La sécurité et votre site Internet

La rentrée se profile d’ici peu et comme au nouvel an, on prend souvent de bonnes résolutions en septembre. Dans mon dernier article, je parlais déjà de sécurité et de sécuriser les accès.

Le temps n’a pas traîné pour me donner raison. Un client, qui avait mis à  la porte un stagiaire, vient de découvrir à ses dépens que la sécurité, la gestion des accès aux données sensibles de l’entreprise est quelque chose qu’il ne faut pas négliger.

En gros, le compte Admin de search Console( Google Webmaster Tools ) a été utilisé pour faire du sabotage :

• Changement de la zone géographique de France vers le canada
• Changement de la vitesse d’exploration.
• Rétrogradation de la Home et des principales rubriques dans les sitelink
• etc…

Je le soupçonne même d’avoir mis un noindex nofollow sur le fichier du template d’un site hébergé sur le serveur auquel il avait accès, il y a une semaine, mais on s’en est aperçu très rapidement.

Il est presque certain qu’il a fait d’autres choses, le client va les trouver, c’est sûr cette semaine.

Les choses à faire attention :

1. Les règles d’or
2. Accès à l’hébergement et au registrar
3. Sécuriser le FTP
4. Les accès au Back office
5. Les outils Google
6. Limiter les droits
7. Les mots de passe
8. Votre serveur
9. La réponse juridique

Règles d’or en terme de sécurité

Il y en a deux en fait :

• Les accès administrateur

La première des règles est de ne jamais donner les accès administrateur  et ceux que vous utilisez pour accéder à l’hébergement, au registrar, au FTP, aux accès avec les outils Google, Gmail, Search Console, Analytics, Adwords, Adsense, les comptes admin à votre back Office. Donnez des comptes délégués.

• Les mails privés

Beaucoup de soucis viennent du mélange entre la sphère privée et le travail, dans la mesure du possible, ne donnez aucun accès à une adresse mail privée, privilégiez toujours les mails professionnels de la société, du type, jean@masociete.com. Donnez une délégation  de pouvoir à une adresse mail privée, c’est s’exposer à des soucis et il sera presque impossible de bloquer une adresse mail privée du genre @yahoo.fr,  pour empêcher un  rappel de mot de passe sur un accès.

Si vous ne donnez des accès qu’avec des adresses professionnelles de votre société, vous pouvez changer le mot de passe ou désactiver la messagerie “jean@masociete.com” rapidement et désactiver aussi ses accès, c’est vous qui gérez votre sécurité et pas la personne qui a accès.

Accès à l’hébergement et au registrar

l’accès à l’hébergement et au registrar doit être sérieusement contrôlé et ne pas être donné à n’importe qui.

Si vous avez vraiment besoin de donner cet accès, deux solutions s’offrent à vous :

1. Donner l’accès, la personne fait ce qu’elle a à faire et vous changez le mot de passe dés que l’intervention est terminée.
2. Créez un compte mail avec le nom de domaine de l’entreprise, avec ce compte donnez des accès par délégation à tous les principaux outils dont la personne a besoin, accès total ou partiel, mais non admin.

Beaucoup de sites, maintenant envoient un mail dès qu’il y a un accès au compte, si vous recevez un mail OVH et que vous n’avez pas lancé cette connexion, il est temps de vous poser des questions sur votre sécurité.

Sécuriser le FTP

Avec un accès FTP, on peut vraiment tout faire et surtout le pire. Effacer tout, mais surtout faire des choses pernicieuses et très dangereuses.

Ne donnez pas votre accès FTP principal, créez un nouveau compte que vous pourrez facilement désactiver par la suite. Bien sûr ce compte n’a accès qu’a ce qu’il a besoin et pas plus.

Je vous propose même d’être prudent et de changer les mots de passe si c’est un accès ponctuel ou désactiver les comptes FTP.

Les accès au Back office

Non, votre nouveau stagiaire ou votre nouveau salarié, encore en période d’essai n’a pas besoin du compte admin au back Office avec tous les accès aux commandes aux fichiers clients, aux mailing, etc. Vous n’imaginez pas le nombre de sociétés qui donnent tous les accès dès la première journée, il faut être un peu inconscient pour faire cela.

Votre site internet a certainement une gestion assez fine des droits d’accès, utilisez la, que ce soit prestashop, Magento, etc.., ils ont tous une fonction, un plugin, servez vous de cela. Donnez les droits à un compte pour ce qu’il a besoin  et pas plus. Avec le temps et la confiance, donnez plus de fonctionnalité en ayant toujours un œil sur la globalité des droits.

Les outils Google

Google a depuis pas mal de temps, pris le problème de la sécurité sérieusement, ne donnez jamais le compte admin, propriétaire à un salarié, stagiaire, donnez lui une délégation de pouvoir, que vous pouvez révoquer en quelques minutes, les outils Google sont particulièrement bien faits la dessus maintenant, un nouveau salarié au service marketing, on lui crée un compte Google, Facebook, GG Plus, avec un mail de la société et on délègue les droits pour qu’il puisse travailler

Limiter les droits

Toute sécurité commence par une limitation des droits et une adéquation des besoins par rapport à la demande,

Soyez intelligent et donnez les droits nécessaires pour pouvoir travailler tout en ayant la possibilité de rapidement les enlever si besoin. gardez toujours dans un coin la possibilité de restreindre ses droits sans “couper la branche sur laquelle vous êtes”.

Les mots de passe

Il va de soi que les mots de passe doivent être solides, le prénom du fiston avec la date de naissance, c’est trop facile à casser. La plupart des sites en ligne proposent des outils de génération de mots clés, prenez les, très long et avec des caractères spéciaux.

La gestion des mots de passe sur votre ordinateur peut aussi être un soucis:

• Verrouillez vous votre PC ?
• Faites vous des sauvegardes ?
• Avez vous pensé au vol de votre matériel informatique ?
• Problème de Virus ?

Vous voulez plus de sécurité, changez régulièrement vos mots de passe, avec des mots de passes complexes et longs.

Votre serveur

On ne peut finir cet article sans parler des données que vous mettez sur le web,

• Votre serveur est-il protégé ? à jour ?
• Le site web, le CMS, etc.. que vous utilisez  est il à jour ?
• Avez vous des sauvegardes ?Bases de données et fichiers ?
• Sont elles récentes ?

La réponse juridique

Une fois le mal fait, il faut bien sûr colmater les fuites et remettre tout comme c’était. Un sabotage peut coûter très cher, voir mettre une société dans de très graves problèmes financiers, etc.

Si vous avez des preuves et que le préjudice est important, rapprochez vous d’un huissier pour faire constater les dégâts. Certains sont spécialisés dans les constats sur le net. Ensuite c’est un dépôt de plainte en bonne et due forme. Les procédures sont longues et ont un coût, ne l’oubliez pas et vous n’êtes pas sur du tout de gagner.

La suite

Voila un sujet vraiment pas simple, ou vous devez amener de la réflexion sur ce qui se pratique dans votre entreprise.

Ne tombez pas dans la paranoïa non plus, la sécurité c’est aussi une histoire de bon sens. Et vous comment voyez vous  la sécurité ?