Quoi : Le protocole de gestion d’un site Internet permet de mettre en place les bonnes pratiques de sécurité lors de son utilisation. Il établit une liste de contrôle et donne les informations pour mieux comprendre les enjeux et les risques.
Qui : Ce protocole concerne principalement les personnes responsables du site internet ainsi que la direction.
Combien de temps : Prévoyez une réunion d’une heure afin de décider des pratiques utilisées et une réunion de 30 minutes avec le reste de l’équipe pour expliquer les points importants qui en découlent.
Un protocole pour la gestion de votre site Internet sert à trois objectifs principaux :
- Protéger sa disponibilité : votre site est votre vitrine en ligne. De bonnes pratiques en sécurité vous permettront de le garder en ligne, en cas de panne de serveurs ou encore en cas d’attaques;
- Assurer l’intégrité des informations qui s’y retrouvent: les bogues, les erreurs de configuration, les erreurs humaines ou les bogues sont si vite arrivés. De bonnes pratiques vous aideront à minimiser les impacts et à avoir un site aussi beau et parfait que vous le désirez!
- Protéger la confidentialité des personnes qui le consultent : que ce soit pour garder bonne réputation, ou pour assurer la sécurité des personnes qui naviguent sur votre site, vous pouvez mettre en place quelques outils pour que les données de navigation restent confidentielles!
Vérifier régulièrement le contenu de votre site internet
La première étape pour sécuriser votre site Internet est de vérifier sa vulnérabilité et son contenu. Cette vérification se fait en naviguant sur l’ensemble des pages et en effectuant des « scans de sécurité » qui peuvent indiquer la présence de vulnérabilité.
- En parcourant régulièrement votre site Internet, vous pourrez vous assurer de l’intégrité de son contenu.
- On peut notamment penser à la disposition des images, du texte et des médias; aux hyperliens fonctionnels, etc.
- Un changement non désiré peut être le signe d’un « bogue », d’une erreur de configuration ou d’une cyberattaque.
- Pour ce qui est de sa vulnérabilité, voici quelques outils qui peuvent vous aider (seulement en anglais). Si cela reste obscur pour vous, regardez avec la personne responsable de votre site si elle peut s’en occuper pour vous ou faites des recherches sur Internet.
Sauvegarder le contenu régulièrement
La deuxième étape est assez simple : il faut faire en sorte d’éliminer au maximum les erreurs humaines. Pour cela, il faut faire des sauvegardes régulières de son site et de ses bases de données.
En établissant ce protocole, il importe de déterminer :
- Qui est responsable de faire les sauvegardes?
- Quelle est la fréquence à laquelle elles doivent être faites?
Cette étape est importante afin de minimiser l’impact d’une erreur ou d’une cyberattaque.
Faire ses mises à jour de sécurité religieusement
Comme pour vos systèmes d’opération et logiciels, les mises à jour sont une pratique de sécurité essentielle pour assurer la sécurité de votre site Web. Nous vous encourageons fortement à automatiser les mises à jour de ses différentes composantes (thèmes, extensions, programmes, abonnements, paramètres).
Au mieux, l’absence de mises à jour cause des erreurs et des bogues techniques. Au pire, elle augmente significativement le risque de cyberattaque pour vous et pour les personnes qui visitent votre site.
Faire le ménage dans ses extensions
Dans le même ordre d’idées, si vous avez une extension (plug-in), ou une composante de votre site qui n’est plus ou pas utilisée, assurez-vous de la supprimer pour éviter d’avoir inutilement une faille potentielle.
Vous pourriez même réfléchir à ne pas utiliser un SGC – tel que WordPress ou Joomla – si vous n’en avez pas besoin. Un SGC simplifié réduit le risque de vulnérabilité. Bref, il importe de prendre ces décisions lors de votre réunion, toujours en fonction des besoins et des compétences informatiques des membres de votre organisme.
Activer le protocole HTTPS sur toutes vos pages
Certains sites utilisent encore le protocole HTTP (sans le S de sécurité). C’est un protocole désuet qui ne permet pas le chiffrement des données en transit et qui ne vous authentifie pas auprès de l’utilisateur. Pour plus d’information sur le HTTPS, consultez cette section.
Vérifiez périodiquement – cela peut se faire en visitant les pages, comme le ferait un utilisateur.trice – que le protocole HTTPS est activé sur l’ensemble de vos pages, même celles qui restent « cachées ». Si vous voyez un petit cadenas vert ou verrouillé à gauche de votre URL, tout est sous contrôle!
Il va de même pour le protocole TLS. Si vous doutez d’avoir activé la fonction HTTPS, assurez-vous de vérifier auprès de l’entreprise qui a créé votre site Web, ou auprès de votre hébergeur (GoDaddy, par exemple) si vous avez conçu vous-même votre site. Soyez sans crainte, ils vous comprendront même si pour vous, tous ces protocoles, c’est du langage mystique.
Mettre en place un plan de contact
Vous devez vous y attendre à ce point : afin de prévenir le pire, il faut se préparer! Ça passe par la mise en place d’un plan de contact. Assurez-vous de prévoir une liste de contrôle ou une marche à suivre en cas de problème ou de panne de service. Voici quelques pistes de réflexion pour vous aider :
- Qui contacter en cas de problème?
- Votre responsable au TI? L’hébergeur? La compagnie en charge de gérer votre site Web?
- Assurez-vous d’avoir leur contact sous la main.
- Où sont stockées les sauvegardes? Comment les remettre en place rapidement?
- Que faire si le site est inutilisable pendant quelques jours?
- Que se passe-t-il si le contenu du site est modifié? Qui prévenir?
- Est-ce que certain.e.s client.e.s, partenaires ou autres peuvent subir des conséquences (réputation, argent…)?
Liste de contrôle
- Planifier la consultation du site régulièrement pour s’assurer de l’intégrité et la disponibilité du contenu;
- Vérifier régulièrement s’il a des failles de sécurité;
- Automatiser les mises à jour de logiciels et le renouvellement de domaine;
- Supprimer les extensions non utilisées;
- Activer le protocole HTTPS sur toutes les pages de votre site Web;
- Planifier des sauvegardes régulières;
- Mettre en place un plan de contact en cas de problème (qui contacter, quelles sauvegardes prendre, qui prévenir…) afin de minimiser l’impact et vous aider à vous remettre sur pieds plus rapidement.
