Pourquoi faut-il impérativement sécuriser son site web ?
Vitrine numérique de votre entreprise, votre site web est aussi l'une des portes d'entrée principales vers l'ensemble de votre système d'information, c’est-à-dire l’ensemble des ressources qui vous permettent de collecter, traiter et partager les données. Garantir la sécurité de votre site n'est pas seulement une question de conformité réglementaire, c’est un moyen de protéger votre entreprise et vos clients. Vous en doutez ? Tour d’horizon des raisons de faire de la cybersécurité une priorité.
Évaluez gratuitement votre maturité numérique et obtenez un bilan personnalisé de votre présence en ligne, visibilité, réputation et développement commercial
Quels sont les risques d’un site non sécurisé ?
Un site web non sécurisé est vulnérable, et devient une cible facile pour des acteurs malveillants. Les risques encourus peuvent être catégorisés en deux grandes familles distinctes : ceux qui affectent l’intégrité opérationnelle de votre site et ceux qui impactent la réputation et la crédibilité de votre entreprise.
Les menaces pouvant compromettre la viabilité technique du site
- Les attaques DDoS (Attaques par Déni de Service) : ces attaques visent à rendre le site indisponible en submergeant le serveur avec un trafic inutile et encombrant, ce qui rend impossible toute transaction (achat, souscription).
- L’injection SQL : ce type d’attaque exploite des failles dans la gestion des requêtes SQL (« Structured Query Language », c’est un langage de programmation qui permet de communiquer avec les bases de données et de gérer les données qu’elles contiennent). Ces attaques permettent à l’attaquant d’accéder à votre base de données, de détruire ou manipuler des données, et de voler des informations sensibles.
- Le Cross-Site Scripting (souvent abrégé avec l’acronyme « XSS ») : des scripts (c’est-à-dire des fichiers informatiques comprenant des instructions pour automatiser certaines tâches) malveillants sont injectés par des hackers dans les pages web du site, ce qui conduit à des fuites d’informations ou à des comportements problématiques ou non désirés.
- Le vol de session : les cookies de session peuvent être interceptés, permettant à un attaquant de se faire passer ensuite pour un utilisateur authentifié.
- La force brute : une méthode qui consiste à effectuer des tentatives répétées de connexion en utilisant diverses combinaisons de noms d’utilisateurs et de mots de passe jusqu’à ce que l’accès soit accordé.
Les menaces relatives à la réputation et à l’image de marque
- Le phishing : les utilisateurs sont induits en erreur par de faux formulaires ou des communications semblant provenir du site officiel afin d’obtenir des informations sensibles comme des mots de passe ou des numéros de carte de crédit.
- Le defacement (ou défaçage) : cette méthode génère une modification de l’apparence et/ou du contenu du site web à des fins malveillantes ou humoristiques, dans le but de nuire à votre crédibilité.
- Le vol d’identité : la récupération de données personnelles ayant été préalablement volées, avec lesquels les cybercriminels peuvent commettre des fraudes, via votre site.
- Les rumeurs et faux avis : les systèmes de commentaires ou d’avis sont manipulés pour diffamer ou discréditer votre marque. Cela peut être lié à une volonté d’extorsion, ou à des mercenaires du web agissant pour le compte de concurrents.
Quelles sont les conséquences d’un site non sécurisé ?
Un site non sécurisé a des impacts très concrets sur le référencement, la publicité et le trafic. Des éléments essentiels pour la visibilité et la pérennité de votre activité.
Les impacts sur le référencement
Un site non sécurisé est désormais pénalisé par les moteurs de recherche. Le classement SEO est plus bas, ce qui entraîne une moindre visibilité dans les résultats de recherche.
Les navigateurs affichent aussi des alertes de sécurité lorsque les utilisateurs tentent d’accéder à des sites non sécurisés, dissuadant ainsi bon nombre d’entre eux de poursuivre leur navigation sur ces sites. Un site non sécurisé entraîne une diminution importante du taux de clics et, par extension, une perte d’opportunités de conversion. À cela s’ajoute la réticence des autres sites web à créer des backlinks (c’est-à-dire à créer des liens sur leur site qui pointent vers le vôtre) vers un site non sécurisé. À termes, cela peut réduire considérablement votre notoriété, et votre autorité en ligne.
Les impacts sur la publicité
Pour les annonceurs, la cybersécurité est devenue un facteur clé. Un site non sécurisé apparaît moins fiable, et les rend plus réticents à investir dans des espaces publicitaires. Entre un site sécurisé et un site non sécurisé, les annonceurs miseront toujours sur la sécurité.
De plus, la vulnérabilité aux clics frauduleux et à l’activité des bots peut sérieusement compromettre la qualité du trafic, et donc la rentabilité des campagnes publicitaires. Avec un site non sécurisé, vous pouvez vous attendre à une diminution globale des revenus générés par la publicité.
Les impacts sur le trafic
Les internautes sont de plus en plus sensibles aux questions de sécurité et moins enclins à interagir avec des sites peu sûrs. D’où une baisse du nombre de visiteurs, du temps passé sur le site et du taux d’interaction. La diminution du trafic peut avoir un effet boule de neige, en réduisant la visibilité et l’attractivité du site pour les partenaires potentiels et les clients, ce qui peut à long terme affecter la rentabilité du site.
-
Bonjour, je suis Jean-Jacques Latour du dispositif national de prévention et d’assistance aux victimes Cybermalveillance.gouv.fr. Je vais vous aider à comprendre les risques de cybersécurité et comment vous en défendre. Que ce soit pour des usages personnels ou professionnels, le numérique occupe aujourd’hui une place majeure et même souvent incontournable dans le fonctionnement de notre société.
Ordinateurs, tablettes, smartphones, objets connectés, font maintenant partie de notre quotidien pour communiquer, s’informer, s’amuser, acheter, vendre, payer, et même faire ses démarches administratives.
Avec la crise sanitaire du COVID-19, cette tendance s’est encore accentuée. Que ce soit pour les particuliers comme pour les entreprises, les communications à distance, le télétravail et les achats en ligne se sont intensifiés. Mais cette ultra connexion par internet et la dématérialisation des échanges représentent également un vaste champ d’opportunités pour les cybercriminels.
Le cliché du hacker, adolescent doué et isolé qui cherchait à pirater un réseau informatique depuis sa chambre, juste pour montrer qu’il en était capable, est aujourd’hui quasiment révolu. Maintenant, les pirates cherchent principalement à exercer leur activité pour gagner de l’argent, beaucoup d’argent.
Pour cela, ils s’organisent sur le « darknet », l’internet des cybercriminels, où ils se spécialisent et travaillent en équipe pour maximiser leurs profits. Les cyberattaques et les cyber escroqueries sont en constante progression au fil des ans. Comme le démontre l’actualité, des grandes entreprises aux plus petites, des administrations aux collectivités locales, des hôpitaux aux particuliers en passant par des associations… tous les pans de la société sont quotidiennement victimes et en subissent le préjudice.
Les plus petites entreprises sont particulièrement vulnérables aux cyberattaques. Elles sont souvent peu conscientes des risques et ne prennent donc pas les mesures nécessaires pour s’en protéger. Car elles pensent, à tort, qu’elles sont trop petites et que leur activité ne peut pas intéresser des cybercriminels. En fait, c’est tout le contraire.
Les cybercriminels ont bien compris que toute entreprise, quelle que soit sa taille, a de l’argent à dérober et détient des informations qui peuvent représenter une valeur marchande. Pour eux, les petites entreprises sont plus faciles à pirater car elles sont moins bien protégées.
Pour une TPE ou une PME, les conséquences d’une cyberattaque peuvent être très importantes et même parfois désastreuses. Il peut s’agir d’une perte immédiate d’argent suite, par exemple, à une fraude au virement après une demande de changement de RIB usurpant l’identité d’un fournisseur habituel. Il peut également choisir d’une perte d’exploitation suite à une attaque par rançongiciel, ces attaques qui prennent en otage les données de l’entreprise contre une rançon et qui peuvent mettre une entreprise à l’arrêt pendant des jours voire des semaines.
Toute cyberattaque a un coût direct et indirect pour l’entreprise qui en est victime. C’est évidemment le coût non planifié de remise en état du système attaqué, mais c’est également le coût de reconstitution des informations détruites lorsque c’est possible… comme le fichier clients, les contrats, la facturation ou la comptabilité. Sans oublier le coût lié à la perte de confiance des salariés, des clients, des fournisseurs et même des investisseurs. Cette défiance peut avoir des conséquences sérieuses et durables en termes de chiffre d’affaires ou de développement de l’entreprise.
Suite à une cyberattaque, certaines petites entreprises déjà fragiles financièrement, se voient même contraintes de cesser leur activité. De plus, la responsabilité juridique civile et pénale du dirigeant peut même parfois être engagée en cas de manquements à ces obligations de protection de ses systèmes informatiques et des informations à caractère personnel détenues par son entreprise.
Mais l’informatique et a fortiori la cybersécurité, est rarement le coeur de métier des petites et moyennes entreprises, alors par où commencer pour éviter tout ça ?
Pour prendre en compte le risque, la première chose à faire est l’inventaire de ses systèmes numériques et des informations qu’ils permettent d’accéder en répondant aux questions : « Que se passerait-il si ces informations étaient volées ou détruites ? », « Quelles sont les mesures qui sont prises pour l’empêcher ? ». Cet inventaire vous permettra de recenser les systèmes les plus critiques de l’entreprise et leurs lacunes de sécurité pour prioriser les actions à conduire.
Ensuite, assurez-vous que des mesures de sécurité élémentaires sont bien respectées, comme l’utilisation de mots de passe différents et complexes propres à chaque service pour éviter que le piratage d’un accès ne permette d’en pirater d’autres.
Assurez-vous aussi que vos données les plus sensibles sont régulièrement sauvegardées et déconnectées de votre réseau, par exemple sur un disque dur externe. Cela évitera qu’elles ne soient détruites en cas d’attaque.
Vérifiez également que vos ordinateurs, smartphones, tablettes, serveurs sont bien mis à jour y compris leurs correctifs de sécurité et que vous maîtrisez bien les connexions extérieures à votre réseau comme pour le télétravail, la télémaintenance, ou l’interconnexion avec des clients ou fournisseurs…
N’ouvrez pas plus d’accès que ce qui est strictement indispensable au bon fonctionnement de votre activité et veillez à ce que ces accès soient suffisamment sécurisés.
Plus vous ouvrez de portes, plus vous risquez de voir entrer quelqu’un d’indésirable et de malveillant, a fortiori si les portes sont sécurisées par un simple verrou.
Enfin, faites-vous accompagner par des spécialistes reconnus en cybersécurité. Comme en médecine, il ne viendrait à l’idée de personne de s’adresser à un cardiologue lorsque l’on a la vue qui baisse. Il en va de même en informatique qui regroupe de nombreuses spécialités différentes. Un prestataire spécialisé en cybersécurité peut vous aider à construire votre plan d’actions et en suivre la mise en oeuvre. Il pourra intervenir en appui de votre service informatique et de vos prestataires d’infogérance si vous en disposez. Il pourra même vous apporter ses compétences spécifiques en cas d’attaque pour vous aider à en limiter les effets.
Mais où trouver ce type de prestataire et comment s’assurer qu’il est vraiment compétent ? C’est pour répondre à cette question que cybermalveillance.gouv.fr a créé avec l’AFNOR et des organisations profesionnelles le label ExpertCyber. Ce label atteste des compétences et de la qualité de service de prestataires spécialisés au profit des TPE et PME. Pour trouver un prestataire ExpertCyber pour vous accompagner, rendez-vous sur le site cybermalveillance.gouv.fr. Après avoir décrit succinctement votre besoin, le site vous proposera des professionnels labellisés, proches de chez vous et en capacité de répondre à vos attentes. Vous y trouverez également de nombreuses ressources sur les bonnes pratiques de cybersécurité, les principales menaces et les moyens de s’en protéger ou d’y faire face.
Si les cybercriminels sont ingénieux et compétents, sachez qu’ils sont aussi pressés de gagner de l’argent le plus vite possible avec le moins d’effort possible. Si vous attaquer leur demande trop de temps et de moyens au regard du bénéfice qu’ils peuvent en espérer, ils passeront leur route et chercheront une victime plus facile.
Les coûts engagés pour obtenir votre juste niveau de sécurisation seront toujours bien inférieurs au coût que pourra représenter une cyberattaque pour votre entreprise. Alors maintenant à vous de jouer !
Faites le choix de la cybersécurité pour vos visiteurs
La crédibilité est essentielle pour instaurer une relation de confiance entre votre site et vos visiteurs. L’absence de mesures de cybersécurité adéquates expose les données de vos clients et prospects aux risques détaillés plus haut, tels que le vol d’informations ou les redoutables attaques de phishing. Rétablir une confiance érodée est difficile, et cela peut avoir un impact à long terme sur la réputation de votre site et, par extension, de votre entreprise.
C’est particulièrement le cas pour les sites e-commerce. Un site non sécurisé décourage les utilisateurs à effectuer des transactions, ce qui réduit les opportunités de conversion et, finalement, les revenus.
Pour aller plus loin, découvrez nos conseils :
- Logiciels de sécurité : e-menaces au placard !
- 7 questions-réponses sur les certificats SSL et leur niveau de sécurité
Ignorer ces risques peut avoir des conséquences néfastes tant sur le plan financier que sur le plan de votre réputation. Comment protéger votre site web ? Découvrez notre guide pratique pour vous accompagner à chaque étape.
