danger site internet entreprise non sécurisé

les dangers à ne pas sécuriser le site internet d’une entreprise.

L’affaire des Panama Papers a mis en lumière les dangers à ne pas sécuriser le site internet d’une entreprise.

Un cabinet d’avocats manipule des informations très sensibles et confidentielles liées à ses clients.

On pourrait donc penser qu’elle met tout en œuvre pour protéger ces informations ainsi que tous ses systèmes, incluant ses sites exposés à Internet.

Cela n’était pas le cas du cabinet Mossack Fonseca qui n’avait pas mis à jour :

  • depuis 3 mois son site institutionnel qui était basé sur WordPress
  • depuis 2 ans son site collaboratif d’échange avec ses clients qui était basé sur Drupal

Malheureusement, ce cas n’est pas isolé.

De nombreuses entreprises disposent de sites Internet qui ne sont pas maintenus.

La raison est simple. Ce n’est pas le core business de l’entreprise et on a tendance à négliger ces sites qui sont à l’extérieur de l’entreprise.

Dans les petites et moyennes entreprises, on prend un stagiaire pour créer et s’occuper du site Internet et une fois le stagiaire parti, personne ne reprend la responsabilité du site.

Il en est de même lorsque c’est un collaborateur interne qui gère le site Internet et qui quitte l’entreprise.

S’il n’y a pas de transmission des connaissances et de désignation d’un nouveau responsable du site, alors le site est laissé à l’abandon… ou presque.

Un site Internet est attaqué en permanence

Un site internet laissé à l’abandon est un site qui termine dans les mains d’un pirate informatique.

Il faut savoir que les sites exposés sur Internet font l’objet d’attaques permanentes de la part de personnes malveillantes.

Certaines attaques sont ciblées, mais la majorité se fait au hasard via un « robot » qui parcoure tous les sites jusqu’à en trouver un qui contient une faille de sécurité exploitable.

C’est un peu comme si vous vous promeniez dans un parking et que vous tentiez d’ouvrir une à une les portières des voitures jusqu’à en trouver une qu’un propriétaire aurait oublié de fermer.

C’est exactement la même chose et c’est en plus automatisé !

Une faille de sécurité est une vulnérabilité logicielle qui permet à une personne d’outrepasser ses droits, ce qui lui permet d’accéder à des informations privées et même de devenir administrateur du site Internet, ce qui lui donne alors tous les droits sur le site.

Quels sont les risques à ne pas mettre à jour un site internet?

Il y a plusieurs risques à ne pas mettre à jour ses sites exposés sur Internet.

Comme je l’ai mentionné, il y 2 conséquences possibles :

  • L’accès à des informations confidentielles à l’entreprise stockées sur le site
  • La compromission complète du serveur lui même

Dans la seconde situation, non seulement l’attaquant peut accéder à toutes les informations contenues sur le site mais il peut aussi :

  1. modifier la page d’accueil
  2. insérer un code malveillant (malware) sur le site Internet

Dans le premier cas, l’objectif est généralement politique ou idéologique.

Ce type d’action peut nuire à la réputation de l’entreprise mais on détecte assez vite que le site Internet a été piraté puisque la modification est visible.

Alors que dans le second cas, on ne sait pas que le site est sous le contrôle d’un pirate.

Le code malveillant placé sur le site permet de contaminer tous les ordinateurs qui se connecteront au site Internet, à la manière d’un virus.

Conséquence : toutes les personnes se connectant au site et qui disposent d’un ordinateur qui n’est pas à jour (c’est à dire pour lesquels des correctifs de sécurité ne sont pas installés régulièrement sur l’ordinateur) seront contaminés par un logiciel malveillant.

On se trouve alors face à 2 scénarios possibles : est-ce une attaque ciblée ou non ciblée ?

Quels sont les risques d’une attaque non ciblée ?

L’attaque du site Internet n’était pas ciblée, c’est à dire que c’est un programme automatique d’un pirate qui attaque des sites au hasard pour propager son logiciel malveillant.

Dans ce cas, vous risquez de propager le logiciel malveillant à vos clients, aux internautes qui accèdent à votre site mais aussi à vos personnels internes qui accèdent à votre site.

Le type de logiciel malveillant le plus virulent et utilisé en 2016 est appelé rançongiciel (ransomware).

Son fonctionnement est simple : il modifie vos fichiers afin de les rendre inexploitables, puis il bloque votre ordinateur et vous demande une rançon.

Si vous payez, vous pourrez (en principe) récupérer vos fichiers, sinon vos fichiers seront perdus (à moins d’avoir une copie sur un support de stockage externe).

Le rançongiciel s’attaque aussi aux fichiers partagés sur les serveurs de fichiers.

Un ordinateur infecté peut donc bloquer totalement le fonctionnement d’un service ou d’une petite entreprise où tous les fichiers sont partagés par tous les collaborateurs.

C’est ce qui arrive régulièrement à de nombreuses entreprises.

Ce premier scénario peut faire peur mais c’est le plus optimiste.

Quels sont les risques d’une attaque ciblée ?

Si l’attaque du site Internet est ciblée, cela signifie que ce n’était pas un hasard et que quelqu’un cherche à s’introduire dans votre entreprise pour vous voler des données confidentielles ou pour détourner de l’argent.

Lorsque vos collaborateurs vont se connecter au site infecté, ils seront contaminés par un logiciel malveillant.

Le pirate pourra s’introduire dans votre entreprise via ce logiciel, puis se propager dans l’entreprise jusqu’à atteindre son objectif.

Cette intrusion, si elle n’est pas détectée, peut durer plusieurs années.

C’est ce qui semble s’être produit dans le cabinet d’avocats Mossack Fonseca via leur serveur d’échanges qui n’était pas mis à jour depuis 2 ans.

Et c’est ce qui explique comment les pirates ont disposé de temps pour exfiltrer toutes les données de l’entreprise et compromettre des systèmes tels que le serveur mail contenant tous les échanges avec les clients.

Comment éviter tous ces problèmes ?

Vous devez au minimum mettre à jour tous vos systèmes internes et externes. Cela comprend vos sites exposés à Internet, vos ordinateurs,  vos serveurs internes et vos logiciels.

Il y a bien d’autres actions à prévoir pour sécuriser votre entreprise, comme celle de sensibiliser vos collaborateurs à la sécurité, mais celle-ci est indispensable à la survie de votre entreprise.

Si vous n’avez pas le temps ou les compétences internes pour gérer un site Internet, faites appel  à un prestataire externe qui le prendra en charge.

Les coûts sont tout à fait abordables et vous ne pouvez pas faire d’économie sur un système qui est attaqué en permanence.

Idem pour votre informatique interne, si vous n’avez pas la taille nécessaire au recrutement d’un technicien informatique, faites appel à une société externe qui gèrera votre informatique ainsi que la sécurité de vos ordinateurs.

Assurez-vous d’ailleurs que les maintenances de sécurité soient bien intégrées dans votre contrat de prestation.

L’informatique et la sécurité ne sont probablement pas les coeurs de métiers de votre entreprise mais vous ne pouvez pas négliger la sécurité de votre entreprise.

Votre business repose sur l’informatique.

Si vous négligez la sécurité de vos systèmes, c’est votre business que vous négligez et donc votre entreprise que vous mettez à risque.