Embed Size (px)
DESCRIPTION
En matière de protection de vos clients et de votre site Web, le savoir reste votre meilleure arme. Toutefois, face à l’évolution constante des menaces et des moyens de défense, certaines idées reçues ont la vie dure. Pour vous aider à y voir plus clair et à différencier le mythe de la réalité, Thawte vous invite à visionner ce guide essentiel.
Citation preview
10DÉCRYPTAGE DES
GRANDS MYTHES DE LA SÉCURITÉ DES SITES WEB
INTRODUCTION
De nombreuses entreprises n’ont même pas mis en place les moindres dispositifs de protection de base. Elles préfèrent se complaire dans la mythologie qui entoure la sécurité des sites Web. Il en résulte
une politique de l'autruche face aux dangers auxquels CHAQUE entreprise est pourtant confrontée.
Pour vraiment assurer leur sécurité, elles doivent se remettre en question et ouvrir les yeux pour consolider leurs défenses, leurs politiques d’entreprise, leurs pratiques et procédures au maximum
de leurs possibilités, avant de les réévaluer et de les renforcer encore davantage.
C’est dans cette optique que nous vous proposons ici d'étudier et de démonter un à un les mythes de la protection des sites Web.
Le piratage ?Ça n’arrive qu’aux autres !
MYTHE N° 1 :
Beaucoup pensent que leur site Web représente un si petit poisson dans l’océan du Net qu’aucun hacker n’y prêtera la moindre attention.Grave erreur. Aujourd’hui, les pirates tendent de très larges filets sous
la forme de scripts automatisés.
Hacking? It won’t happen to me!
Partez du principe que votre site Web est sous la sur-veillance permanente des piratesSi vous pensez que les hackers sondent votre site Web en permanence, vous n’êtes pas loin de la vérité. Votre site n’a peut-être aucune valeur apparente, mais sa base de données SQL sous-jacente pourrait bien constituer un terrain fertile pour l’usurpation d’identités.
Votre base de données SQL, terrain fertile de l’usur-pation d’identités Au lieu d’une attaque frontale, les hackers vous font donc courir un risque beaucoup plus subtil : celui de modifications apportées à votre site à votre insu. Autre ligne d’attaque en vogue : le « spear phishing », qui consiste à obtenir des données sensibles à l’aide de faux e-mails particulièrement convaincants. Les hackers se font par exemple passer pour un collègue ou une banque afin d'inciter leur cible à divulguer des données person-nelles et des informations d'entreprise hautement sensibles.
La taille de votre entreprise ne change rien à l’affaireDans tous les cas, ne pensez pas que la taille de votre entreprise fasse une différence aux yeux des hackers. Grande ou petite, les requins du Net l’ont dans le viseur.
Il est possible de quantifier
les risques de sécurité.
MYTHE N° 2 :
Il s’agit du mythe de la méthode empirique. Or, il est quasiment impossible de quantifier de tels risques.À commencer par le calcul du coût du piratage d’un site Web ou d’une éventuelle infection du réseau.
Hacking? It won’t happen to me!
Comment mesurer l’impact d’un incident sur votre entreprise ?Quel serait le prix d’une violation de propriété intellectuelle ou de données clients ? Comment mesurer l’impact d’un incident sur votre entreprise et le temps qu’il vous faudra pour rétablir votre activité ? À plus long terme, comment calculer le coût du mécontentement de vos clients et de leur exode vers la concurrence ?
Toute entreprise a besoin de mesurer l’efficacité de son dispositifSi la quantification exacte du risque est impossible, toute entreprise a néanmoins besoin de mesurer l’efficacité réelle de son dispositif. D’où la nécessité de créer vos dispositifs de sécurité ex nihilo afin de bénéficier d'une vue complète sur votre parc et d'identifier les stratégies et systèmes de sécurité les plus à même de répondre à vos besoins.
La sécuritéest du ressort
du DSSI
MYTHE N° 3 :
Certes, le Directeur de la sécurité des systèmes d’informa-tion (DSSI) s’érige en garant de la vision, de la stratégie et du dispositif de sécurité d’une entreprise. Sa mission est d’assurer une protection adaptée de l’information et des technologies. Mais est-il pour autant la seule autorité en
matière de sécurité ?
Hacking? It won’t happen to me!
Mieux vaut ne pas centraliser les responsabilités sur une seule personneUne entreprise devrait plutôt axer sa stratégie et ses processus de sécurité de l’information autour de ses besoins spécifiques – ce qui passe par l'implication d'une multitude de collaborateurs et départements à travers l'entreprise.
La sécurité de l’information est sortie du domaine exclusif du technique La sécurité de l’information est sortie du domaine exclusif du technique pour s’étendre à d’autres compétences : gestion de l’humain et du risque, proces-sus, juridique, relations publiques, sécurité physique, changement organisa-tionnel, etc.
La gestion du risque au cœur de votre approcheIl apparaît désormais très clairement qu’en présence d'une typologie de me-naces aussi complexe, une approche de la sécurité de l’information basée sur la gestion du risque s’avère vitale. L’évaluation de ces risques fait intervenir de nombreux acteurs à travers l’entreprise, sous la houlette d’un responsable chargé de la coordination du processus – rôle que le DSSI a pour vocation d’endosser.
4La technologieSSL est dépassée
MYTHE N° 4 :
Depuis quelque temps déjà, certains avancent l’argument selon lequel le système Transport Layer Security (TLS) ou
Secure Sockets Layer (SSL) aurait atteint un point de rupture. Pour le camp des anti-SSL, le temps est venu de
passer à un nouveau système. Certains vont même jusqu’à soutenir l’idée d’une suppression pure et simple
des autorités de certification (AC).
Hacking? It won’t happen to me!
Incidents dus aux lacunes des contrôles de sécurité internes des entités finalesCe jugement fait table rase de tous les avantages que la technologie SSL a su apporter au fil des ans. Si les certificats SSL restent largement reconnus comme le système cryptographique le plus fiable et le plus évolutif du marché, pourquoi un tel acharnement à leur encontre ? Certes, des violations de sécurité mettant en cause le SSL ont fait grand bruit récemment. Mais en y regardant de plus près, ce sont souvent les entités finales et les lacunes de leurs contrôles de sécurité internes qui sont en cause, et non le système dans son ensemble.
La technologie SSL n’est pas dépassée et demeure un élément clé de toute stratégie de défensePour le reste, les certificats SSL jouent depuis plus de 20 ans un rôle ma-jeur dans la sécurité d’Internet et restent encore aujourd’hui la méthode de protection des transactions en ligne la plus éprouvée, la plus fiable et la plus évolutive. Qu’on se le dise : la technologie SSL n’est pas dépassée et demeure un élément clé de toute stratégie de défense.
5MYTHE N° 5 :
Cela ne vous met pas automatiquement à l’abri, vous, votre entreprise et vos clients. Les cybercriminels peu-
vent nuire à votre entreprise et écorner sa réputation de bien d'autres manières.
Je ne stocke aucune donnée de carte bancaire,
donc je n’ai pas besoinde certificat SSL
Hacking? It won’t happen to me!
Vous avez besoin du plus haut niveau de protection possibleC'est pourquoi il vous faut vous protéger au maximum pour les maintenir à distance. Ceci passe par la création d’un espace sûr où vos clients se savent à l’abri des menaces, sans oublier un système ultrasécurisé d’identifiants et de mots de passe.
Espaces sécurisésCes « portails » interactifs et personnalisés offrent à vos clients un accès en ligne à des infor-mations sensibles dans un environnement sécurisé. Leur accès pourra éventuellement être limité aux détenteurs d'un certificat électronique afin de renforcer encore davantage la sécurité.
Informations personnellesPlus vous collectez de données personnelles (noms, adresses e-mail, numéros de téléphone, adresses postales, etc.), plus vos clients courent le risque de voir leur identité usurpée. Il vous revient donc de prendre les précautions nécessaires, faute de quoi les conséquences pourraient se révéler désastreuses pour vos clients et votre réputation. Les clients sont de plus en plus conscients des risques liés aux achats en ligne et ne commanderont rien sur votre site s’il n’est pas équipé d'un certificat SSL.
Même si vous ne vendez pas vos produits ou services en ligne, vos clients apprécieront toujours le soin que vous prenez à protéger leurs données personnelles.
Identifiants/mots de passeToute personne se connectant à votre site devrait utiliser un mot de passe d’au moins 10 carac-tères comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux. Jamais des identifiants de connexion ne devraient être réutilisés sur d’autres sites Web.
6Tous les types de certificats
émis par une AC se valent.
MYTHE N° 6 :
Faux ! Il existe plusieurs types de certificats, dont le degré de fiabilité varie.
Validation de domaine (DV, Domain Validation) Ces certificats low-cost sécurisent le site Web mais n’offrent aucune validation ou authentification de l’entreprise exploitant le site.
Validation d’entité (OV, Organisation Validation) Ces certificats sont délivrés au terme d’une authentification complète de l’entre-prise et de son activité par une autorité de certification recourant à des proces-sus de validation manuels établis et acceptés, sans toutefois appliquer les standards les plus rigoureux préconisés par le CA/B Forum*.
Validation étendue (EV, Extended Validation)Ces certificats proposent une validation complète conforme aux directives les plus strictes du CA/B Forum, avec à la clé un niveau de sécurité et de confiance maximal pour les utilisateurs. En présence d’un certificat SSL EV, la barre d’a-dresse du navigateur s’affiche en vert pour envoyer un signal visuel fort quant à la sécurité du site.
* Organisme de normalisation indépendant, le CA/B Forum impose une vérification approfondie de la légitimité et de l'authenticité d'une entreprise avant toute émission d'un certificat à son nom.
DV
oV
EV
Optez pour un certificat SSL EV d’une AC mondialement reconnueOptez toujours pour un certificat SSL EV d’une autorité de certification mondi-alement reconnue, à l’image de Thawte. Ces certificats garantissent en effet la légitimité de l’entreprise, tandis que les autres types ne valident que le domaine, mais pas ses détenteurs, ni ses exploitants.
Ajoutez une marque de confiance Les marques/sceaux de confiance peuvent également servir à rassurer les clients quant à la sécurité de votre site Web. Le sceau de confiance Thawte joue un rôle crucial dans la crédibilisation de votre site Web, dans la mesure où il indique aux internautes que l’identité de son propriétaire a été authenti-fiée et que le site lui-même est sécurisé par un certificat SSL.
7Seuls les sites Web
d'apparence suspectesont vraiment dangereux.
Le mien est sûr.
MYTHE N° 7 :
Quels que soient le temps, les ressources et les technologies à votre disposition, votre site Web ne sera jamais sûr à 100 %. Mieux vaut ne pas se fier aux apparences, car tout se passe
dans l’envers du décor.
Hacking? It won’t happen to me!
Les hackers cherchent et découvrent sans cesse de nouvelles faillesEntre la découverte d'une faille et la publication d'un correctif, un laps de temps s’écoule pendant lequel vous êtes à la merci d’une attaque à ou-trance. Ne vous faites aucune illusion : les hackers ont déjà sondé vos systèmes, ils savent quels logiciels vous utilisez et ils sont prêts à tirer parti de n’importe quelle vulnérabilité zero-day qu’ils pourraient y trouver.
Les logiciels comportent tous des vulnérabilités Même les sites Web les plus basiques reposent sur des logiciels. Or, ces logiciels contiennent tous des erreurs et des bugs qui les rendent vulnéra-bles. Vous devriez donc tenir un inventaire précis des composants sur lesquels s’appuie votre site Web pour garder un œil sur les problèmes connus et installer les dernières mises à jour et correctifs.
Plus vous leur compliquez la vie, plus ils seront suscepti-bles de passer leur cheminBien que la sécurité totale d’un site Web reste un mythe, votre objectif devrait être de vous en approcher le plus possible. Les pirates sont des êtres oppor-tunistes. Par conséquent, plus vous leur compliquez la vie, plus ils seront susceptibles de passer leur chemin et de chercher une proie plus facile.
Je n’ai pas besoind’un certificat SSL
pour toutes mes pages Web.
MYTHE N° 8 :
8De nombreuses entreprises utilisent le protocole SSL/TLS (Secure Socket Layer/ Transport Layer Security) pour
crypter le processus d’authentification au moment de la connexion des utilisateurs. Mais une fois la connexion établie, elles ne cryptent pas les pages auxquelles ils
accéderont en cours de session. Cette pratique d’usage intermittent du SSL ne suffit pas à protéger les utilisateurs
face à la prolifération actuelle des menaces.
Les internautes passent de plus en plus de temps connectésLes internautes passent de plus en plus de temps connectés à leurs comptes en ligne, avec pour conséquence directe une explosion des attaques par détournement de session (ou « sidejacking »). Ciblée sur les visiteurs de pages Web HTTP non cryptées après leur connexion à un site, cette méthode consiste à intercepter les cookies (généralement utilisés pour conserver des informations utilisateurs de type noms d’utili-sateur, mots de passe et données de session) dès lors que la protection et le cryptage SSL s'interrompent.
Toute entreprise ayant à cœur de protéger ses clients implémentera Always-On SSLIl vous faut un dispositif de sécurité de bout en bout, capable de protéger chaque page Web visitée. C’est là toute la mission d'Always-On SSL. Cette méthode de sécurité simple et économique est conçue pour pro-téger les utilisateurs de votre site Web à chaque étape de leur expérience en ligne. Preuve de son efficacité, Always-On SSL a déjà été adopté par des géants du Net comme Google, Microsoft, PayPal, Symantec, Face-book et Twitter. Toute entreprise ayant à cœur de protéger ses clients et sa réputation suivra leur exemple et implémentera Always-On SSL, à l’aide de certificats SSL d’une autorité de certification réputée.
9J’ai un très bon antivirus
sur mon réseau. Mes systèmes sont
donc protégés.
MYTHE N° 9 :
Même le meilleur antivirus ne suffit pas à vous protéger. Très franchement, ceux qui s’en remettent uniquement à leur antivirus vivent dans le passé. Le monde a changé. Dans un contexte de mutation perpétuelle de la cybercriminalité et des malwares, les
produits antivirus traditionnels basés sur les signatures doivent lutter contre un trop grand nombre de variantes pour pouvoir faire face.
Hacking? It won’t happen to me!
Quelle que soit la qualité de votre logiciel antivirus, les hack-ers parviendront toujours à déceler une brècheC’est bien connu : dès que les éditeurs de solutions de sécurité, les administra-teurs IT et les utilisateurs renforcent leurs niveaux de protection, les pirates finis-sent toujours par trouver une faille. Par conséquent, quelle que soit la qualité de votre logiciel antivirus, ils parviendront toujours à déceler une brèche sur le sys-tème ou le réseau – voire chez les utilisateurs eux-mêmes – dans laquelle ils n’hésiteront pas à s’engouffrer.
Impuissance des produits antivirus comme seul ou principal moyen de défense Face à des attaques par force brute capables de cibler différentes faiblesses sur différents systèmes, sans jamais utiliser la même technique deux fois, on ne s’étonnera pas de l’impuissance des produits antivirus comme seul ou principal moyen de défense. Conséquence : des interruptions de service coûteuses, une désinfection laborieuse et des pertes de données.
Un antivirus ne suffit pas – les entreprises doivent s’équiper d’un dispositif de prévention completEn cas de succès, le potentiel économique d’une cyberattaque est énorme. C’est pourquoi les cybercriminels n’hésitent pas à recourir à tout un arsenal de res-sources et compétences pour percer vos lignes de défense. Ne vous y trompez pas : leur détermination et leur malveillance sont appelés à s’intensifier. Pour toutes ces raisons, un antivirus ne suffit plus. Les entreprises doivent s’équiper d’un dispositif de prévention complet qui intègre toute la panoplie des technolo-gies de sécurité actuellement disponibles.
10Notre pare-feunous protège contre
les attaques
MYTHE N° 10 :
Ce mythe encore très répandu tient plus du fantasme que de la réalité.
Hacking? It won’t happen to me!
Les pare-feu doivent être considérés comme une solution de dépannage plutôt que comme un dispositif permanentCertes, le pare-feu remplit un rôle indispensable de contrôle du trafic. Mais le serveur rece-vra aussi des requêtes Web, qui elles ne sont pas filtrées. De la même manière, les pare-feu d’applications Web protègent contre les vulnérabilités connues et le trafic inhabituel, mais ils ne peuvent rien contre les vulnérabilités dans la logique applicative ou dans le code, contre les utilisations valides qui corrompent les données, ni contre les attaques zero-day. Même s’ils peuvent servir au filtrage temporaire du trafic en cas de découverte d’une vulnérabilité, ils doivent être considérés comme une solution de dépannage plutôt que comme un disposi-tif permanent.
Les injections SQL permettent de contourner les pare-feu de connexion traditionnels La détection des attaques par injection SQL, une des menaces les plus dangereuses, s'avère particulièrement difficile. Dès lors qu’elle parvient à ses fins, l’injection SQL pourra réduire à néant la sécurité d’un site Web car elle permet de contourner les pare-feu de connexion tradi-tionnels pour envoyer des requêtes SQL vers des bases de données totalement exposées.
Les entreprises doivent mettre en place un dispositif de sécurité plus completLa solution ? Un dispositif de sécurité plus complet, capable d’éviter des fuites de données et de détecter efficacement les menaces et violations du système. Au-delà du simple pare-feu, les technologies de protection du périmètre s'avèrent essentielles à la mise en place d'une stratégie efficace de défense multiniveau.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
https://ssl-certificate-center.thawte.com/process/retail/thawte_trial_initial?application_locale=THAWTE_US&tid=a_box_trial
Certificats Thawte SSL, garants de la protection des données en transit
Tous les certificats SSL ne se valent pas. Nous faisons du cryptage SSL notre métier, pour mieux protéger le vôtre. Des millions de personnes dans le monde font déjà confiance à Thawte pour leur sécurité en ligne. Faites comme
eux et profitez de nombreux avantages :
Certificats numériques à sécurité renforcéeReconnaissance mondiale pour sa fiabilité à toute épreuve
Cryptage SSL jusqu’à 256 bitsSupport mondial multilingue
Des tarifs revus à la baisse pour une sécurité SSL forte à moindre coûtSceau Thawte Trusted Site
Alors protégez vos données, préservez votre activité et inspirez confiance à vos clients grâce à la sécurité renforcée des certificats numériques signés Thawte.
POURQUOI THAWTE ?
ACHETER ÉVALUER PLUS D’INFOS
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
POUR EN SAVOIR PLUS, LISEZ NOTRE DOCUMENT TECHNIQUE COMPLET
TÉLÉCHARGER LE DOCUMENT TECHNIQUE
®
Décryptage des 10 grands mythes de la sécurité des sites Web
Un guide Thawte indispensable
DOCUMENT TECHNIQUE 2014
![[Veille thématique et décryptage] Cannes Lions 2014](https://img.pdfslide.fr/doc/110x75/546ef236af79597b298b58fc/veille-thematique-et-decryptage-cannes-lions-2014.jpg)
