DÉCRYPTAGE DES GRAN DS MYTHES DE LA SÉCURITÉ DES SITES WEB

Transcription

1 DÉCRYPTAGE DES 10 GRANDS MYTHES DE LA SÉCURITÉ DES SITES WEB

2 INTRODUCTION De nombreuses entreprises n ont même pas mis en place les moindres dispositifs de protection de base. Elles préfèrent se complaire dans la mythologie qui entoure la sécurité des sites Web. Il en résulte une politique de l'autruche face aux dangers auxquels CHAQUE entreprise est pourtant confrontée. Pour vraiment assurer leur sécurité, elles doivent se remettre en question et ouvrir les yeux pour consolider leurs défenses, leurs politiques d entreprise, leurs pratiques et procédures au maximum de leurs possibilités, avant de les réévaluer et de les renforcer encore davantage. C est dans cette optique que nous vous proposons ici d'étudier et de démonter un à un les mythes de la protection des sites Web.

3 MYTHE N 1 : Le piratage? Ça n arrive qu aux autres! Beaucoup pensent que leur site Web représente un si petit poisson dans l océan du Net qu aucun hacker n y prêtera la moindre attention. Grave erreur. Aujourd hui, les pirates tendent de très larges filets sous la forme de scripts automatisés.

4 Partez du principe que votre site Web est sous la surveillance permanente des pirates Si vous pensez que les hackers sondent votre site Web en permanence, vous n êtes pas loin de la vérité. Votre site n a peut-être aucune valeur apparente, mais sa base de données SQL sous-jacente pourrait bien constituer un terrain fertile pour l usurpation d identités. Votre base de données SQL, terrain fertile de l usurpation d identités Au lieu d une attaque frontale, les hackers vous font donc courir un risque beaucoup plus subtil : celui de modifications apportées à votre site à votre insu. Autre ligne d attaque en vogue : le «spear phishing», qui consiste à obtenir des données sensibles à l aide de faux s particulièrement convaincants. Les hackers se font par exemple passer pour un collègue ou une banque afin d'inciter leur cible à divulguer des données personnelles et des informations d'entreprise hautement sensibles. La taille de votre entreprise ne change rien à l affaire Dans tous les cas, ne pensez pas que la taille de votre entreprise fasse une différence aux yeux des hackers. Grande ou petite, les requins du Net l ont dans le viseur.

5 MYTHE N 2 : Il est possible de quantifier les risques de sécurité. Il s agit du mythe de la méthode empirique. Or, il est quasiment impossible de quantifier de tels risques. À commencer par le calcul du coût du piratage d un site Web ou d une éventuelle infection du réseau.

6 Comment mesurer l impact d un incident sur votre entreprise? Quel serait le prix d une violation de propriété intellectuelle ou de données clients? Comment mesurer l impact d un incident sur votre entreprise et le temps qu il vous faudra pour rétablir votre activité? À plus long terme, comment calculer le coût du mécontentement de vos clients et de leur exode vers la concurrence? Toute entreprise a besoin de mesurer l efficacité de son dispositif Si la quantification exacte du risque est impossible, toute entreprise a néanmoins besoin de mesurer l efficacité réelle de son dispositif. D où la nécessité de créer vos dispositifs de sécurité ex nihilo afin de bénéficier d'une vue complète sur votre parc et d'identifier les stratégies et systèmes de sécurité les plus à même de répondre à vos besoins.

7 MYTHE N 3 : La sécurité est du ressort du DSSI Certes, le Directeur de la sécurité des systèmes d information (DSSI) s érige en garant de la vision, de la stratégie et du dispositif de sécurité d une entreprise. Sa mission est d assurer une protection adaptée de l information et des technologies. Mais est-il pour autant la seule autorité en matière de sécurité?

8 Mieux vaut ne pas centraliser les responsabilités sur une seule personne Une entreprise devrait plutôt axer sa stratégie et ses processus de sécurité de l information autour de ses besoins spécifiques ce qui passe par l'implication d'une multitude de collaborateurs et départements à travers l'entreprise. La sécurité de l information est sortie du domaine exclusif du technique La sécurité de l information est sortie du domaine exclusif du technique pour s étendre à d autres compétences : gestion de l humain et du risque, processus, juridique, relations publiques, sécurité physique, changement organisationnel, etc. La gestion du risque au cœur de votre approche Il apparaît désormais très clairement qu en présence d'une typologie de menaces aussi complexe, une approche de la sécurité de l information basée sur la gestion du risque s avère vitale. L évaluation de ces risques fait intervenir de nombreux acteurs à travers l entreprise, sous la houlette d un responsable chargé de la coordination du processus rôle que le DSSI a pour vocation d endosser.

9 MYTHE N 4 : La technologie SSL est dépassée Depuis quelque temps déjà, certains avancent l argument selon lequel le système Transport Layer Security (TLS) ou Secure Sockets Layer (SSL) aurait atteint un point de rupture. Pour le camp des anti-ssl, le temps est venu de passer à un nouveau système. Certains vont même jusqu à soutenir l idée d une suppression pure et simple des autorités de certification (AC). 4

10 Incidents dus aux lacunes des contrôles de sécurité internes des entités finales Ce jugement fait table rase de tous les avantages que la technologie SSL a su apporter au fil des ans. Si les certificats SSL restent largement reconnus comme le système cryptographique le plus fiable et le plus évolutif du marché, pourquoi un tel acharnement à leur encontre? Certes, des violations de sécurité mettant en cause le SSL ont fait grand bruit récemment. Mais en y regardant de plus près, ce sont souvent les entités finales et les lacunes de leurs contrôles de sécurité internes qui sont en cause, et non le système dans son ensemble. La technologie SSL n est pas dépassée et demeure un élément clé de toute stratégie de défense Pour le reste, les certificats SSL jouent depuis plus de 20 ans un rôle majeur dans la sécurité d Internet et restent encore aujourd hui la méthode de protection des transactions en ligne la plus éprouvée, la plus fiable et la plus évolutive. Qu on se le dise : la technologie SSL n est pas dépassée et demeure un élément clé de toute stratégie de défense.

11 MYTHE N 5 : Je ne stocke aucune donnée de carte bancaire, donc je n ai pas besoin de certificat SSL Cela ne vous met pas automatiquement à l abri, vous, votre entreprise et vos clients. Les cybercriminels peuvent nuire à votre entreprise et écorner sa réputation de bien d'autres manières.

12 Vous avez besoin du plus haut niveau de protection possible C'est pourquoi il vous faut vous protéger au maximum pour les maintenir à distance. Ceci passe par la création d un espace sûr où vos clients se savent à l abri des menaces, sans oublier un système ultrasécurisé d identifiants et de mots de passe. Espaces sécurisés Ces «portails» interactifs et personnalisés offrent à vos clients un accès en ligne à des informations sensibles dans un environnement sécurisé. Leur accès pourra éventuellement être limité aux détenteurs d'un certificat électronique afin de renforcer encore davantage la sécurité. Identifiants/mots de passe Toute personne se connectant à votre site devrait utiliser un mot de passe d au moins 10 caractères comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux. Jamais des identifiants de connexion ne devraient être réutilisés sur d autres sites Web. Informations personnelles Plus vous collectez de données personnelles (noms, adresses , numéros de téléphone, adresses postales, etc.), plus vos clients courent le risque de voir leur identité usurpée. Il vous revient donc de prendre les précautions nécessaires, faute de quoi les conséquences pourraient se révéler désastreuses pour vos clients et votre réputation. Les clients sont de plus en plus conscients des risques liés aux achats en ligne et ne commanderont rien sur votre site s il n est pas équipé d'un certificat SSL. Même si vous ne vendez pas vos produits ou services en ligne, vos clients apprécieront toujours le soin que vous prenez à protéger leurs données personnelles.

13 MYTHE N 6 : Tous les types de certificats émis par une AC se valent. Faux! Il existe plusieurs types de certificats, dont le degré de fiabilité varie. 6

14 Validation de domaine (DV, Domain Validation) DV Ces certificats low-cost sécurisent le site Web mais n offrent aucune validation ou authentification de l entreprise exploitant le site. Validation d entité (OV, Organisation Validation) ov Ces certificats sont délivrés au terme d une authentification complète de l entreprise et de son activité par une autorité de certification recourant à des processus de validation manuels établis et acceptés, sans toutefois appliquer les standards les plus rigoureux préconisés par le CA/B Forum*. Validation étendue (EV, Extended Validation) EV Ces certificats proposent une validation complète conforme aux directives les plus strictes du CA/B Forum, avec à la clé un niveau de sécurité et de confiance maximal pour les utilisateurs. En présence d un certificat SSL EV, la barre d adresse du navigateur s affiche en vert pour envoyer un signal visuel fort quant à la sécurité du site. * Organisme de normalisation indépendant, le CA/B Forum impose une vérification approfondie de la légitimité et de l'authenticité d'une entreprise avant toute émission d'un certificat à son nom.

15 Optez pour un certificat SSL EV d une AC mondialement reconnue Optez toujours pour un certificat SSL EV d une autorité de certification mondialement reconnue, à l image de Thawte. Ces certificats garantissent en effet la légitimité de l entreprise, tandis que les autres types ne valident que le domaine, mais pas ses détenteurs, ni ses exploitants. Ajoutez une marque de confiance Les marques/sceaux de confiance peuvent également servir à rassurer les clients quant à la sécurité de votre site Web. Le sceau de confiance Thawte joue un rôle crucial dans la crédibilisation de votre site Web, dans la mesure où il indique aux internautes que l identité de son propriétaire a été authentifiée et que le site lui-même est sécurisé par un certificat SSL.

16 MYTHE N 7 : Seuls les sites Web d'apparence suspecte sont vraiment dangereux. Le mien est sûr. Quels que soient le temps, les ressources et les technologies à votre disposition, votre site Web ne sera jamais sûr à 100 %. Mieux vaut ne pas se fier aux apparences, car tout se passe dans l envers du décor.

17 Les hackers cherchent et découvrent sans cesse de nouvelles failles Entre la découverte d'une faille et la publication d'un correctif, un laps de temps s écoule pendant lequel vous êtes à la merci d une attaque à outrance. Ne vous faites aucune illusion : les hackers ont déjà sondé vos systèmes, ils savent quels logiciels vous utilisez et ils sont prêts à tirer parti de n importe quelle vulnérabilité zero-day qu ils pourraient y trouver. Les logiciels comportent tous des vulnérabilités Même les sites Web les plus basiques reposent sur des logiciels. Or, ces logiciels contiennent tous des erreurs et des bugs qui les rendent vulnérables. Vous devriez donc tenir un inventaire précis des composants sur lesquels s appuie votre site Web pour garder un œil sur les problèmes connus et installer les dernières mises à jour et correctifs. Plus vous leur compliquez la vie, plus ils seront susceptibles de passer leur chemin Bien que la sécurité totale d un site Web reste un mythe, votre objectif devrait être de vous en approcher le plus possible. Les pirates sont des êtres opportunistes. Par conséquent, plus vous leur compliquez la vie, plus ils seront susceptibles de passer leur chemin et de chercher une proie plus facile.

18 8 MYTHE N 8 : Je n ai pas besoin d un certificat SSL pour toutes mes pages Web. De nombreuses entreprises utilisent le protocole SSL/TLS (Secure Socket Layer/ Transport Layer Security) pour crypter le processus d authentification au moment de la connexion des utilisateurs. Mais une fois la connexion établie, elles ne cryptent pas les pages auxquelles ils accéderont en cours de session. Cette pratique d usage intermittent du SSL ne suffit pas à protéger les utilisateurs face à la prolifération actuelle des menaces.

19 Les internautes passent de plus en plus de temps connectés Les internautes passent de plus en plus de temps connectés à leurs comptes en ligne, avec pour conséquence directe une explosion des attaques par détournement de session (ou «sidejacking»). Ciblée sur les visiteurs de pages Web HTTP non cryptées après leur connexion à un site, cette méthode consiste à intercepter les cookies (généralement utilisés pour conserver des informations utilisateurs de type noms d utilisateur, mots de passe et données de session) dès lors que la protection et le cryptage SSL s'interrompent. Toute entreprise ayant à cœur de protéger ses clients implémentera Always-On SSL Il vous faut un dispositif de sécurité de bout en bout, capable de protéger chaque page Web visitée. C est là toute la mission d'always-on SSL. Cette méthode de sécurité simple et économique est conçue pour protéger les utilisateurs de votre site Web à chaque étape de leur expérience en ligne. Preuve de son efficacité, Always-On SSL a déjà été adopté par des géants du Net comme Google, Microsoft, PayPal, Symantec, Facebook et Twitter. Toute entreprise ayant à cœur de protéger ses clients et sa réputation suivra leur exemple et implémentera Always-On SSL, à l aide de certificats SSL d une autorité de certification réputée.

20 MYTHE N 9 : J ai un très bon antivirus sur mon réseau. Mes systèmes sont donc protégés. Même le meilleur antivirus ne suffit pas à vous protéger. Très franchement, ceux qui s en remettent uniquement à leur antivirus vivent dans le passé. Le monde a changé. Dans un contexte de mutation perpétuelle de la cybercriminalité et des malwares, les produits antivirus traditionnels basés sur les signatures doivent lutter contre un trop grand nombre de variantes pour pouvoir faire face.

21 Quelle que soit la qualité de votre logiciel antivirus, les hackers parviendront toujours à déceler une brèche C est bien connu : dès que les éditeurs de solutions de sécurité, les administrateurs IT et les utilisateurs renforcent leurs niveaux de protection, les pirates finissent toujours par trouver une faille. Par conséquent, quelle que soit la qualité de votre logiciel antivirus, ils parviendront toujours à déceler une brèche sur le système ou le réseau voire chez les utilisateurs eux-mêmes dans laquelle ils n hésiteront pas à s engouffrer. Impuissance des produits antivirus comme seul ou principal moyen de défense Face à des attaques par force brute capables de cibler différentes faiblesses sur différents systèmes, sans jamais utiliser la même technique deux fois, on ne s étonnera pas de l impuissance des produits antivirus comme seul ou principal moyen de défense. Conséquence : des interruptions de service coûteuses, une désinfection laborieuse et des pertes de données. Un antivirus ne suffit pas les entreprises doivent s équiper d un dispositif de prévention complet En cas de succès, le potentiel économique d une cyberattaque est énorme. C est pourquoi les cybercriminels n hésitent pas à recourir à tout un arsenal de ressources et compétences pour percer vos lignes de défense. Ne vous y trompez pas : leur détermination et leur malveillance sont appelés à s intensifier. Pour toutes ces raisons, un antivirus ne suffit plus. Les entreprises doivent s équiper d un dispositif de prévention complet qui intègre toute la panoplie des technologies de sécurité actuellement disponibles.

22 10 Notre pare-feu nous protège contre les attaques MYTHE N 10 : Ce mythe encore très répandu tient plus du fantasme que de la réalité.

23 Les pare-feu doivent être considérés comme une solution de dépannage plutôt que comme un dispositif permanent Certes, le pare-feu remplit un rôle indispensable de contrôle du trafic. Mais le serveur recevra aussi des requêtes Web, qui elles ne sont pas filtrées. De la même manière, les pare-feu d applications Web protègent contre les vulnérabilités connues et le trafic inhabituel, mais ils ne peuvent rien contre les vulnérabilités dans la logique applicative ou dans le code, contre les utilisations valides qui corrompent les données, ni contre les attaques zero-day. Même s ils peuvent servir au filtrage temporaire du trafic en cas de découverte d une vulnérabilité, ils doivent être considérés comme une solution de dépannage plutôt que comme un dispositif permanent. Les injections SQL permettent de contourner les pare-feu de connexion traditionnels La détection des attaques par injection SQL, une des menaces les plus dangereuses, s'avère particulièrement difficile. Dès lors qu elle parvient à ses fins, l injection SQL pourra réduire à néant la sécurité d un site Web car elle permet de contourner les pare-feu de connexion traditionnels pour envoyer des requêtes SQL vers des bases de données totalement exposées. Les entreprises doivent mettre en place un dispositif de sécurité plus complet La solution? Un dispositif de sécurité plus complet, capable d éviter des fuites de données et de détecter efficacement les menaces et violations du système. Au-delà du simple pare-feu, les technologies de protection du périmètre s'avèrent essentielles à la mise en place d'une stratégie efficace de défense multiniveau.

24 POURQUOI THAWTE? Certificats Thawte SSL, garants de la protection des données en transit Tous les certificats SSL ne se valent pas. Nous faisons du cryptage SSL notre métier, pour mieux protéger le vôtre. Des millions de personnes dans le monde font déjà confiance à Thawte pour leur sécurité en ligne. Faites comme eux et profitez de nombreux avantages : Certificats numériques à sécurité renforcée Reconnaissance mondiale pour sa fiabilité à toute épreuve Cryptage SSL jusqu à 256 bits Support mondial multilingue Des tarifs revus à la baisse pour une sécurité SSL forte à moindre coût Sceau Thawte Trusted Site Alors protégez vos données, préservez votre activité et inspirez confiance à vos clients grâce à la sécurité renforcée des certificats numériques signés Thawte. ACHETER ÉVALUER PLUS D INFOS

25 POUR EN SAVOIR PLUS, LISEZ NOTRE DOCUMENT TECHNIQUE COMPLET Décryptage des 10 grands mythes de la sécurité des sites Web Un guide Thawte indispensable DOCUMENT TECHNIQUE 2014 TÉLÉCHARGER LE DOCUMENT TECHNIQUE