Les meilleurs conseils de Lawrence Jones, fondateur et PDG de UKFast, sur la façon de protéger votre site Web contre les menaces malveillantes ce Noël.
La perte de données et les temps d’arrêt sont probablement les deux termes les plus effrayants pour les entreprises Internet de nos jours. Les dommages à la réputation et les lourdes amendes qui peuvent résulter du piratage et de la fuite d’informations suffisent à mettre une entreprise à genoux. Vous pouvez me faire confiance quand il s’agit de cela; Au cours des quinze années de UKFast, j’ai vu des hommes et des femmes adultes pleurer en pensant que tout ce pour quoi ils avaient travaillé si dur s’effondrait. Heureusement, lorsque la plupart de ces personnes sont venues nous demander de l’aide, nous avons pu la fournir, mais il existe des moyens préventifs et proactifs de vous protéger contre les menaces en ligne et de vous assurer que votre site Web est toujours disponible pour les clients.
Obtenez le bon fond de teint
Pare-feu et pare-feu d’applications Web
Alors que la plupart des entreprises prennent la sécurité très au sérieux, il existe encore de grandes marques opérant en ligne sans agents de sécurité de base en place. Par exemple, certains hésitent à dépenser de l’argent pour un pare-feu dédié ; et les pare-feu, bien qu’ils ne soient pas à l’épreuve des balles, sont toujours un élément essentiel de la protection de votre site Web et de votre entreprise contre les dommages. Si vous utilisez une plateforme d’hébergement mutualisé, demandez à votre hébergeur si tous ses utilisateurs sont protégés par un pare-feu. À mon avis, ils devraient l’être. Dans la mesure du possible, je recommanderais toujours un pare-feu dédié et je ne peux pas vraiment souligner à quel point cela est important. En termes simples, les serveurs sans pare-feu devant eux sont vulnérables aux attaques.
Pour une protection supplémentaire, un pare-feu d’application Web peut être placé derrière le pare-feu normal, analysant le trafic HTTP et HTTPS entrant à la recherche d’activités suspectes. Dans des attaques plus ciblées, un pirate pourrait tenter d’exploiter les faiblesses du code de l’application. Ces attaques sont déguisées en demandes authentiques adressées aux formulaires de votre site Web. Pour un pare-feu traditionnel, ils apparaîtront authentiques, mais un WAF les inspectera pour les scripts intersites, l’injection SQL et d’autres types d’attaques.
Garder à jour
En ce qui concerne les sites Web, l’un des principaux problèmes est le code et la tâche constante de suivre. Un certain nombre de systèmes de gestion de contenu (CMS) sont gratuits, tels que WordPress et Drupal, qui incitent les entreprises à gérer leur propre code. Cependant, le problème avec ce logiciel se pose car de nombreuses bases ont été créées pour les utilisateurs. Sans l’avoir construit à partir de zéro, il y aura certainement des lacunes dans la compréhension. En tant qu’entrepreneur, vous êtes donc confronté à un petit dilemme ; continuez-vous à le mettre à jour et risquez-vous de rencontrer des problèmes que vous ne savez pas comment résoudre ?
Lorsqu’il devient obsolète, c’est là que les vulnérabilités se produisent et que les pirates peuvent s’y introduire. En fait, le jour où je me suis assis pour écrire ceci, une vulnérabilité a été découverte dans les versions de Drupal 7, antérieures à la 7.31 ; un autre exemple de la raison pour laquelle il est si important de rester à jour. Pour les propriétaires d’entreprise qui se trouvent incapables de le faire, je recommanderais d’embaucher un administrateur de serveur ou un développeur Web qui sait comment utiliser un serveur, comment mettre à jour son code et, si vous rencontrez des problèmes, comment corriger les bogues. .
Pour qu’un site Web d’entreprise fonctionne correctement, vous devez disposer de ce que certains membres de notre équipe technique décriraient comme la «sainte trinité», qui comprend un fournisseur d’hébergement compétent qui s’occupe de l’infrastructure et de la maintenance du réseau ; un entrepreneur se concentrant sur ses activités principales et un développeur Web qui maintient le CMS.
En général, c’est une bonne idée pour tout le monde de s’inscrire aux bulletins de sécurité, donc si des bogues sont trouvés, vous pouvez appliquer les correctifs pertinents rapidement et efficacement.
Connaissez vos faiblesses
Vous avez probablement entendu l’expression selon laquelle la meilleure façon d’attraper un criminel est de penser comme tel. Les tests d’intrusion sont un processus qui vous permet essentiellement de le faire, en vous montrant à quoi ressemble votre infrastructure informatique du point de vue d’un pirate informatique. C’est inestimable, car si vous remarquez des fissures dans votre armure qu’ils pourraient exploiter, vous pouvez les réparer avant qu’ils n’aient une chance.
Les tests d’intrusion sont effectués par des experts en cybersécurité et commencent généralement par une analyse de vulnérabilité pour vérifier si le réseau et/ou l’application réagissent à certaines entrées comme ils le devraient. Il fournit essentiellement une image de la façon dont un utilisateur ou un attaquant pourrait interagir avec l’application. Ensuite, le testeur utilisera cette image pour voir s’ils peuvent entrer dans votre système.
Avoir une vraie personne assise devant l’ordinateur, utilisant son cerveau et son imagination pour tenter de s’introduire dans votre infrastructure informatique, comme elle le ferait dans la réalité, signifie que la sécurité de votre entreprise est vraiment testée jusqu’au point de rupture. Si votre site Web est susceptible d’être bloqué par un pirate informatique, un test d’intrusion le signalera. Comme on dit, savoir c’est pouvoir. Si vous savez que vous êtes vulnérable, vous avez le pouvoir de le réparer.
Di Lawrence Jones est le fondateur et PDG de la société d’hébergement Web basée à Manchester UKFast