquoi l’Online Trust Alliance encourage tous les sites Web à adopter Always-On SSL. La méthode est déjà appliquée par des grands noms du Net comme Google, Facebook et PayPal. Alors pourquoi pas vous ?
9 I Quelques gestes simples pour la sécurité de votre site Web en 2016 2
3
1
0
1
9
1
2
0
67
5
ContactSSL247® - The Web Security Consultants
03 66 72 95 [email protected]
© 2016 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, le logo en forme de
coche et le logo Norton Secured sont des marques commerciales ou des marques déposées de Symantec
Corporation ou de ses filiales aux États-Unis et dans d’autres pays. Les autres noms peuvent être des
marques commerciales de leurs détenteurs respectifs.
Quelques gestes simples pour la sécurité de votre site Web en 2016
