Sites web des collectivités locales : défaut de sécurité constaté

Fin mars, La Gazette a fait le bilan désastreux du niveau de sécurité des sites web des communes françaises. Sur 14 000 sites, plus de 6500 sont « non seulement vulnérable, mais qui expose cette vulnérabilité aux personnes en quête de proies faciles » (article Plusieurs milliers de sites Internet de communes mal sécurisés, La Gazette). Il suffirait d’analyser le code source ou lire les informations contenues dans l’en-tête du site web pour récupérer des informations sur les logiciels et plugins utilisés, permettant ensuite leurs exploitations. Découvrez dans cet article les bonnes pratiques en sécurité, ainsi qu’une solution de cybersécurité pour en finir avec les pirates !

Des sites web très vulnérables

Des sites web très #vulnérables Click To Tweet

La majorité des communes françaises de plus de 5 000 habitants ont un site web. Cette tendance s’accroit dans le but de fournir des services publics encore plus accessibles à leurs usagers.  Le plan « France numérique 2012-2020 » présenté par Eric Besson, ministre chargé de l’Industrie, de l’énergie et de l’économie numérique à l’époque, vise par le biais de 154 propositions, à augmenter l’accessibilité des sites et à développer « la confiance numérique ».  Cependant, l’article de La Gazette et l’article sur les 20 000 sites web piratés en janvier – dont de nombreuses institutions publiques – soulignent le défaut de sécurité des collectivités locales.

Les bonnes pratiques en sécurité

Les bonnes pratiques en #sécurité Click To Tweet

Les mesures de prévention suivantes réduiront fortement le nombre de vulnérabilités exploitables par les hackeurs :

  • Masquer les données applicatives et serveurs : les informations sur les versions utilisées sont très utiles aux pirates qui n’ont plus qu’à comparer celles-ci avec des banques de données sur les attaques et failles connues de ces versions.
  • Maintenir et mettre à jour régulièrement le serveur et ses applications : une des protections les plus efficaces pour se protéger des failles connues est de garder son serveur web à jour pour rendre la tâche de l’attaquant plus difficile puisqu’il ne saura plus quelle faille exploiter.
  • Appliquer les fondamentaux de sécurité : Le CLUSIF et l’ANSSI publient régulièrement des recommandations pour protéger les sites internet contre les cyberattaques (accéder au guide de l’hygiène informatique, et aux recommandations pour la sécurisation des sites web).

Quelles solutions de cybersécurité ?

Quelles solutions de #cybersécurité ? Click To Tweet

Les recommandations de l’ANSSI, la mise à jour régulière de ses actifs informatiques et le masquage des informations sensibles sur le serveur permettront de diminuer considérablement la surface d’attaque des sites web. Cependant, ces recommandations ne permettent pas d’assurer un niveau optimal de sécurité. Il convient de s’équiper d’outils techniques avancés conçus pour la cybersécurité :

  • Un scanner de vulnérabilités web : pour détecter les vulnérabilités potentielles avant qu’elles ne soient exploitées.
  • Un parefeu applicatif : pour une protection optimale contre les cyberattaques sophistiquées telles que les injections SQL, les attaques DDos et  les attaques de type XSS.
  • Le patching virtuel des vulnérabilités : dès qu’une vulnérabilité applicative est identifiée, celle-ci est patchée jusqu’à sa remédiation définitive.
  • Un tableau de bord : permettant une visibilité complète en temps réel sur le niveau de sécurité, et indiquant des informations détaillées sur les attaques bloquées.

Ces moyens de protection sont généralement réservés aux grandes entreprises qui disposent d’une équipe de sécurité adéquate et des moyens financiers importants. Pour ceux qui ont ni l’expertise technique nécessaire, ni les moyens financiers pour obtenir un niveau de sécurité web digne des grandes structures, il existe tout de même une solution.

Ozon démocratise la cybersécurité web pour la rendre accessible aux collectivités locales, quelle que soit leur taille et propose une solution clé-en-main qui allie la détection des vulnérabilités, la détection de malwares, la protection contre les cyber-attaques et le “patching virtuel” des vulnérabilités. Sans oublier un tableau de bord complet avec des indicateurs clés sur le niveau de sécurité. Sans engagement, la solution Ozon est gratuite pendant 30 jours.

Régis Rocroy
Passionné par les nouvelles technologies et leurs usages dès les premiers PC, j'interviens dans la sécurité des systèmes d'information depuis plus de 20 ans en tant que consultant et architecte sécurité.