La rentrée se profile d’ici peu et comme au nouvel an, on prend souvent de bonnes résolutions en septembre. Dans mon dernier article, je parlais déjà de sécurité et de sécuriser les accès.
Le temps n’a pas traîné pour me donner raison. Un client, qui avait mis à la porte un stagiaire, vient de découvrir à ses dépens que la sécurité, la gestion des accès aux données sensibles de l’entreprise est quelque chose qu’il ne faut pas négliger.
En gros, le compte Admin de search Console( Google Webmaster Tools ) a été utilisé pour faire du sabotage :
- Changement de la zone géographique de France vers le canada
- Changement de la vitesse d’exploration.
- Rétrogradation de la Home et des principales rubriques dans les sitelink
- etc…
Je le soupçonne même d’avoir mis un noindex nofollow sur le fichier du template d’un site hébergé sur le serveur auquel il avait accès, il y a une semaine, mais on s’en est aperçu très rapidement.
Il est presque certain qu’il a fait d’autres choses, le client va les trouver, c’est sûr cette semaine.
Les choses à faire attention :
- Les règles d’or
- Accès à l’hébergement et au registrar
- Sécuriser le FTP
- Les accès au Back office
- Les outils Google
- Limiter les droits
- Les mots de passe
- Votre serveur
- La réponse juridique
Règles d’or en terme de sécurité
Il y en a deux en fait :
- Les accès administrateur
La première des règles est de ne jamais donner les accès administrateur et ceux que vous utilisez pour accéder à l’hébergement, au registrar, au FTP, aux accès avec les outils Google, Gmail, Search Console, Analytics, Adwords, Adsense, les comptes admin à votre back Office. Donnez des comptes délégués.
- Les mails privés
Beaucoup de soucis viennent du mélange entre la sphère privée et le travail, dans la mesure du possible, ne donnez aucun accès à une adresse mail privée, privilégiez toujours les mails professionnels de la société, du type, jean@masociete.com. Donnez une délégation de pouvoir à une adresse mail privée, c’est s’exposer à des soucis et il sera presque impossible de bloquer une adresse mail privée du genre @yahoo.fr, pour empêcher un rappel de mot de passe sur un accès.
Si vous ne donnez des accès qu’avec des adresses professionnelles de votre société, vous pouvez changer le mot de passe ou désactiver la messagerie “jean@masociete.com” rapidement et désactiver aussi ses accès, c’est vous qui gérez votre sécurité et pas la personne qui a accès.
Accès à l’hébergement et au registrar
l’accès à l’hébergement et au registrar doit être sérieusement contrôlé et ne pas être donné à n’importe qui.
Si vous avez vraiment besoin de donner cet accès, deux solutions s’offrent à vous :
- Donner l’accès, la personne fait ce qu’elle a à faire et vous changez le mot de passe dés que l’intervention est terminée.
- Créez un compte mail avec le nom de domaine de l’entreprise, avec ce compte donnez des accès par délégation à tous les principaux outils dont la personne a besoin, accès total ou partiel, mais non admin.
Beaucoup de sites, maintenant envoient un mail dès qu’il y a un accès au compte, si vous recevez un mail OVH et que vous n’avez pas lancé cette connexion, il est temps de vous poser des questions sur votre sécurité.
Sécuriser le FTP
Avec un accès FTP, on peut vraiment tout faire et surtout le pire. Effacer tout, mais surtout faire des choses pernicieuses et très dangereuses.
Ne donnez pas votre accès FTP principal, créez un nouveau compte que vous pourrez facilement désactiver par la suite. Bien sûr ce compte n’a accès qu’a ce qu’il a besoin et pas plus.
Je vous propose même d’être prudent et de changer les mots de passe si c’est un accès ponctuel ou désactiver les comptes FTP.
Les accès au Back office
Non, votre nouveau stagiaire ou votre nouveau salarié, encore en période d’essai n’a pas besoin du compte admin au back Office avec tous les accès aux commandes aux fichiers clients, aux mailing, etc. Vous n’imaginez pas le nombre de sociétés qui donnent tous les accès dès la première journée, il faut être un peu inconscient pour faire cela.
Votre site internet a certainement une gestion assez fine des droits d’accès, utilisez la, que ce soit prestashop, Magento, etc.., ils ont tous une fonction, un plugin, servez vous de cela. Donnez les droits à un compte pour ce qu’il a besoin et pas plus. Avec le temps et la confiance, donnez plus de fonctionnalité en ayant toujours un œil sur la globalité des droits.
Les outils Google
Google a depuis pas mal de temps, pris le problème de la sécurité sérieusement, ne donnez jamais le compte admin, propriétaire à un salarié, stagiaire, donnez lui une délégation de pouvoir, que vous pouvez révoquer en quelques minutes, les outils Google sont particulièrement bien faits la dessus maintenant, un nouveau salarié au service marketing, on lui crée un compte Google, Facebook, GG Plus, avec un mail de la société et on délègue les droits pour qu’il puisse travailler
Limiter les droits
Toute sécurité commence par une limitation des droits et une adéquation des besoins par rapport à la demande,
Soyez intelligent et donnez les droits nécessaires pour pouvoir travailler tout en ayant la possibilité de rapidement les enlever si besoin. gardez toujours dans un coin la possibilité de restreindre ses droits sans “couper la branche sur laquelle vous êtes”.
Les mots de passe
Il va de soi que les mots de passe doivent être solides, le prénom du fiston avec la date de naissance, c’est trop facile à casser. La plupart des sites en ligne proposent des outils de génération de mots clés, prenez les, très long et avec des caractères spéciaux.
La gestion des mots de passe sur votre ordinateur peut aussi être un soucis:
- Verrouillez vous votre PC ?
- Faites vous des sauvegardes ?
- Avez vous pensé au vol de votre matériel informatique ?
- Problème de Virus ?
Vous voulez plus de sécurité, changez régulièrement vos mots de passe, avec des mots de passes complexes et longs.
Votre serveur
On ne peut finir cet article sans parler des données que vous mettez sur le web,
- Votre serveur est-il protégé ? à jour ?
- Le site web, le CMS, etc.. que vous utilisez est il à jour ?
- Avez vous des sauvegardes ?Bases de données et fichiers ?
- Sont elles récentes ?
La réponse juridique
Une fois le mal fait, il faut bien sûr colmater les fuites et remettre tout comme c’était. Un sabotage peut coûter très cher, voir mettre une société dans de très graves problèmes financiers, etc.
Si vous avez des preuves et que le préjudice est important, rapprochez vous d’un huissier pour faire constater les dégâts. Certains sont spécialisés dans les constats sur le net. Ensuite c’est un dépôt de plainte en bonne et due forme. Les procédures sont longues et ont un coût, ne l’oubliez pas et vous n’êtes pas sur du tout de gagner.
La suite
Voila un sujet vraiment pas simple, ou vous devez amener de la réflexion sur ce qui se pratique dans votre entreprise.
Ne tombez pas dans la paranoïa non plus, la sécurité c’est aussi une histoire de bon sens. Et vous comment voyez vous la sécurité ?
Comments (7)
Un article intéressant, ne pas oublier de mettre un num de tel pour le scomptes Google etc…
cela est pratique et sécurise le compte
Merci pour ces recommandations. Il faut aussi faire attention au stockage des mots de passe. Beaucoup stockent tous les mots de passe au même endroit et si une personne malintentionnée y accède, c’est fini. Si c’est stocké sur du cloud, il faut faire très attention. Bien choisir le mot de passe du compte car c’est celui qui protège tous les autres. Mais parfois cela ne suffit pas. Sur beaucoup de postes, les mots de passe sont déjà enregistrés dans les navigateurs et historiques par exemple et les accès dropbox sont grands ouverts. Donc vigilance…
c’est vrai que la sécurité de l’entreprise commence par la sécurité de son site je vous remercie pour cet article intéressant ,
Je fais partie de ceux qui font confiance à tout le monde par défaut. Mais les quelques cas que des connaissances ont pu me rapporter récemment et cet article m’ont fait prendre conscience du danger qu’il pouvait y avoir.
Autant sur certains points, je suis relativement vigilant (mots de passe sécurisés, utilisations des droits pour l’accès à Search Console, etc.) autant plusieurs aspects m’échappent et notamment l’accès au FTP que j’ai dû donner 20 fois à 20 prestas différents.
Je pense que l’on ne prend la mesure de l’ampleur du danger que lorsqu’il est trop tard … malheureusement. Alors je note de faire le maximum pour sécuriser tout !
Merci pour tous ces conseils sécurité !
Bonjour .
Article toujours d’actu.. pour vos wordpress,un outils de gestion des mis a jour de vos sites comme main wp et un plugin de securite comme sucuri , vous facilitent la tache
Bonjour,
Je vous remercie pour cet excellent article. J’avoue ne pas avoir fait attention à la sécurité de mon propre site. J’ai bien fait d’être tombé sur ce billet et ses conseils de sécurité. Pour la gestion de mots de passe, je recommanderai d’utiliser LastPass.
Bonne continuation !