Hébergement de site Web : votre première protection
Focus 1 : héberger un site, votre première protection
Dans le chapitre introductif de notre dossier spécial sécurité nous avons répertorié un certain nombre de des mesures utiles pour protéger votre entreprise des attaques et des dangers inhérents au réseau. Malwares, crackers, pertes de données dues à des sauvegardes manquantes : les menaces sont nombreuses et en constante augmentation, au point que depuis quelques années un nouveau chiffre est apparu, le responsable de la soi-disant cybersécurité. Il va sans dire qu'il ne faut pas nécessairement passer d'un extrême à l'autre et engager un expert en cybersécurité à tout prix (généralement élevé). Pour des activités normales avec un site vitrine ou un e-commerce il suffit d'adopter des précautions ciblées, indispensables pour maintenir les « défenses immunitaires » élevées contre les menaces extérieures.
Dans ce premier focus nous verrons donc plus concrètement une étape cruciale, à savoir le choix de l'hébergement, c'est-à-dire le service auquel confier le contenu du site lui-même (images, texte, code, etc.). Les services d'hébergement sont devenus très populaires au fil des années, grâce à l'avènement du web et à la croissance exponentielle du nombre de sites en circulation. Cependant, force est de constater qu'une augmentation de la demande ne va pas toujours de pair avec une augmentation de la qualité des services. En effet : parallèlement à l'explosion du réseau, nous avons assisté à la prolifération de services d'hébergement low cost, si bon marché qu'ils ne garantissent pas le respect des exigences minimales de sécurité. Alors comment se déplacer pour ne pas devenir une proie facile pour les pirates informatiques, les virus et j'en passe ?
LE CHOIX D'UN SERVICE D'HÉBERGEMENT À LA HAUTEUR
Pour vous faire comprendre tout de suite quelles énormes différences existent entre un service d'hébergement et un autre, nous avons choisi de vous apporter un extrait d'un article publié en ligne par un expert du web. Pour des raisons évidentes de confidentialité et de nétiquette nous évitons de nommer l'auteur et l'hébergeur, mais nous sommes sûrs que l'exemple sera tout aussi éclairant :
Il n'y a pas de vitesse, pas de fiabilité et pas de service client. J'avais moi-même essayé de me ***er pendant un certain temps, mais je me suis heurté à une gestion similaire à la bureaucratie d'État de notre beau pays. Si vous avez déjà rencontré des problèmes avec des erreurs 404, vous savez à quel point le service client est important pour vous aider à les corriger rapidement ! Pour le transfert d'un domaine, le processus devient aussi simple que d'obtenir un remboursement d'Equitalia. Je ne vous dis pas d'avoir un site opérationnel. La gestion des services publics dans le centre client est terrible. J'avais attendu 7 jours avant une réponse. Et que me disent-ils ? "Amenez-le à nouveau".
Depuis le problème de sécurité il ne peut pas tomber entièrement entre vos mains, vous devez être conscient de l'importance d'un hébergement capable de fournir un service de qualité, également en termes d'assistance. La qualité ne signifie pas nécessairement un service coûteux, car en plus de la sécurité, il y a la performance (qui peut affecter considérablement le prix final d'un hébergement). Ce qui est certain, c'est que pour avoir un minimum de protection il faut au moins lire les avis, envoyer un mail de demande pour tester la rapidité de réponse et vérifier attentivement quelles sont les caractéristiques du service proposé. Et voici la deuxième question liée à fonctionnalité fournie par défaut par l'hébergeur.
DU PARE-FEU À L'ANTVIRUS COURRIER ET ANTISPAM
Les politiques commerciales des hébergeurs changent parfois radicalement d'un pays à l'autre et d'un service à l'autre. Il y a ceux qui ne descendent pas en dessous d'un certain seuil et il y a ceux qui proposent plutôt un prix économique auquel peuvent s'ajouter d'éventuelles options supplémentaires pour une configuration optimale. La raison de cette prémisse purement économique est bientôt expliquée : dans votre recherche d'hébergement sécurisé vous croiserez des services déjà complets (et plus sécurisés) et des services moins complets dépourvus des normes de sécurité exigées par le marché (mais dans leur cas facultatives). Parmi les caractéristiques qui méritent l'attention, nous mentionnons:
Pare-feu
En ce qui concerne le PC, il existe des pare-feu pour l'hébergement qui empêchent les personnes malveillantes d'accéder à votre site. Il existe actuellement plusieurs normes de sécurité, dont la plus courante est le pare-feu L3. Si aucun pare-feu n'est prévu, nous vous conseillons de l'ajouter avec des plugins spéciaux tels que Tout en un WP Security & Firewall pour WordPress.
Anti-virus et anti-spam
L'antivirus et l'antispam peuvent être implémentés de diverses manières sur votre site ou dans votre boîte e-mail, mais si le prestataire (c'est-à-dire le fournisseur) vous propose déjà un hébergement avec un ou plusieurs de ces systèmes, c'est très bien. En ce qui concerne le filtre anti-spam, cela s'applique aux messages que vous recevez sur le site (par exemple depuis le formulaire de contact ou les commentaires d'articles) mais aussi à votre boîte e-mail.
Accès FTP
Incroyable mais vrai, certains hébergeurs ne vous permettent pas d'accéder aux dossiers FTP, c'est-à-dire aux coulisses de votre site. D'un point de vue sécurité, cette limite peut devenir un gros problème dans la mesure où votre site est ciblé en profondeur, par exemple avec l'installation de code trompeur sur des pages individuelles ou des fiches produits individuelles.
LE "PROTOCOLE" HTTPS ET LES CERTIFICATIONS ASSOCIÉES
En plus de l'infrastructure et des systèmes pour garder l'accès, le spam et les virus sous contrôle, nous, les développeurs et les agences, pouvons compter sur un protection supplémentaire qui prend le nom de protocole HTTPS. En réalité il ne s'agit pas d'un protocole au sens propre du terme (le protocole proprement dit reste HTTP, combiné avec le protocole SSL/TLS), mais d'un système de communication "blindé" basé sur le cryptage du protocole HTTP. Sans entrer dans des détails trop techniques, il est utile de rappeler le lien étroit entre HTTPS et les certificats d'autorité. Ces derniers sont tantôt délivrés par des organismes reconnus, tantôt par les hébergeurs et prestataires de services web eux-mêmes (soit directement, soit en tant qu'intermédiaires). Comme la technologie évolue à la vitesse de la lumière, il en va de même Les certifications évoluent dans le temps, allant des modèles discrets aux modèles plus sûrs et plus modernes.
Voici une brève liste des certifications de référence :
Chiffrons
C'est une autorité de certification qui automatise gratuitement la création, la validation, l'émission et le renouvellement des certificats X.509 pour le protocole TLS. Basé sur un logiciel libre, le système de certification Let's Encrypt est le moins sécurisé qui soit.
SSL rapide
L'organisme certificateur Rapid SSL propose l'une des certifications les moins chères du marché : pour quelques euros par an il est possible d'activer immédiatement son url précédée du sigle https, bénéficiant ainsi d'une protection d'entrée de gamme valable pour la majorité des scénarios.
Décongeler SSL
Un autre système de certification valable est celui proposé par Thawte, une entreprise positionnée à mi-chemin entre les services d'entrée de gamme et les services premium. Ce qui change dans ce cas, c'est aussi l'assurance prévue pour tout dommage et vol de données, qui peut aller jusqu'à 1,5 million de dollars.
GeoTrust® True Business ID avec EV
L'organisme de certification Get GeoTrust® propose une protection True BusinessID avec Extended Validation (EV), qui en plus d'augmenter le niveau de sécurité permet d'afficher un https avec un fond vert, une solution plus attrayante graphiquement pour l'utilisateur également. Le prix est élevé mais pour un ecommerce structuré ça vaut le coup !
Maintenant que vous comprenez l'importance d'un service d'hébergement, nous n'avons plus qu'à passer à prochain chapitre dédié à la maintenance ordinaire et extraordinaire de votre site. Oui, car un site c'est comme une voiture si on n'en prend pas soin cela pourrait littéralement vous laisser en rade ! Continuez à nous suivre et nous vous expliquerons comment faire.
Vous pourriez également être intéressé par :
Quatre pays, un océan gigantesque : le cas CMAR
C'est le corridor marin du Pacifique tropical oriental : Panama, Equateur, Colombie et Costa Rica alliés pour la protection des mers et des espèces marines...
Lausanne, sur les traces de la pollution : l'histoire d'un incinérateur
Une équipe de scientifiques a reconstitué les événements de la centrale de valorisation énergétique de Vallon et la contamination invisible qui a choqué le canton de Vaud
Comment l'environnement détermine les caractéristiques du fromage
La dégustation met en lumière comment, à règles de production inchangées, le climat et les cultures fourragères influencent différentes notes organoleptiques.
Innosuisse a atteint ses objectifs d'innovation 2023 en Suisse
Un montant record de plus de 490 millions de francs a été alloué pour compenser le manque d'association avec le célèbre programme européen Horizon Europe.
//