Sécuriser un site web


Les sites web sont par nature des éléments très exposés du système d’information. Leur sécurisation revêt une grande importance, et ce à plusieurs titres.

Les menaces les plus connues pesant sur les sites web sont les défigurations et les dénis de service. Une défiguration est une attaque par laquelle une personne malveillante modifie le site pour remplacer le contenu légitime par un contenu qu’il choisit, par exemple pour relayer un message politique, pour dénigrer le propriétaire du site ou simplement, pour revendiquer son attaque comme preuve d’un savoir-faire. Un déni de service a quant à lui pour objet de rendre le site attaqué indisponible pour ses utilisateurs légitimes. Dans les deux cas, l’impact sur le propriétaire du site est évidemment un déficit d’image et, pour le cas d’un site servant de support à une activité lucrative, un manque à gagner.

Il ne faut toutefois pas négliger les scénarios d’attaques plus insidieux. Il est possible qu’un individu malveillant se serve d’un site web comme une porte d’entrée vers le système d’information de l’hébergeur ou, plus généralement, de l’entité à qui appartient le site. Par ailleurs, un site peut être utilisé comme relai dans une attaque élaborée vers un système tiers ou comme dépôt de contenus illégaux, ces situations étant susceptibles de mettre l’exploitant légitime du site en difficulté. Enfin, une attaque sur un site peut aussi viser à tendre un piège aux clients habituels de ce site, qui sont souvent les employés du propriétaire du site ou de ses partenaires. Ainsi, l’externalisation de l’hébergement d’un site ne permet pas de transférer l’ensemble des risques d’intrusion au système d’information de l’hébergeur.

Toutes ces attaques ont en commun de rechercher, contrairement à celles évoquées plus haut, une certaine discrétion et peuvent par conséquent rester insoupçonnées pendant de longues périodes. La protection contre ces menaces passe à la fois par des mesures préventives et par des mécanismes permettant de détecter les tentatives d’attaques.

  • pdf

    Recommandations pour la sécurisation des sites web

    895.51 Ko