De plus en plus d’interactions se passent via internet, l’usage du numérique a pris une place prépondérante dans nos vies. Avec les derniers événements comme la pandémie, le distanciel devient une nouvelle norme. Par conséquent, la sécurité digitale devient un enjeu de plus en plus important. Aussi, lorsqu’on a ou qu’on décide de créer un site internet, ces questions de cybersécurité, de données numériques (data) doivent faire partie intégrante de sa conception, voici quelques conseils.
Un site internet en https, la base
Un site internet doit être en httpS dans la barre d’adresse, quelle que soit sa typologie (c’est d’autant plus important sur un site e-commerce, qui implique des achats en ligne). Les navigateurs tels que Chrome, Mozilla Firefox vont l’indiquer avec un cadenas. Cela permet d’avoir des interactions cryptés avec le site.
Pour ce faire, la plupart des hébergeurs (OVH, One&One, etc..) proposent des certificats SSL (Secure Sockets Layer) gratuits (par exemple Let’s Encrypt) liés à votre nom de domaine (adresse de votre site internet). Cela permettra à votre site d’avoir une adresse en https.
Des en-têtes HTTP configurées
Ces en-têtes HTTP servent à donner des instructions supplémentaires, permissions, restrictions dans les requêtes (interactions) entre le client et le serveur. Elles peuvent être paramétrées via votre serveur (Apache par exemple), ou via votre fichier .htaccess situé à la racine, ou autre selon votre configuration.
Security Headers peut vous aider à connaitre, améliorer votre sécurité via les en-têtes. En effet, saisissez l’url de votre site et voyez comment vous vous situez.
Le bon sens, votre meilleur allié
La sécurité d’un site internet est l’affaire de tous :
- Si vous utilisez un CMS, mettez à jour régulièrement le progiciel, ses plugins, add-ons.
- Utilisez des plugins de sécurité. Pour WordPress, des plugins connus sont Jetpack, Wordfence, etc..
- Choisissez un hébergeur et un hébergement dimensionné, adapté pour votre projet (renommée, communauté, sauvegarde, sécurité, bande passante allouée)
- Ne pas communiquer vos adresses d’admin, vos mots de passe, vos identifiants de connexion à la base de données, FTP, etc…
L’investissement dans la sécurité, dès le départ
La sécurité arrive malheureusement trop souvent en bout de chaine dans la création d’un site. Si votre site est indisponible, ou qu’il ne fonctionne plus, il faut rétablir le service. Ainsi, ce qui n’a pas été investi au départ, va généralement coûter plus cher à rétablir et assainir pour se prémunir à l’avenir (j’ai plus de rime en ir :- ) ).
D’autres axes d’amélioration pour la sécurité
Difficile d’être exhaustif, il existe énormément de conditions (en plus de celles évoquées) à créer pour avoir un site web sécurisé. Ainsi, pour vous aider, vous pouvez consulter une des références mondiales, qui est OWASP – Open Web Application Security Project . OWASP est une fondation à but non lucratif qui référence énormément de contenu, de conseils pour améliorer la sécurité des applications web.
Contactez-nous pour échanger sur votre projet web contact[@]tgweb.fr
Tony | Expert en création de site internet