En 2022, 65 % des entreprises franaises auraient un site Internet. Une tendance qui devrait se poursuivre, lheure de la transformation numrique. Ces sites web sont une source dinformations prcieuse. Or, seules 41% des entreprises mettent rgulirement jour des correctifs de scurit et 10% dentre elles effectuent des audits. La scurisation des sites est pourtant capitale afin de protger les donnes sensibles, maintenir la confiance des utilisateurs et prvenir les attaques malveillantes.Herv Hulin, Directeur rgional des ventes France de Jscrambler
Pour ce faire, les quipes de scurit peuvent sappuyer, en autres, sur trois des recommandations cls de l'Agence nationale de cyberscurit (ANSSI) qui prconise notamment de*:
Rduire la surface d'attaque et tenir jour l'inventaire des actifs (R61)
La premire tape consiste comprendre le fonctionnement de l'application. Cela permet d'identifier plusieurs aspects importants de celle-ci, parmi lesquels un audit desplugins, services et dpendances utiliss ainsi que l'identification des points faibles du site web.
Grce ces informations, les quipes seront en mesure de crer un inventaire des actifs, qui devra tre rgulirement revu. Elles auront galement une meilleure apprhension de la cration et lexcution de certains processus. Certains des rsultats de lanalyse pourraient galement servir de lignes directrices/ workflows sur la manire dont les actifs doivent tre traits (quels sont ceux qui doivent tre dsactivs, mis jour, segments, etc.).
La mise jour rgulire des actifs est ncessaire pour rduire intrinsquement la surface d'attaque.
L'ANSSI insiste sur l'importance de maintenir une visibilit sur les diffrents composants d'une page web. Cet objectif peut tre atteint en mettant en uvre les pratiques suivantes :
a) Raliser rgulirement un inventaire complet des actifs : la cration et la mise jour d'un inventaire des actifs, tels que les applications web, les bases de donnes, les plugins et les frameworks utiliss sur le site web, est essentielle. Cet inventaire offre une visibilit sur les composants qui constituent le site web, ce qui permet une meilleure gestion des vulnrabilits et des risques.
b) Supprimer les composants inutiles ou non utiliss : ils sont autant de points d'exploitation potentiels et accroissent la surface dattaque. Les entreprises ont donc tout intrt passer rgulirement en revue les composants afin d'liminer ceux qui sont inutiles ou inutiliss. Cest le cas par exemple de certains plugins ou scripts, pouvant prsenter des risques pour la scurit. Seuls les composants essentiels la fonctionnalit du site doivent tre conservs.
c) Utiliser un processus robuste de gestion des vulnrabilits : mettre en uvre un processus permettant de surveiller, d'identifier et de traiter rapidement les vulnrabilits des composants du site web. Un processus efficace permet de rester inform des correctifs et des mises jour de scurit publis par les fournisseurs de logiciels et de les appliquer rapidement pour minimiser le risque d'exploitation.
Tout cela permet d'atteindre un niveau de maturit plus lev en matire de scurit.
Mise jour scurise des composants logiciels (R62)
Lors de la construction dune page web, il nest pas rare de recourir divers composants fournis par de tiers. Pour limiter les vulnrabilits, ces lments et les logiciels doivent tre jour. Il faut cependant aborder ces mises jour avec prudence. En effet, certaines sont porteuses de contenus malveillants. Avant dexcuter une quelconque actualisation, il faut prendre le temps de saisir les impacts quelle aura sur l'application. Si elle ne fonctionne pas ou se comporte mal, elle peut entraner des problmes de scurit. Il est donc prfrable de*:
a) Rester inform des mises jour et des avis de scurit : il est recommand de suivre les notifications des diteurs de logiciels, les avis de scurit et les bases de donnes de vulnrabilits pour tre au courant des problmes de scurit potentiels affectant les composants logiciels utiliss sur le site web. Il faut galement consulter rgulirement des sources fiables d'informations sur la scurit afin de prendre des mesures en temps utile.
b) Analyser les paquets de mise jour avant de les appliquer : il convient d'examiner attentivement les modifications mises en uvre dans le paquet. Pour viter les mises jour malveillantes ou incompatibles, il est important de vrifier l'authenticit et l'intgrit de la source. Il faut galement valuer la rputation du vendeur ou du dveloppeur et vrifier si des problmes de scurit ont t signals en rapport avec celle-ci.
c) Tester les mises jour dans un environnement contrl avant de les dployer : ces tests raliss dans un environnement hors production permettent d'identifier les ventuels problmes de compatibilit ou les consquences imprvues de la mise jour. En les testant d'abord il est possible dattnuer le risque de perturber la fonctionnalit du site web ou d'introduire de nouvelles vulnrabilits.
viter les modifications des composants centraux des logiciels tiers (R63)
L'ANSSI met en avant la bonne pratique consistant viter de modifier les composants centraux des logiciels tiers dans un souci de*:
a) Cohrence et maintenabilit : les logiciels tiers publient souvent des mises jour et des correctifs pour remdier aux failles de scurit et amliorer les fonctionnalits. La modification des composants de base de ces logiciels complique le processus de maintenance et pose des problmes lors de l'application de futures mises jour. Le fait de conserver les composants de base intacts garantit la compatibilit avec les versions futures et facilite la maintenance continue.
b) Limitation des risques de rimplmentation : si les composants de base sont modifis, les mises jour futures peuvent rendre ces modifications obsoltes ou incompatibles. La rimplmentation des modifications aprs une mise jour peut prendre du temps, tre sujette des erreurs et peut mme devenir impossible dans certains cas. Ne pas modifier les composants de base, garantit une mise niveau plus simple et minimise les perturbations potentielles.
Longtemps nglige, la scurisation ct navigateur joue un rle important dans la protection des donnes alors quun nombre croissant dacteurs exploitent ces failles. Cette tendance a attir lattention de lANSSI. En suivant ces trois recommandations, les quipes seront en mesure de mieux scuriser la mise en production des contenus et composants. Cela facilitera galement leur maintien en conditions oprationnelles. Toutes ces mesures ont vocation renforcer les scurisations des sites web ct navigateur pour protger les donnes des utilisateurs. Il est donc temps de les appliquer.
A propos de Jscrambler
Jscrambler est une entreprise technologique principalement connue pour son obfuscateur JavaScript et son framework de surveillance ponyme. L'obfuscateur rend plus difficile la rtro-ingnierie du code ct client d'une application Web et la falsification de son intgrit.
Et vous ?
Qu'en pensez-vous ?
Quelles autres recommandations avez-vous pour scuriser vos sites web ?
Voir aussi :
