Badge Webflow Award Winner 2023

Comment sécuriser son site web en 2022 ?

Un site sécurisé est un site de confiance🔒 Les piratages informatiques et actions malveillantes sur le web sont de plus en plus nombreux : vols de données, usurpation d'identité, mise hors service des sites, etc. Nous reprenons avec vous les éléments et normes de sécurité essentiels dont doit disposer un site en 2022.

Publié le 
31/12/2021
Modifié le 
27/3/2023
5 min
Deux barres de recherches sur fond vague bleu avec un URL Digidop sécurisé et un URL exemple non sécurisé

La sécurité en ligne est un défi permanent. Les techniques de piratage évoluent aussi vite que les technologies, et il est important de se mettre régulièrement à jour des nouveaux moyens de protection web. Protéger votre site c’est protéger vos données ainsi que celles de vos visiteurs et clients. Les cyberattaques en quelques chiffres c’est :

  • 978 millions de personnes concernés par des cyberattaques tous les ans
  • 1 entreprise française sur 2 visée d’une cyberattaque en 2021
  • La cybercriminalité coûte 6000 milliards $ chaque années
  • 30% de vol de données
  • 29% de déni de service
  • 24% de données chiffrées par un rançongiciel ou ransomware
  • 23% d’usurpation d’identité

Même les plus grandes entreprises en sont victimes. En 2021 nous pourrons citer Axa Partners, Microsoft Exchange, Acer, etc.

Les types de cyberattaques sont nombreux, phishing ou spear-phishing, exploitation de failles, arnaques, acquisition de noms de domaines illégitimement, injections SQL, attaques DDos, etc. et il les systèmes de sécurités pour les parer le sont tout autant.

Dans cet article nous faisons une checklist des systèmes de sécurité à intégrer dans votre site web vitrine ou site e-commerce pour limiter au maximum ces cyberattaques.

Bloquer les spams

Qu’est-ce qu’un spam ?

Pour améliorer l’expérience utilisateur certains sites proposent à leurs visiteurs,  communauté, clients de laisser des commentaires. Que ce soit des avis clients, des commentaires dans un blog ou tout autre message auquel les visiteurs accordent souvent beaucoup d’importance. Les pirates en sont conscient et sont de plus en plus actifs en publiant de faux commentaires et avis pour venir perturber le site, ses ventes, sa notoriété.

Bien que les commentaires ne soient pas recommandés pour évaluer la fiabilité d’un site web, c’est souvent un critère pris en compte par les internautes et ayant un impact primordial sur le niveau de confiance. En plus des internautes, ce sont aussi les moteurs de recherche comme Google qui prêtent attention à ces commentaires. C’est donc votre référencement naturel SEO qui pourra en être impacté.

Comment contrer les spams sur un site ?

Modérer votre contenu est primordial, et vous devez pour cela mettre au point une politique de traitement des spams. De nombreux outils ou intégrations vous permettent de gérer ce contenu. Pour limitez les spams de votre site webflow, vous pouvez par exemple utiliser Disqus. Cet outil est un premier système de filtrage des spams, utilisé par de nombreux webmaster et professionnels en cybersécurité.

Protéger son site des attaques par déni de service DDoS

Qu’est-ce qu’une attaque par déni de service DDoS ?

L’objectif d’une attaque DDoS, est de rendre un service indisponible. Via une attaque informatique, les pirates peuvent procéder de plusieurs manières, par exemple :

  • inonder un réseau informatique pour empêcher son fonctionnement
  • perturber les connexions
  • limiter l’accès à une personne tiers

Généralement, cela consiste à envoyer des tonnes d’informations d’un coup dans un site pour faire tomber en panne ses serveurs. Dans un premier temps le site sera mis hors ligne, mais ce sera aussi ensuite un moyen d’ouvrir des brèches dans le système de sécurité.

Résultat, des pirates pourront y intégrer du code malveillant, et se sera aussi un impact considérable pour votre référencement naturel.

Comment protéger son site de DDoS ?  

Le meilleur moyen de protéger votre site de DDoS est de choisir un hébergeur fiable. C’est à dire un hébergeur qui vous porpose les principales normes en terme de sécurité, tel qu’un certificat SSL, un service rapide avec par exemple un CDN mondial, etc. Un hébergeur de qualité est aussi un prestataire qui effectue des contrôles réguliers pour tester les failles et la vulnérabilité de son service.

Un site web hébergé chez Webflow bénéficie de toute la protection d’Amazon Web Services Shield, AWS. Le système de sécurité d’AWS dispose d’un des plus hauts niveau de protection en matière d’hébergement. Que ce soit au niveaux de l’identification des failles, de la sécurité d’authentification, la protection des infrastructures ou encore des données, AWS est un prestataire de confiance pour un site web.  

Disposer d’un certificat SSL

Qu’est-ce qu’un certificat SSL ?

Le certificat SSL ou Secure Sockets Layer, est le système de protection le plus connu de tous. Il s’agit du cadenas fermé que vous retrouvez au niveau de l’URL des sites (sécurisés) que vous visitez. La sécurité SSL n’est pas une obligation mais c’est presque devenu une norme au sein du web. Google a d’ailleurs annoncé qu’il pénalisait les sites qui n’ont pas de certificat SSL.

Le SSL va créer un canal crypté, et donc sécurisé, entre deux appareils ou serveurs qui communiquent sur internet. L’utilisation la plus courante du protocole SSL est de sécuriser les communications entre un navigateur web comme Google et les serveurs Webflow. Un site sécurisé verra ainsi son URL passer de HTTP à HTTPS, où le “S” signifie “Sécurisé”.

barre de recherche avec cadenas et URL sécurisé du site digidop
Site sécurisé avec certificat SSL

barre de recherche avec cadenas et URL non sécurisé d'un site exemple
Site non sécurisé sans certificat SSL

La sécurité SSL a donc aussi un enjeux. La plus part des sites en sont aujourd’hui dotés, car il permet de protéger vos données ainsi que celles de vos visiteurs et clients. Des données sensibles comme les cartes de crédits, les adresses, etc. sont donc protégées.

Comment obtenir un certificat SSL pour son site web ?  

Un certificat SSL peut être ajouté à votre nom de domaine en vous renseignant auprès de votre autorité de certification, mais il peut aussi être configuré sur son hôte web ou ses propres serveurs. Certaines autorités de certification comme Let’s Encrypt proposent gratuitement d’obtenir un certificat SSL.

Des CMS comme Webflow propose aussi, part défaut, un certificat SSL gratuit à tous les sites qu’ils hébergent. Vous pourrez en un clic paramétrer votre certificat SSL Webflow.

Utilisez HTTP/2

Qu’est-ce qu'une requête HTTP/2 ?

HTTP/2 est la nouvelle version des requêtes HTTP. Développé par Google, cette nouvelle norme permet d’accélérer les échanges de données entre le serveur et l’utilisateur. Les données passent maintenant par plusieurs connexions TCP (Transmission Control Protocol) et sont par défaut sécurisés en https. De plus, les moteurs de recherche comme Google favorisent largement le SEO des sites ayant intégré un protocole HTTP/2.

Comment utiliser HTTP/2 ?

Renseignez vous auprès de votre hébergeur web, car tous ne proposent pas un hébergement HTTP/2. Webflow en revanche propose par défaut à tous ses sites l’utilisation d’un protocole HTTP/2 pour optimiser la vitesse et la sécurité.

Empêcher les attaques par force brute

Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brut ou bruteforce attack est une méthode qui consister à tester une multitude de combinaisons pour trouver un mot de passe ou une clé informatique. L’objectif est donc d’obtenir des informations de connexion ou d’afficher des données cryptées.

Comment bloquer les attaques par force brute ?

Tout comme pour les attaques DDoS, l’hébergeur est à nouveau aux premières loges pour vous en protéger. Webflow ajoute une sécurité supplémentaire consistant à suivre les adresses IP qui font des tentatives de connexions répétés lors de la soumission de formulaires.

Protection contre les Scripts intersites XSS

Qu’est-ce que les scripts intersites XSS ?

Les pirates utilisent cette méthode pour insérer du code malveillant dans votre site web et ainsi l’endommager. Ces scripts intersites XSS sont aussi utilisés pour rentrer dans les ordinateurs des utilisateurs et accéder à leurs données privées.  

Comment bloquer les scripts intersites XSS ?

Amazon Web Service (AWS), l’hébergeur Webflow, a mis en place de nombreuses mesures de sécurité pour bloquer ces scripts intersites XSS. Un site Webflow est donc parfaitement protégé contre ce type de menace web.

Limiter les attaques par injection SQL

Qu’est-ce qu’une injection SQL ?

Les injections SQL ou SQLi, est une méthode utilisée par les pirates pour exploiter centaines failles de sécurité pour interagir avec les bases de données d’un site ou d’une application web. Les requêtes SQL sont des langages informatiques utilisés pour accéder à des bases de données, et les pirates utilisent de fausses requêtes SQL pour y accéder. Les serveurs ont du mal à faire la différence entre les vrais et fausses requêtes SQL.

Comment bloquer les injections SQL ?

L’utilisation de code sûr, la protection du serveur et utilisant des systèmes de détection d’intrusion (IDS) en amont ou encore des systèmes de prévention d’intrusion (IPS) sont des moyens de limiter ces attaques. L’hébergeur AWS a mis en place un bouclier de sécurité pour se protéger de ce types d’attaques et bloquer les code SQL malveillants.

Sauvegarder ses données web

Pourquoi sauvegarder les données de son site web ?

Malgré toutes les précautions que vous prendrez en matière de sécurité, aucun système n’est inviolable. Nous vous recommandons donc de sauvegarder vos données web.

Comment sauvegarder les données de son site web ?

Sauvegarder ses données web n’est pas forcément à faire à la main, car de nombreux hébergeurs web proposent ce service. Webflow par exemple vous propose des sauvegardes automatiques de votre site web. Vous avez ainsi accès à tout votre historique web selon les jours et heures. La version premium de Webflow offre un historique illimité de votre site web. Toutes vos anciennes données sont donc aussi sécurisées.

Sécuriser vos paiements en ligne

Qu’est qu’un système de paiement en ligne sécurisé ?

Un paiement sécurisé est un paiement crypté de bout en bout : numéros de votre carte bancaire, date d’expiration et cryptogramme.

Comment avoir des paiements en ligne sécurisés ?

Pour cela nous vous recommandons de directement passer par un tiers de confiance comme Stripe ou Paypal les deux leaders pour les paiements en ligne. Stripe est d’ailleurs certifié Service Provider niveau 1, répondant ainsi à toutes les normes en matière de sécurité de paiement.

Choisir un hébergeur certifié ISO/IEC 27018

Qu’est-ce que la norme ISO 27018 ?

La norme ISO 27018 est un ensemble de mesures que doivent prendre un hébergeur web pour protéger les données qu’il stock dans le cloud. Cette norme est en partie basée sur la norme ISO 27002, relative à la sécurité de l’information dans le cloud publique. C’est donc une preuve de respect des bonnes pratiques Internationales en matière de protection des données personnelles et confidentielles.

Choisir son hébergeur web ISO 27018

Renseignez vous sur les certifications de votre hébergeur web. Amazon Web Service a été certifié ISO 27018 par l’organisme EY CertifyPoint accrédité par le conseil d'accréditation des Pays-Bas et membre de l'International Accreditation Forum (IAF). Par défaut, tous les sites Webflow bénéficient donc de ces normes de protection.

Prêt(e) à avoir un site qui convertit ?

Améliorer votre visibilité en ligne grâce à l’experience, l’excellence et la réactivité de Digidop !

Restez informés de l’actu Digidop !