Sécuriser

son site Web

Sébastien Delcroix

Copyright © CRI74 – GNU Free Documentation License

Sommaire

> Introduction
> Contexte
> Enjeux
> Objectifs
> Risques
> Processus de sécurisation
> Quelques conseils
> Conclusion
> Questions ?

Copyright © CITIC74 – GNU Free Documentation License 2

Introduction
> Motivations des cybercriminels
> financières
> argent cybercriminalité > argent de la drogue
> guerre information
> politique
> Cyber criminalité en forte hausse
> Dématérialisation de plus en plus forte

Copyright © CITIC74 – GNU Free Documentation License 3

Contexte
> Des millions de machines infectées par des malwares (> 2M dont 1M de virus)
> botnet de 100 millions de machines qui génère 100 milliards de
spam/jour !!!
> Les gens sont peu ou pas informés ou sensibilisés à la sécurité
> Beaucoup d'argent à gagner (spammeur 5 à 10k$ / semaine)
> Pratiques mafieuses (chantage, déni de service)
> Utilisation des sites web pour diffuser des malwares, ou comme site de
confiance pour du phishing

Copyright © CITIC74 – GNU Free Documentation License 4

 Welcome
to the
real
World !!!
Copyright © CITIC74 – GNU Free Documentation License 5
Enjeux
> Financier & Economique
> perte financière
> détournement d'argent
> bloquer l'économie d'un pays
> Politique
> cyber guerre (ex : Estonie vs Russie)
> Lié à la l'image
> guerre de l'information

Copyright © CITIC74 – GNU Free Documentation License 6

Objectifs
> Sécuriser son site web pour :
> Sa disponibilité
> L'intégrité de ses données
> La confidentialité de ses données
> Son image

Copyright © CITIC74 – GNU Free Documentation License 7

Je ne veux pas de ça !

Copyright © CITIC74 – GNU Free Documentation License 8

Risques & conséquences
> Site défiguré (image)
> Vol de données (confidentialité)
> Destruction de données (intégrité)
> Site indisponible (disponibilité)
> Introduction malware, images porno ou pire (blacklist)

Copyright © CITIC74 – GNU Free Documentation License 9

Contexte technique

Internet
Internautes

Pirates
FAI

Réseau local Hébergeur

Copyright © CITIC74 – GNU Free Documentation License 10
Risques « côté hébergeur »
> Disponibilité (responsabilité hébergeur)
> Panne, coupure réseau, etc.
> Côté serveurs (responsabilité hébergeur)
> Accès physique (serveurs/routeurs)
> Système d'exploitation
> Service Web (Apache, IIS)
> SGBD (mysql, SQLServer)
> Langage programmation (php, java, etc.)
> configuration de l'ensemble
> gestion des droits

Copyright © CITIC74 – GNU Free Documentation License 11

Risques « côté hébergeur »
> Moteur site web (responsabilité entité ou prestataire)
> Faille intrinsèque
> Configuration spéciale (ex: safe mode)
> Mots de passe
> Droits d'accès aux données
> Droits d'accès à la publication
> Il a accès à tout => très sensible.

Copyright © CITIC74 – GNU Free Documentation License 12

Risques « côté client »
> Accès internet
> Vol de session
> Mots de passe
> Malwares (keylogger)
> Connexion wifi sans sécurité

Copyright © CITIC74 – GNU Free Documentation License 13

Risques « côté prestataire »
> Les mêmes que ceux du client
> Il détient les codes d'accès au site
> Il a souvent accès au backoffice du site web => accès aux droits et à la structure
du site.

Copyright © CITIC74 – GNU Free Documentation License 14

Processus de sécurisation
> Ce n'est pas produit mais un processus qui fait intervernir des ressources
matérielles et humaines.
> Dépend du niveau de sécurité souhaité
> juste quelques pages
> site marchand avec transactions bancaires
> données confidentielles
> Politique de sécurité (ex: choix des mots de passe, interdire le wifi, chiffrement pc
portable etc.)
> Veille : pour mettre à jour son moteur (=> contractualisation avec ses
prestataires)
> Formation / Information / sensibilisation

Copyright © CITIC74 – GNU Free Documentation License 15

Coûts
> Dépend du niveau risque que l'on veut gérer
> notamment par rapport aux conséquences financières liées à un piratage
> Vision des dépenses assimilée une assurance

Copyright © CITIC74 – GNU Free Documentation License 16

Quelques conseils
> Maintenance sécurité site (prestataire)
> Ne pas héberger n'importe où.
> Temps de rétablissement en cas de problème sur le site (hébergeur/prestataire)
: Plan Reprise d'Activité
> Attention à la multiplicité des outils pour faire un site, ex :
> blog, forum, wiki etc.
> il faut faire attention que chaque outil ne permette pas de parasiter les autres

Copyright © CITIC74 – GNU Free Documentation License 17

Quelques conseils
> Toujours utiliser les protocoles sécurisés lorsqu'un login/password est
demandé (ex : https sur le backoffice du site)
> Ne pas laisser d'adresses email clairement écrites sur un site => SPAM
> Auditer son site avec des outils de pentesting
> Sauvegarder vos données (base + site) => à contractualiser si nécessaire

Copyright © CITIC74 – GNU Free Documentation License 18

A propos des mots de passe
> Une des failles les plus courantes
> Attention aux mots de passe par défaut (notamment sur le backoffice)
> Politique de mots de passe compliqués
> Ne pas utiliser le même mot de passe pour tout
> utiliser des trousseaux de clé
> Attention aux mémorisations de mots de passe ou de sessions (risque si vol d'un
PC portable)

Copyright © CITIC74 – GNU Free Documentation License 19

Conclusion
> Une obligation absolue
> Responsabilité vis à vis des autres internautes (ex: la multiplication des SPAM est
lié à la négligence des gens)
> C'est un Processus et non un produit
> Coûteux en fonction du niveau de risque/sécurité

Copyright © CITIC74 – GNU Free Documentation License 20

 Merci de votre attention
Questions ?

Copyright © CRI74 – GNU Free Documentation License

Copyright © CRI74 – GNU Free Documentation License
Références - Sources
> Titre
www.url.net

> Titre
http://...
> Titre

Copyright © CRI74 – GNU Free Documentation License 23