1.
DÉCRYPTAGE DES
10
GRANDS MYTHES DE LA SÉCURITÉ DES SITES WEB

2.
INTRODUCTION
De nombreuses entreprises n’ont même pas mis en place les moindres dispositifs de protection de base.
Elles préfèrent se complaire dans la mythologie qui entoure la sécurité des sites Web. Il en résulte
une politique de l'autruche face aux dangers auxquels CHAQUE entreprise est pourtant confrontée.
Pour vraiment assurer leur sécurité, elles doivent se remettre en question et ouvrir les yeux pour
consolider leurs défenses, leurs politiques d’entreprise, leurs pratiques et procédures au maximum
de leurs possibilités, avant de les réévaluer et de les renforcer encore davantage.
C’est dans cette optique que nous vous proposons ici d'étudier et de démonter un à un les mythes
de la protection des sites Web.

3.
MYTHE N° 1 :
Le piratage ?
Ça n’arrive qu’aux autres !
Beaucoup pensent que leur site Web représente un si petit poisson
dans l’océan du Net qu’aucun hacker n’y prêtera la moindre attention.
Grave erreur. Aujourd’hui, les pirates tendent de très larges filets sous
la forme de scripts automatisés.

4.
Partez du principe que votre site Web est sous la sur-veillance
permanente des pirates
Si vous pensez que les hackers sondent votre site Web en permanence,
vous n’êtes pas loin de la vérité. Votre site n’a peut-être aucune valeur
apparente, mais sa base de données SQL sous-jacente pourrait bien
constituer un terrain fertile pour l’usurpation d’identités.
Votre base de données SQL, terrain fertile de l’usur-pation
d’identités
Au lieu d’une attaque frontale, les hackers vous font donc courir un risque
beaucoup plus subtil : celui de modifications apportées à votre site à votre
insu. Autre ligne d’attaque en vogue : le « spear phishing », qui consiste à
obtenir des données sensibles à l’aide de faux e-mails particulièrement
convaincants. Les hackers se font par exemple passer pour un collègue
ou une banque afin d'inciter leur cible à divulguer des données person-nelles
et des informations d'entreprise hautement sensibles.
La taille de votre entreprise ne change rien à l’affaire
Dans tous les cas, ne pensez pas que la taille de votre entreprise fasse
une différence aux yeux des hackers. Grande ou petite, les requins du
Net l’ont dans le viseur.

5.
MYTHE N° 2 :
Il est possible de quantifier
les risques de sécurité.
Il s’agit du mythe de la méthode empirique. Or, il est
quasiment impossible de quantifier de tels risques.
À commencer par le calcul du coût du piratage d’un
site Web ou d’une éventuelle infection du réseau.

6.
Comment mesurer l’impact d’un incident sur votre
entreprise ?
Quel serait le prix d’une violation de propriété intellectuelle ou de données
clients ? Comment mesurer l’impact d’un incident sur votre entreprise et
le temps qu’il vous faudra pour rétablir votre activité ? À plus long terme,
comment calculer le coût du mécontentement de vos clients et de leur
exode vers la concurrence ?
Toute entreprise a besoin de mesurer l’efficacité de
son dispositif
Si la quantification exacte du risque est impossible, toute entreprise a
néanmoins besoin de mesurer l’efficacité réelle de son dispositif. D’où la
nécessité de créer vos dispositifs de sécurité ex nihilo afin de bénéficier
d'une vue complète sur votre parc et d'identifier les stratégies et systèmes
de sécurité les plus à même de répondre à vos besoins.

7.
MYTHE N° 3 :
La sécurité
est du ressort
du DSSI
Certes, le Directeur de la sécurité des systèmes d’informa-tion
(DSSI) s’érige en garant de la vision, de la stratégie et
du dispositif de sécurité d’une entreprise. Sa mission est
d’assurer une protection adaptée de l’information et des
technologies. Mais est-il pour autant la seule autorité en
matière de sécurité ?

8.
Mieux vaut ne pas centraliser les responsabilités sur une
seule personne
Une entreprise devrait plutôt axer sa stratégie et ses processus de sécurité de
l’information autour de ses besoins spécifiques – ce qui passe par l'implication
d'une multitude de collaborateurs et départements à travers l'entreprise.
La sécurité de l’information est sortie du domaine
exclusif du technique
La sécurité de l’information est sortie du domaine exclusif du technique pour
s’étendre à d’autres compétences : gestion de l’humain et du risque, proces-sus,
juridique, relations publiques, sécurité physique, changement organisa-tionnel,
etc.
La gestion du risque au coeur de votre approche
Il apparaît désormais très clairement qu’en présence d'une typologie de me-naces
aussi complexe, une approche de la sécurité de l’information basée sur
la gestion du risque s’avère vitale. L’évaluation de ces risques fait intervenir de
nombreux acteurs à travers l’entreprise, sous la houlette d’un responsable
chargé de la coordination du processus – rôle que le DSSI a pour vocation
d’endosser.

9.
MYTHE N° 4 :
La technologie
4 SSL est dépassée
Depuis quelque temps déjà, certains avancent l’argument
selon lequel le système Transport Layer Security (TLS) ou
Secure Sockets Layer (SSL) aurait atteint un point de
rupture. Pour le camp des anti-SSL, le temps est venu de
passer à un nouveau système. Certains vont même
jusqu’à soutenir l’idée d’une suppression pure et simple
des autorités de certification (AC).

10.
Incidents dus aux lacunes des contrôles de sécurité
internes des entités finales
Ce jugement fait table rase de tous les avantages que la technologie
SSL a su apporter au fil des ans. Si les certificats SSL restent largement
reconnus comme le système cryptographique le plus fiable et le plus
évolutif du marché, pourquoi un tel acharnement à leur encontre ?
Certes, des violations de sécurité mettant en cause le SSL ont fait grand
bruit récemment. Mais en y regardant de plus près, ce sont souvent les
entités finales et les lacunes de leurs contrôles de sécurité internes qui
sont en cause, et non le système dans son ensemble.
La technologie SSL n’est pas dépassée et demeure un
élément clé de toute stratégie de défense
Pour le reste, les certificats SSL jouent depuis plus de 20 ans un rôle ma-jeur
dans la sécurité d’Internet et restent encore aujourd’hui la méthode
de protection des transactions en ligne la plus éprouvée, la plus fiable et
la plus évolutive. Qu’on se le dise : la technologie SSL n’est pas dépassée
et demeure un élément clé de toute stratégie de défense.

11.
5 MYTHE N° 5 :
Je ne stocke aucune donnée
de carte bancaire,
donc je n’ai pas besoin
de certificat SSL
Cela ne vous met pas automatiquement à l’abri, vous,
votre entreprise et vos clients. Les cybercriminels peu-vent
nuire à votre entreprise et écorner sa réputation de
bien d'autres manières.

12.
Vous avez besoin du plus haut niveau de protection possible
C'est pourquoi il vous faut vous protéger au maximum pour les maintenir à distance. Ceci
passe par la création d’un espace sûr où vos clients se savent à l’abri des menaces, sans
oublier un système ultrasécurisé d’identifiants et de mots de passe.
Espaces sécurisés
Ces « portails » interactifs et personnalisés offrent à vos clients un accès en ligne à des infor-mations
sensibles dans un environnement sécurisé. Leur accès pourra éventuellement être
limité aux détenteurs d'un certificat électronique afin de renforcer encore davantage la sécurité.
Identifiants/mots de passe
Toute personne se connectant à votre site devrait utiliser un mot de passe d’au moins 10 carac-tères
comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux.
Jamais des identifiants de connexion ne devraient être réutilisés sur d’autres sites Web.
Informations personnelles
Plus vous collectez de données personnelles (noms, adresses e-mail, numéros de téléphone,
adresses postales, etc.), plus vos clients courent le risque de voir leur identité usurpée. Il vous
revient donc de prendre les précautions nécessaires, faute de quoi les conséquences pourraient
se révéler désastreuses pour vos clients et votre réputation. Les clients sont de plus en plus
conscients des risques liés aux achats en ligne et ne commanderont rien sur votre site s’il n’est
pas équipé d'un certificat SSL.
Même si vous ne vendez pas vos produits ou services en ligne, vos clients apprécieront
toujours le soin que vous prenez à protéger leurs données personnelles.

13.
MYTHE N° 6 :
Tous les types de certificats
6 émis par une AC
se valent.
Faux ! Il existe plusieurs types de certificats,
dont le degré de fiabilité varie.

14.
Validation de domaine (DV, Domain Validation)
Ces certificats low-cost sécurisent le site Web mais n’offrent aucune validation
ou authentification de l’entreprise exploitant le site.
Validation d’entité (OV, Organisation Validation)
Ces certificats sont délivrés au terme d’une authentification complète de l’entre-prise
et de son activité par une autorité de certification recourant à des proces-sus
de validation manuels établis et acceptés, sans toutefois appliquer les
standards les plus rigoureux préconisés par le CA/B Forum*.
Validation étendue (EV, Extended Validation)
Ces certificats proposent une validation complète conforme aux directives les
plus strictes du CA/B Forum, avec à la clé un niveau de sécurité et de confiance
maximal pour les utilisateurs. En présence d’un certificat SSL EV, la barre d’a-dresse
du navigateur s’affiche en vert pour envoyer un signal visuel fort quant à
la sécurité du site.
* Organisme de normalisation indépendant, le CA/B Forum impose une vérification approfondie de la
légitimité et de l'authenticité d'une entreprise avant toute émission d'un certificat à son nom.
DV
oV
EV

15.
Optez pour un certificat SSL EV d’une AC mondialement
reconnue
Optez toujours pour un certificat SSL EV d’une autorité de certification mondi-alement
reconnue, à l’image de Thawte. Ces certificats garantissent en effet
la légitimité de l’entreprise, tandis que les autres types ne valident que le
domaine, mais pas ses détenteurs, ni ses exploitants.
Ajoutez une marque de confiance
Les marques/sceaux de confiance peuvent également servir à rassurer les
clients quant à la sécurité de votre site Web. Le sceau de confiance Thawte
joue un rôle crucial dans la crédibilisation de votre site Web, dans la mesure
où il indique aux internautes que l’identité de son propriétaire a été authenti-fiée
et que le site lui-même est sécurisé par un certificat SSL.

16.
7 MYTHE N° 7 :
Seuls les sites Web
d'apparence suspecte
sont vraiment dangereux.
Le mien est sûr.
Quels que soient le temps, les ressources et les technologies
à votre disposition, votre site Web ne sera jamais sûr à 100 %.
Mieux vaut ne pas se fier aux apparences, car tout se passe
dans l’envers du décor.

17.
Les hackers cherchent et découvrent sans cesse de
nouvelles failles
Entre la découverte d'une faille et la publication d'un correctif, un laps de
temps s’écoule pendant lequel vous êtes à la merci d’une attaque à ou-trance.
Ne vous faites aucune illusion : les hackers ont déjà sondé vos
systèmes, ils savent quels logiciels vous utilisez et ils sont prêts à tirer
parti de n’importe quelle vulnérabilité zero-day qu’ils pourraient y trouver.
Les logiciels comportent tous des vulnérabilités
Même les sites Web les plus basiques reposent sur des logiciels. Or, ces
logiciels contiennent tous des erreurs et des bugs qui les rendent vulnéra-bles.
Vous devriez donc tenir un inventaire précis des composants sur
lesquels s’appuie votre site Web pour garder un oeil sur les problèmes
connus et installer les dernières mises à jour et correctifs.
Plus vous leur compliquez la vie, plus ils seront suscepti-bles
de passer leur chemin
Bien que la sécurité totale d’un site Web reste un mythe, votre objectif devrait
être de vous en approcher le plus possible. Les pirates sont des êtres oppor-tunistes.
Par conséquent, plus vous leur compliquez la vie, plus ils seront
susceptibles de passer leur chemin et de chercher une proie plus facile.

18.
MYTHE N° 8 : 8 De nombreuses entreprises utilisent le protocole SSL/TLS
Je n’ai pas besoin
d’un certificat SSL
pour toutes mes pages Web.
(Secure Socket Layer/ Transport Layer Security) pour
crypter le processus d’authentification au moment de la
connexion des utilisateurs. Mais une fois la connexion
établie, elles ne cryptent pas les pages auxquelles ils
accéderont en cours de session. Cette pratique d’usage
intermittent du SSL ne suffit pas à protéger les utilisateurs
face à la prolifération actuelle des menaces.

19.
Les internautes passent de plus en plus de temps
connectés
Les internautes passent de plus en plus de temps connectés à leurs
comptes en ligne, avec pour conséquence directe une explosion des
attaques par détournement de session (ou « sidejacking »). Ciblée sur les
visiteurs de pages Web HTTP non cryptées après leur connexion à un
site, cette méthode consiste à intercepter les cookies (généralement
utilisés pour conserver des informations utilisateurs de type noms d’utili-sateur,
mots de passe et données de session) dès lors que la protection
et le cryptage SSL s'interrompent.
Toute entreprise ayant à coeur de protéger ses clients
implémentera Always-On SSL
Il vous faut un dispositif de sécurité de bout en bout, capable de protéger
chaque page Web visitée. C’est là toute la mission d'Always-On SSL.
Cette méthode de sécurité simple et économique est conçue pour pro-téger
les utilisateurs de votre site Web à chaque étape de leur expérience
en ligne. Preuve de son efficacité, Always-On SSL a déjà été adopté par
des géants du Net comme Google, Microsoft, PayPal, Symantec, Face-book
et Twitter. Toute entreprise ayant à coeur de protéger ses clients et
sa réputation suivra leur exemple et implémentera Always-On SSL, à
l’aide de certificats SSL d’une autorité de certification réputée.

20.
9MYTHE N° 9 :
J’ai un très bon antivirus
sur mon réseau.
Mes systèmes sont
donc protégés.
Même le meilleur antivirus ne suffit pas à vous protéger. Très
franchement, ceux qui s’en remettent uniquement à leur antivirus
vivent dans le passé. Le monde a changé. Dans un contexte de
mutation perpétuelle de la cybercriminalité et des malwares, les
produits antivirus traditionnels basés sur les signatures doivent lutter
contre un trop grand nombre de variantes pour pouvoir faire face.

21.
Quelle que soit la qualité de votre logiciel antivirus, les hack-ers
parviendront toujours à déceler une brèche
C’est bien connu : dès que les éditeurs de solutions de sécurité, les administra-teurs
IT et les utilisateurs renforcent leurs niveaux de protection, les pirates finis-sent
toujours par trouver une faille. Par conséquent, quelle que soit la qualité de
votre logiciel antivirus, ils parviendront toujours à déceler une brèche sur le sys-tème
ou le réseau – voire chez les utilisateurs eux-mêmes – dans laquelle ils
n’hésiteront pas à s’engouffrer.
Impuissance des produits antivirus comme seul ou principal
moyen de défense
Face à des attaques par force brute capables de cibler différentes faiblesses sur
différents systèmes, sans jamais utiliser la même technique deux fois, on ne
s’étonnera pas de l’impuissance des produits antivirus comme seul ou principal
moyen de défense. Conséquence : des interruptions de service coûteuses, une
désinfection laborieuse et des pertes de données.
Un antivirus ne suffit pas – les entreprises doivent s’équiper
d’un dispositif de prévention complet
En cas de succès, le potentiel économique d’une cyberattaque est énorme. C’est
pourquoi les cybercriminels n’hésitent pas à recourir à tout un arsenal de res-sources
et compétences pour percer vos lignes de défense. Ne vous y trompez
pas : leur détermination et leur malveillance sont appelés à s’intensifier. Pour
toutes ces raisons, un antivirus ne suffit plus. Les entreprises doivent s’équiper
d’un dispositif de prévention complet qui intègre toute la panoplie des technolo-gies
de sécurité actuellement disponibles.

22.
MYTHE N° 10 :
Notre pare-feu
10 nous protège contre
les attaques
Ce mythe encore très répandu tient
plus du fantasme que de la réalité.

23.
Les pare-feu doivent être considérés comme une solution
de dépannage plutôt que comme un dispositif permanent
Certes, le pare-feu remplit un rôle indispensable de contrôle du trafic. Mais le serveur rece-vra
aussi des requêtes Web, qui elles ne sont pas filtrées. De la même manière, les pare-feu
d’applications Web protègent contre les vulnérabilités connues et le trafic inhabituel, mais ils
ne peuvent rien contre les vulnérabilités dans la logique applicative ou dans le code, contre
les utilisations valides qui corrompent les données, ni contre les attaques zero-day. Même
s’ils peuvent servir au filtrage temporaire du trafic en cas de découverte d’une vulnérabilité,
ils doivent être considérés comme une solution de dépannage plutôt que comme un disposi-tif
permanent.
Les injections SQL permettent de contourner les pare-feu
de connexion traditionnels
La détection des attaques par injection SQL, une des menaces les plus dangereuses, s'avère
particulièrement difficile. Dès lors qu’elle parvient à ses fins, l’injection SQL pourra réduire à
néant la sécurité d’un site Web car elle permet de contourner les pare-feu de connexion tradi-tionnels
pour envoyer des requêtes SQL vers des bases de données totalement exposées.
Les entreprises doivent mettre en place un dispositif de
sécurité plus complet
La solution ? Un dispositif de sécurité plus complet, capable d’éviter des fuites de données
et de détecter efficacement les menaces et violations du système. Au-delà du simple pare-feu,
les technologies de protection du périmètre s'avèrent essentielles à la mise en place d'une
stratégie efficace de défense multiniveau.

24.
POURQUOI THAWTE ?
Certificats Thawte SSL, garants de la protection des données en transit
Tous les certificats SSL ne se valent pas. Nous faisons du cryptage SSL notre métier, pour mieux protéger le vôtre.
Des millions de personnes dans le monde font déjà confiance à Thawte pour leur sécurité en ligne. Faites comme
Reconnaissance mondiale pour sa fiabilité à toute épreuve
Des tarifs revus à la baisse pour une sécurité SSL forte à moindre coût
Alors protégez vos données, préservez votre activité et inspirez confiance à vos clients grâce à la sécurité
xxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxx
eux et profitez de nombreux avantages :
Certificats numériques à sécurité renforcée
Cryptage SSL jusqu’à 256 bits
Support mondial multilingue
Sceau Thawte Trusted Site
renforcée des certificats numériques signés Thawte.
https://ssl-certificate-center.thawte.com/
process/retail/thawte_trial_initial?application_
locale=THAWTE_US&tid=a_box_trial
ACHETER ÉVALUER PLUS D’INFOS

25.
POUR EN SAVOIR PLUS,
LISEZ NOTRE DOCUMENT TECHNIQUE COMPLET
®
Décryptage des 10 grands mythes
de la sécurité des sites Web
Un guide Thawte indispensable
DOCUMENT TECHNIQUE 2014
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
TÉLÉCHARGER LE DOCUMENT TECHNIQUE