Dès qu’un client perd confiance dans votre site Web – et par analogie, dans votre entreprise –, il risque d’aller voir ailleurs par crainte pour la sécurité de ses données. Si un site Web n’est pas sécurisé, l’entreprise expose ses données à des risques de violation dont les conséquences financières peuvent se chiffrer en millions d’euros. Un simple oubli à la date de renouvellement de ses certificats suffit à déclencher une avalanche de frais : interventions en cas d’incident, dommages et intérêts, frais de justice, sanctions financières et relations publiques...

D’après un rapport Ponemon de 2015, l’entreprise « moyenne » a déjà connu plus de deux défaillances système ces deux dernières années à cause de « pannes en rapport avec des certificats ». Pour une panne non programmée liée aux certificats, le coût moyen avoisine 15 millions de dollars (USD).

Étude de cas Microsoft Azure

En 2013, la plate-forme cloud Azure de Microsoft a connu une panne mondiale à cause d’un certificat SSL expiré. L’incident s’est produit au moment même où l’on signalait des problèmes sur les services Xbox Music et Xbox Video de Microsoft.

L’annonce est survenue le jour où Microsoft reconnaissait avoir été victime de la même cyberattaque qu’Apple et Facebook. Comme l’on peut l’imaginer, ses nombreux clients ont dû être informés, son service des relations presse a dû gérer la communication autour de la situation et Microsoft a enregistré un important manque à gagner pendant l’attaque.

Comment s’assurer que son site est protégé ?

Face au risque croissant des cyberattaques, les sociétés d’audit traquent les normes et les réglementations auxquelles les entreprises devront se conformer pour démontrer l’absence de risques pour leurs clients ou leurs données. Pour savoir quelles sont les mesures de mise en conformité à prendre, on peut se rendre sur le site IT Governance pour consulter les pages consacrées aux normes publiées.

Depuis que des sociétés comme Google notent mieux les entreprises dont les sites sont sécurisés, le sujet est d’actualité dans les entreprises et les départements responsables de la sécurité des systèmes d’information.

Pour que son site Web soit sécurisé en permanence, voici comment procéder :

Faire un audit interne

Commencer par rassembler l’ensemble de ses certificats actuels et de ses clés pour identifier les éventuelles failles.

L’entreprise peut d’ores et déjà utiliser l’outil gratuit mis à disposition par GlobalSign pour vérifier ses serveurs Web. Si l’on est client de GlobalSign, on peut également utiliser l’outil d’inventaire de certificats pour vérifier gratuitement l’emplacement de ses certificats et leur date de renouvellement.

Répertorier les dates d’expiration pour chaque certificat et les consigner dans un endroit facile à mémoriser. Pour se faciliter la tâche, la personne chargée de la sécurité des systèmes d’information peut éventuellement programmer un rappel dans son calendrier avant la date d’expiration de chacun de ses certificats pour effectuer les mises à jour dans les délais et éviter que le site de son entreprise ne se retrouve en situation de vulnérabilité. L’on peut également envisager une solution Managed SSL pour contrôler ses certificats via une plate-forme en ligne et être prévenu lorsqu’un certificat doit être renouvelé.

Faites appliquer les règles en interne

Après avoir pris connaissance des normes ISO, GlobalSign recommande de mettre en place les processus adéquats dans son entreprise et de les documenter pour que chacun soit, dans la mesure du possible, informé des mesures prises, des raisons sous-jacentes et de son rôle.

Des formations doivent également être mises en place à l’échelle de l’entreprise pour expliquer à ses collaborateurs les changements entrepris. Autre objectif de ces formations : éviter que les collaborateurs ne soient victimes d’arnaques de type phishing (hameçonnage) ou qu’ils exposent inutilement des données sensibles avec le risque de compromettre les données de l’entreprise.

Voici un exemple de procédures à mettre en œuvre pour assurer la protection interne et externe d’une entreprise au niveau physique et en ligne :
– Carte magnétique/Badge permettant d’accéder aux bâtiments, bureaux et salles avec des niveaux d’autorisation différents en fonction des collaborateurs
– Règlement intérieur prévoyant des formations régulières pour les collaborateurs sur les bonnes pratiques et les moyens de détecter et de signaler d’éventuelles menaces et problèmes de sécurité
– Authentification à deux facteurs pour l’accès des collaborateurs aux machines, terminaux, réseaux et portails en ligne
– Signature numérique des e-mails permettant de garantir l’authenticité de l’auteur des messages, d’éviter toute modification non autorisée des messages et de chiffrer les messages contenant des données et des informations sensibles

Suivre l’actualité de la sécurité informatique

La lecture régulière de sites consacrés aux technologies de l’information et à la sécurité suffit généralement à savoir comment protéger son ou ses site(s) Web ainsi que ses données. L’on retrouvera sur Twitter une sélection GlobalSign des meilleures publications dans le domaine de la sécurité ; pour y accéder, il suffit de s’inscrire à la liste de diffusion.

En se tenant régulièrement informé, l’on peut réagir rapidement à l’annonce de nouveaux bugs ou virus, ou aux recommandations de mises à jour. Prenons l’exemple de SHA-1. Utilisé dans les certificats numériques, cet algorithme de hachage est depuis peu jugé peu fiable car il pourrait être piraté d’ici quelques années. Les propriétaires de certificats SSL SHA-1 sont par conséquent invités à planifier au plus tôt leur migration vers le SHA-256.

Recruter et affecter les bonnes ressources

Si l’on est propriétaire ou dirigeant d’une entreprise, l’on risque d’avoir de plus en plus de mal à accorder toute son attention aux principales obligations dans le domaine de la sécurité informatique. Par conséquent, si la taille de l’entreprise le permet, il pourra être utile d’étudier les avantages à recruter des personnes qualifiées et à affecter les bonnes ressources à ses projets de sécurité informatique.

Cela dépendra des besoins dans son secteur et en termes de sécurité, en interne et vis-à-vis de l’extérieur. En cas de doute, il est possible de faire appel à un consultant expérimenté dans la sécurisation d’entreprises similaires.