Cybersécurité : le nouvel enjeu des PME

Le site internet constitue le premier point de contact de toute entreprise. Mais une présence en ligne représente également un risque. La protection de son site internet est vitale pour toute entreprise, et tout particulièrement pour les PME.

Les sites internet des PME sont particulièrement exposés aux cyberattaques. Les cybercriminels profitent du fait que les petites entreprises ne disposent pas toujours des ressources nécessaires pour employer leurs propres experts informatiques et que leurs systèmes ne sont donc pas toujours protégés par des professionnels. Par conséquent, ce manque d’expertise peut être la source de failles et faciliter la tâche des cybercriminels.

Voici 10 recommandations pour assurer et maximiser la sécurité des sites d’entreprise. 

1.      Faire appel à des fournisseurs de solutions fiables

Cela peut paraître évident mais il n’est pas forcément facile d’avoir une vue d’ensemble parmi la grande diversité des offres. Il faut être attentif aux tests, à l’évaluation des clients et aux prix reçus pour la qualité des produits ou du service client des fournisseurs.

2.      Vérifier la sécurité de votre site

Il est recommandé d’effectuer un test de sécurité afin de savoir si un site a déjà été infecté par des logiciels malveillants (malware). Les entreprises peuvent démarrer le test après avoir indiqué l’adresse de leur site et une adresse email. Si une attaque sur le site est détectée, l’entreprise reçoit des instructions par email pour éliminer le logiciel malveillant identifié. VirusTotal propose une vérification similaire. Les utilisateurs de WordPress peuvent utiliser le WordPress Security Scan, spécialement conçu pour le plus célèbre système de gestion de contenu.

3.      Chiffrer son site avec un certificat SSL

La meilleure façon de protéger les échanges de données sur un site reste d’utiliser une protection par certificat SSL. La "Secure Socket Layer” désigne un protocole réseau garantissant une transmission de données sécurisée. Cette technologie chiffre le transfert de données sur le site de manière à ce qu’une personne non autorisée ne puisse y accéder. La confidentialité des visiteurs est assurée notamment lors de la communication d’informations confidentielles telles que les mots de passe, adresses mail ou données bancaires. Il est possible d’attester de cette protection en affichant le logo du fournisseur SSL sur le site internet.

4.      Utiliser des identifiants de connexion sécurisés

Le mot de passe le plus répandu dans le monde est la succession de touches « 123456 ». Les règles à suivre pour un mot de passe complexe sont les suivantes :

- Il ne doit pas figurer dans un dictionnaire

- Il ne doit pas s’agir de combinaisons de chiffres ou de lettres représentant des répétitions (111aaa) ou des successions de touches (azerty)

- Il doit comporter au moins 8 caractères, et doit comprendre un mélange de caractères spéciaux, de chiffres, de lettres majuscules et de lettres minuscules

- Il ne doit être utilisé qu’une seule fois

Des outils comme 1Password et LastPass peuvent aider pour la création et gestion de mots de passe complexes. Par ailleurs, il est recommandé de modifier les noms d’utilisateurs par défaut tels qu’ « admin » ou « user ». 

5.      Utiliser la dernière version de WordPress

Cette étape peut être ignorée si la personne responsable du site utilise un créateur de site internet ou toute autre solution entièrement gérée et mise à jour par le fournisseur. Toutefois, si celle-ci est en charge de gérer elle-même le site, il faut qu’elle s’assure de toujours utiliser la dernière version du système de gestion de contenu tel que WordPress, Joomla ou TYPO3. Il est également important de toujours maintenir les plug-ins et autres modules d’extension à jour pour éviter ainsi que des failles dans les versions obsolètes représentent une cible pour les pirates.

 6.      Maintenir ses navigateurs et programmes à jour

Il n’y a pas qu’un site qui peut devenir une cible pour les criminels, les applications des PC sont également exposées. Le moyen le plus simple pour télécharger régulièrement les mises à jour pour les navigateurs (Mozilla Firefox, Internet Explorer, Google Chrome, etc.) est d’activer la fonction automatique du programme dans les réglages. 

7.      Installer une vérification captcha

Pour empêcher les cybercriminels d’inonder un site internet de spams, il est nécessaire d’utiliser des vérifications captcha afin de protéger les éléments confidentiels tels que les formulaires de contact ou les livres d’or. Ces modules déterminent si c’est une vraie personne ou un ordinateur qui essaye de transmettre des données sur le site. Les utilisateurs doivent résoudre un petit test et renseigner la réponse pour pouvoir continuer. Les tests captcha classiques consistent à déchiffrer des chaînes de caractères floues ou à résoudre des opérations mathématiques simples. Ces tests ne posent aucun problème pour les humains mais s’avèrent beaucoup plus compliqués pour les ordinateurs. Ces vérifications captcha sont simples à installer sur de nombreux créateurs de site internet. En cas de besoin, des outils comme reCapture sont disponible pour aider à la création de ces modules.

8.      Indiquer les mentions légales

Un entrepreneur a l’obligation de publier les mentions légales sur son site. Celles-ci doivent comporter au minimum le nom officiel de l’entreprise, son adresse postale et son adresse électronique. Il faut également nommer un représentant autorisé et fournir le numéro d’inscription au registre des sociétés. Les entreprises Trusted Shops et eRecht24 fournissent des mentions légales gratuitement, qu’elles établissent d’après les informations de votre entreprise.

9.      Protéger les sous-pages avec des mots de passe

Sur les sites internet, de nombreux outils permettent de protéger des sous-pages grâce à des mots de passe individuels. Si des informations confidentielles sont diffusées sur le site et que celles-ci ne doivent être accessibles qu’à un nombre limité de personnes, la protection de pages au moyen de mots de passe est une bonne solution. De cette manière, il est possible fournir des renseignements sur les comptes ou transmettre des fichiers facilement aux partenaires et fournisseurs, sans que les clients aient accès à ces informations.

10.  Gérer les emails avec précaution

Ce conseil ne concerne pas directement les sites internet. Toutefois, la façon de gérer les emails peut avoir des effets importants sur la vulnérabilité d’un site. Il ne faut jamais ouvrir un email, lien ou pièce jointe de la part d’expéditeurs inconnus et suspects. En effet, de tels contenus peuvent comporter des virus directement transmis à l’ordinateur lors de l’ouverture et ainsi donner aux pirates l’accès aux systèmes et données personnelles, et donc au site internet. Il est également possible d’empêcher les tiers d’avoir accès aux données confidentielles en chiffrant les emails. 

PME