Category
🤖
TechnologieTranscription
00:00Bonjour à tous, bienvenue dans ce webinaire consacré à la sécurisation d'un site internet.
00:07Ce webinaire est enregistré et sera disponible à la fin sur notre chaîne Dailymotion du
00:15Centre Régional de Cybersécurité de Bourgogne-Franche-Comté.
00:19Pour commencer, je vais me présenter.
00:23Je m'appelle Ségolène Parmentier, je suis ingénieure en cybersécurité au sein du
00:28CISERT Bourgogne-Franche-Comté, et aujourd'hui je suis accompagnée de Guillaume Mignotte
00:33de NumAction.
00:34NumAction fait partie des entreprises référencées auprès du CISERT Bourgogne-Franche-Comté
00:43et NumAction accompagne les PME et TPE sur la sécurisation de leur système informatique
00:49et sur la protection de leurs données.
00:51Donc, avant de commencer, je vais présenter en quelques mots le Centre Régional de Cybersécurité
01:00de Bourgogne-Franche-Comté.
01:01Donc, on a des missions d'alerte, mais également de réponse aux incidents informatiques et
01:09également on sensibilise nos bénéficiaires sur les bonnes pratiques en matière de cybersécurité.
01:15Et nos différents bénéficiaires, ce sont les collectivités, les organismes publics,
01:23les PME, les ETI et les associations situées en Bourgogne-Franche-Comté.
01:29Donc, c'est dans ce cadre de la sensibilisation qu'aujourd'hui on organise ce webinaire
01:37avec Guillaume sur la sécurisation des sites web.
01:41Et donc, je vais lui laisser la parole et il va vous présenter les différents points
01:45à vérifier pour sécuriser votre site web.
01:50Merci Ségolène.
01:52Bonjour à toutes et à tous.
01:56Effectivement, je voulais remercier déjà le CSIRT pour tous ces webinaires.
02:02Donc voilà, c'est aujourd'hui à mon tour de passer, mais il y en a eu plusieurs avant moi.
02:09Et donc, je vous inviterais à aller voir la chaîne du CSIRT parce qu'il y a eu des
02:13sujets déjà vraiment très intéressants et il y en aura sûrement d'autres très intéressants
02:17par la suite.
02:18Là, je vais bientôt vous partager mon écran parce que le webinaire d'aujourd'hui a pour
02:25but de, voilà, c'est plutôt une démonstration.
02:27Et donc, ma tête, vous n'allez plus la voir très, très bientôt.
02:33Je profite juste de ce webinaire pour, voilà, Ségolène m'a présenté effectivement ma
02:43structure. Elle est assez récente.
02:46J'ai créé NumAction il y a deux ans, un peu plus de deux ans et avec le but de travailler
02:52essentiellement cybersécurité RGPD parce que ce sont des sujets qui sont, on sait que
02:58c'est des sujets indispensables.
02:59Par contre, on ne sait jamais trop ce qu'il faut faire et comment le faire.
03:03Alors, je ne vais pas aller beaucoup plus loin que ça là dessus.
03:08Un des aspects, en tout cas, de la cybersécurité concerne les sites web et donc, c'est le sujet
03:14qu'on va aborder aujourd'hui.
03:16Donc, je vais partager mon écran.
03:22J'ai pu le partager par contre.
03:24En attendant que le partage revienne, voilà, l'idée, en tout cas, était de pouvoir donner
03:41à l'ensemble, de vous donner à vous, entrepreneurs, les clés qui vous permettent de vérifier
03:51déjà si votre site est sécurisé ou pas.
04:03Est-ce que c'est bon ?
04:03Tout le monde voit mon écran ?
04:07C'est bon, on le voit.
04:10Alors, moi, je vais passer un peu en mode présentation, donc je ne verrai pas forcément
04:15les questions.
04:17Donc, je vous invite, si vous avez des questions, à les poser au fur et à mesure.
04:22De toute façon, la présentation se découpe en gros en quatre grandes parties.
04:26Donc, n'hésitez pas à poser vos questions au fur et à mesure des sujets et on essaiera
04:32d'y répondre pas à pas.
04:37OK, donc, je démarre.
04:39Sur la partie site web, on va regarder les différents points qui sont à regarder,
04:45à vérifier pour savoir si vous avez une sécurisation de votre site suffisamment forte.
04:58Alors, le site web, c'est un peu votre vitrine, c'est le vitrine de l'entreprise.
05:05Donc, là, j'ai pris cette image, en fait, ça permet aussi de bien se rendre compte
05:10de ce qu'est l'entreprise aujourd'hui de manière dématérialisée.
05:14Alors, elle ne ressemble pas forcément à ça, mais l'idée, en fait, c'était d'avoir
05:21une image, en fait, qui vous permette après de bien voir et de bien vous projeter
05:27finalement là-dessus.
05:28L'entreprise aujourd'hui, la plupart des entreprises, finalement, sont comme des
05:32structures telles qu'on les voit à l'écran, avec énormément de choses vitrées, de
05:37choses ouvertes, de choses pas fermées.
05:40Et l'idée, en fait, c'était de pouvoir faire attention à ça.
05:44Le site web, c'est la vitrine de l'entreprise.
05:47C'est aussi, si on parle en termes de cybersécurité, c'est quelque chose qui est
05:53accessible à tout le monde.
05:56Donc, voilà, vous allez sur Internet, vous tapez l'adresse de votre site et on y
05:59accède tout de suite.
06:01En termes de surface d'attaque, comme on en parle en cybersécurité, c'est la
06:08première chose qui va être visible et c'est la première chose que les
06:11cyberattaquants, les pirates informatiques vont essayer de regarder, de voir si on
06:17peut rentrer dedans.
06:19D'ailleurs, je ne sais pas si vous suivez un petit peu l'actualité, mais en ce
06:24moment, il y a beaucoup, beaucoup de piratage et vraisemblablement, ça concerne
06:29beaucoup des sites et surtout des boutiques.
06:31Si on prend des sites comme Boulanger, comme Divia, il n'y a pas très longtemps,
06:37autour de Dijon, vraisemblablement, c'est les sites qui ont été attaqués et
06:42piratés. Donc, voilà, ça, c'est le constat un petit peu.
06:48Ensuite, pour comprendre ce qu'il faut regarder et ce qu'il faut protéger, il
06:52faut savoir un petit peu comment c'est construit.
06:54Donc, je vais essayer de ne pas être trop technique, je vais essayer de ne pas être
06:59technique même et voilà, de vous amener un peu quand même un minimum d'éléments.
07:06Donc, un site web, c'est quatre grandes composantes.
07:11Alors, si jamais il y a des gens qui travaillent dans la cybersécurité, qui
07:13nous regardent là actuellement, par avance, je m'excuse parce que je vais faire
07:17énormément de raccourcis justement pour que ce soit le plus simple possible.
07:22Donc, le site web, c'est déjà le nom de domaine.
07:26Le nom de domaine, en gros, c'est la porte d'entrée, c'est le SASS où on
07:31rentre et on est redirigé.
07:33Donc, derrière, on peut avoir des notions un peu techniques comme la notion de
07:38DNS et ça renvoie vers, c'est une connexion vers la partie site web,
07:44messagerie ou tout un tas de services.
07:48Donc, le nom de domaine, c'est vraiment cette porte d'entrée et qu'il faut
07:52protéger. Ensuite, on a la partie serveur, la partie serveur, on va dire, c'est le
07:57terrain où est hébergé notre site, notre entreprise.
08:03En tout cas, de manière informatique.
08:07Ensuite, on va avoir une partie qui va être la partie réglementation, qui
08:11aujourd'hui est très importante.
08:14Cette réglementation, on va le voir, il y a des choses qui sont indispensables sur
08:17les sites web. Les choses indispensables, on le voit à l'écran, ce sont les
08:23mentions légales, le respect du RGPD avec notamment la politique de
08:28confidentialité, toute la notion de consentement autour des cookies et
08:34là, c'est plus concernant éventuellement les boutiques, tout ce qui est conditions
08:37générales de vente, conditions générales d'utilisation, etc.
08:40Et le dernier point, c'est le point technique, finalement, c'est tout ce qu'on
08:44va mettre finalement sur ce serveur, cet hébergement.
08:48Donc, c'est la partie fichier, la partie outils, c'est la partie qui va
08:52permettre à l'internaute par la suite de voir les informations que vous voulez lui
08:56proposer. Donc, c'est l'outillage, ça peut être du WordPress, du Drupal, du
09:01Joomla, du Wix, tout ce que vous voulez.
09:06Quand vous avez ces outils-là, souvent, vous avez des extensions, c'est les petits
09:09services que vous allez vouloir mettre, qu'on peut appeler aussi plugin, la notion
09:14de template. Le template, c'est la partie graphique, finalement, du site, c'est
09:19l'habillage. Et puis, on peut avoir des statistiques, on peut avoir des
09:23formulaires, enfin voilà, c'est les services qu'on peut avoir.
09:26Donc, voilà, j'ai découpé en quatre phases pour effectivement bien pouvoir
09:31vérifier, en fait, ces quatre éléments.
09:37Donc, le premier élément, c'était la partie nom de domaine.
09:40Pourquoi c'est important de vérifier ça?
09:43Comme je vous le disais tout à l'heure, c'est la porte d'entrée, on va dire
09:47plutôt le SASS qui permet de rediriger, finalement, vers tel ou tel service.
09:53Le service principal étant le site Internet.
10:01La vérification autour du nom de domaine, pourquoi c'est important?
10:04Comme on vient de le dire, c'est un SASS qui permet de rediriger, finalement,
10:10il faut y faire très, très attention parce que si on ne fait pas, on peut perdre
10:15son nom de domaine. Ça, c'est arrivé à plein de gens et ça arrive encore de temps
10:20en temps. Si on ne renouvelle pas, finalement, son nom, on peut perdre le
10:24nom et tout ce qui va derrière.
10:27Et de la même manière, si on arrête un nom, il faut faire attention d'avoir
10:30bien démantelé tous les services qui sont derrière un nom de domaine avant
10:33d'arrêter son nom.
10:36On peut aussi se faire cyberattaquer dans le sens où le fait de connaître
10:42tous les réglages qu'il y a dans le nom de domaine peut permettre à un attaquant
10:45de connaître et de savoir où aller chercher les failles et où aller attaquer,
10:51voire de mal orienter aussi vos utilisateurs si les réglages du nom ne sont pas très
10:55bien faits.
10:57Donc, après, concrètement, voilà.
11:00Donc, cette présentation, en fait, elle va, comme je vous disais, il y a quatre
11:07grandes parties, en fait.
11:09Une partie introductive, comme je viens de le faire, et ensuite quelques liens.
11:14Donc, après, je vous invite à revoir éventuellement le replay pour récupérer le
11:18lien si vous n'avez pas eu le temps de tous les noter.
11:21Sur la présentation, les liens sont, on va dire, complets.
11:26Après, vous avez juste à les ressaisir tels quels et ils vous amèneront vers le
11:30site.
11:32Donc, en même temps, voilà, là, je passe sur mon navigateur,
11:37donc ici.
11:40Et pour faire les tests, en fait, je vais utiliser deux sites.
11:42Je vais utiliser mon site principal de ma société, NumAction, et puis un site
11:47test que j'ai mis en place assez rapidement et que je vais démanteler aussi assez
11:52vite parce qu'il y a quelques failles de sécurité.
11:55Mais c'est pour vous montrer.
11:58Si je reviens ici, voilà, à vérifier concernant la partie nom de domaine
12:03sont toutes les informations, en fait, d'enregistrement, donc date d'expiration,
12:08les données d'enregistrement et savoir si on est bien propriétaire.
12:12Alors, comment on fait ça? On peut utiliser un site comme celui-ci
12:18et on va tester directement, par exemple, avec
12:23ce nom de domaine là.
12:25Alors, le nom de domaine, ici, on voit, je suis obligé d'enlever un certain nombre
12:29d'éléments derrière pour ne garder que la partie nom.
12:32Ici, le nom, c'est MySupport.fr.
12:34Donc, je lance, j'appuie sur le bouton et derrière, après,
12:41ça me donne toutes sortes d'informations.
12:43Alors, la difficulté avec ces outils, c'est que les informations, il y en a
12:47partout et il faut savoir où chercher.
12:48C'est pour ça que j'ai essayé de prendre des outils qui ne sont pas très
12:52compliqués et qui ne fournissent pas trop d'informations pour pouvoir aller voir.
12:58Donc, quand je vous disais la date d'expiration, on va la trouver ici.
13:03C'est dans cette partie-là.
13:06Donc là, on voit que la date d'expiration, elle est l'année prochaine.
13:11Donc, en principe, votre hébergeur va vous dire systématiquement, quelques
13:18mois avant, quelques semaines avant, vous rappelez que vous avez un nom de
13:21domaine à renouveler. Sinon, moi, ce que je fais aussi, c'est que sur les noms
13:25que j'ai, je le mets dans mon calendrier avec des tâches récurrentes par année
13:29pour éviter d'oublier.
13:33Voilà, vous avez aussi un truc ici, update, c'est chaque fois que vous faites
13:38des modifications sur votre nom, que vous ajoutez un nouveau service, ça va
13:41mettre à jour. Les informations qui sont aussi importantes, c'est ici la partie
13:47registrant. Le registrant, c'est le propriétaire et il faut vérifier après
13:54qu'on est bien propriétaire.
13:55Alors ici, on ne le voit pas puisque j'ai masqué les informations à
14:00l'enregistrement, mais si vous allez sur votre hébergeur ou si vous demandez
14:04à votre prestataire qui est le registrant, ça vous permet de vérifier que vous
14:09êtes bien propriétaire de votre nom de domaine.
14:12Ça, c'est important parce que, notamment dans les années précédentes, on pouvait
14:16voir que c'est, on va dire, le prestataire Internet qui déposait le nom et
14:22souvent, ça arrivait qu'il le dépose en son nom propre, donc au nom de
14:28l'entreprise web et pas au nom de l'entreprise qui faisait la demande.
14:31Donc, il est bien important de vérifier ça et de temps en temps, chez certains
14:36clients, je vois que ce n'est pas le cas et donc, il vaut mieux maîtriser, en
14:41fait, tous ces éléments-là.
14:47Ça, c'est pour la partie de vérification sur le nom et les premiers éléments.
14:52Donc, pour le protéger, c'est très facile, souvent, c'est une case à cocher
14:58sur, voilà, si vous êtes chez OVH ou autre hébergeur, souvent, c'est juste une
15:03case à cocher pour masquer et protéger les éléments.
15:07Ensuite, il y a deux petits services qui sont intéressants aussi pour vérifier les
15:12noms autour de votre nom de domaine.
15:15Par exemple, si je prends ici numaxion.fr, donc qui est mon domaine,
15:22et que je fais une recherche avec cet outil-là, NameCheck, ça me permet de voir
15:27s'il y a des noms connexes qui ont été déposés.
15:37Ici, ce que je peux voir, c'est que j'ai le .com qui a été déposé, ça, c'est
15:40normal, c'est moi qui l'ai fait, j'ai un .photo, alors ça, il faudra que je
15:43vérifie parce qu'il y a aussi des faux positifs, donc il faut vérifier de temps
15:47en temps. Un .tattoo, un .sexy, bon, voilà, ça, souvent, c'est des faux
15:52positifs, mais l'important, c'est les principaux noms qui sont à vérifier,
15:56notamment pour voir si d'autres personnes ont pu déposer des noms
16:00connexes et si c'est le cas de pouvoir les vérifier ou de les suivre pour voir
16:05qu'il n'y ait pas de contenu qui ressemble, qui soit mis en place.
16:10Un autre outil qui est vraiment intéressant autour de ça, c'est celui-ci,
16:16c'est DNS Twist.
16:19Pareil, il permet, alors lui, il ne va pas regarder les extensions, il va regarder
16:23juste les combinaisons qui sont proches.
16:26Donc là, j'ai le numaxion.fr, j'ai celui.com et je vais avoir aussi, je vais
16:31grossir un petit peu, je vais avoir aussi des choses avec numaxion.xion.fr
16:38ou des choses comme ça. Donc ça, c'est des choses que moi, je vais vérifier,
16:42ces trois éléments-là, je vais vérifier, voir s'il n'y a pas des choses qui
16:47pourraient être posées dessus et qui pourraient ressembler aussi à du phishing.
16:51Et donc, de temps en temps, régulièrement, il faut aller voir s'il n'y a pas des
16:56nouveaux noms qui sont déposés et de voir aussi les services qui tournent
17:00derrière, qu'est-ce que c'est.
17:05Donc, je vais revenir à ma présentation.
17:08Dans les tests que vous pouvez faire aussi, c'est de tester avec ou sans 3W.
17:16Je vais revenir, par exemple, sur ce site et tester avec ou sans 3W pour voir
17:21si tout est OK.
17:24Parce que si jamais vous avez des gens qui tapent avec, voilà, ils ont votre
17:29nom de domaine et puis qu'ils tapent avec les 3W, que ça puisse bien rediriger
17:33sur votre site. Et parfois, ce n'est pas le cas.
17:35Donc, vous perdez, vous pouvez perdre en fait des internautes par ce biais-là.
17:43Un autre élément aussi que vous pouvez vérifier, c'est la protection ici du
17:50domaine. Donc, vous avez un petit outil qui permet de vérifier si vous avez
17:55activé ou pas la notion de DNSSEC.
17:59Alors après, peu importe ce que c'est, c'est juste la sécurisation, une
18:03sécurisation un peu plus poussée de votre nom de domaine et de la façon
18:08dont il est mis en place.
18:10Donc après, souvent aussi, c'est juste une case à cocher chez votre hébergeur.
18:16N'hésitez pas à le faire, ça ne prend pas beaucoup de temps, mais ça permet de
18:20monter le niveau de sécurisation.
18:22Toutes les petites choses que je vous montre aujourd'hui, en fait, c'est plus ou
18:27moins des petits éléments, mais qui, mis bout à bout, font qu'on crée
18:33en fait tout un tas de petites failles et un ensemble de petites failles,
18:40finalement, ça fait quelque chose de beaucoup plus important.
18:44Et de suivre ça régulièrement, ça ne prend pas beaucoup de temps, mais ça vous
18:48permet finalement d'avoir quelque chose qui est robuste et sur lequel vous pouvez
18:57compter.
18:59Alors ensuite, dans les éléments, une chose aussi que vous pouvez regarder,
19:07c'est, hop, je reviens sur mon slide, c'est les réglages de messagerie.
19:12Alors ça, vous pouvez ne le faire que, enfin, principalement, le plus facile,
19:16c'est d'aller voir sur votre hébergeur dans justement la gestion de ce qu'on
19:20appelle les DNS et de savoir si vous avez des enregistrements SPF, des KIM,
19:27des marques.
19:28Alors, je ne vais pas détailler ça parce que c'est assez compliqué, mais ce sont
19:33des éléments qui vont permettre de rendre votre messagerie beaucoup plus
19:38sécurisée et surtout de permettre aussi une meilleure délivrabilité de vos
19:43messages.
19:44Ça, ça veut dire quoi ?
19:45Ça veut dire que quand vous écrivez à Gmail, quand vous écrivez à Yahoo,
19:49etc., eux vont faire de plus en plus de vérifications pour être sûrs que la
19:56provenance du mail est légitime.
19:57D'avoir ces réglages de messagerie permettent de s'assurer et de rassurer,
20:04en fait, les Gmail, les Yahoo et tout autre destinataire que vous êtes bien
20:10légitime et que c'est bien vous qui envoyez les mails.
20:13Donc ça, c'est des réglages qui sont, par contre, un petit peu plus longs à
20:16mettre en place.
20:17Ça peut prendre plusieurs heures pour mettre ça bien en place correctement.
20:22Et sur les sous-domaines, le dernier point, c'est les sous-domaines.
20:27Les sous-domaines, c'est important parce que derrière, il peut y avoir tout un
20:34tas de services qui sont derrière.
20:42Alors là, je vais le faire, par exemple, c'est la seule fois où je ne vais pas
20:46utiliser mes propres noms de domaine pour le faire parce que je n'ai pas beaucoup
20:49de sous-domaines finalement hébergés derrière.
20:51Mais là, je vais prendre, par exemple, Dijon.fr et je vais lancer la recherche
20:56avec ce petit outil qui est limité, c'est-à-dire que je ne peux pas voir l'ensemble
21:00des sous-domaines, mais qui me permet déjà de voir un certain nombre d'éléments.
21:05Après, quand vous allez sur votre interface de gestion de votre hébergeur, vous pouvez
21:11voir tous ces éléments.
21:12Donc là, si je prends, par exemple, le site Dijon.fr, je peux voir qu'il y a 49
21:17sous-domaines et souvent derrière un sous-domaine, c'est un service.
21:21Donc derrière, à chaque fois, il va falloir vérifier l'ensemble de ces services qui
21:26sont toujours utilisés.
21:28Si ce n'est pas le cas, il faut supprimer l'entrée à ce sous-domaine.
21:35Ça, ça se fait au niveau du réglage du nom de domaine et ça, c'est aussi important
21:39parce que derrière, ça veut dire qu'on effectue vraiment un suivi de tout ça.
21:46Et si on ne le fait pas, on peut se retrouver avec, et c'est souvent le cas, avec des
21:51services qui sont obsolètes ou des services de test, mais qui sont toujours actifs.
21:56Et sur les plus grosses structures, en fait, quand moi je réalise ces tests, je tombe
22:02sur des vieux sites, sur des espaces de test et qui ne sont pas protégés et qui vont
22:08permettre, voilà, moi, si j'étais pirate informatique, ça me permettrait finalement
22:12de pouvoir rentrer dans l'entreprise et récupérer éventuellement des informations.
22:17Donc ça, c'est vraiment important de faire attention à ces sous-domaines.
22:20Donc ça, c'est des outils qui permettent de voir ce qu'il existe depuis l'extérieur,
22:25mais vous, depuis l'intérieur, depuis votre hébergement, vous avez possibilité de voir
22:29tout ça beaucoup plus facilement.
22:32Un autre outil que j'ai mis sur la slide, c'est urlscan.io.
22:39Cet outil-là, il est plus complet, mais il est aussi plus complexe parce qu'il foisonne
22:43d'informations. Mais si après, vous êtes un petit peu plus technophile, vous pouvez
22:47l'utiliser et le lancer parce qu'il donne beaucoup d'infos et c'est vraiment utile.
22:56Alors, ça va être utile pour les pirates informatiques parce qu'ils vont pouvoir avoir
22:59tout un tas d'informations.
23:01Mais vous, pour vérifier aussi de votre côté, ça peut vraiment être intéressant.
23:11Après, voilà, le problème, c'est qu'il faut un petit peu de temps pour scanner.
23:14Mais je ne sais pas si vous avez déjà des questions sur cette première partie de
23:17nom de domaine qui est finalement assez complexe.
23:22Mais moi, je vous engage à vérifier tous ces éléments-là et si jamais vous avez un
23:27des éléments sur lesquels vous avez des doutes ou sur lesquels vous n'avez pas la
23:31main, c'est vraiment de revenir soit vers votre hébergeur, soit votre prestataire web,
23:39soit vers quelqu'un qui saura vous aider et vous guider pour bien mettre les réglages
23:44en place. Donc là, par exemple, sur urlscan, on a toute une page statistique intéressante
23:52parce que ça va vous donner quelques infos.
23:54Alors à chaque fois, les infos, il faut les croiser, mais sur les sous-domaines, sur les
23:58cookies, il y a pas mal d'onglets ici que vous pouvez aller voir et qui donnent des
24:05informations. Voilà, donc ça, c'était sur la partie, en fait, nom de domaine.
24:12Je vais te couper, Guillaume, on avait une petite question, donc j'invite la personne
24:17à poser la question.
24:19Oui, du coup, Guillaume, est-ce que, par exemple, si on identifie, on fait un petit
24:27check-up au niveau des services dans les sous-domaines, qu'on voit qu'il y en a, est-ce
24:32qu'on peut demander, du coup, à l'hébergeur de supprimer ça ? Est-ce que ça fait partie
24:36de ses prérogatives ou pas ?
24:40Non, l'hébergeur, il met à disposition les services, c'est à vous de les supprimer.
24:45Alors, il faut savoir que quand vous prenez un nom de domaine et que vous l'hébergez
24:50chez un hébergeur, il va créer par défaut tout un tas de services.
24:54Donc, les services qui sont existants par défaut, ceux-là, il ne faut pas les toucher
24:59parce que c'est des services qui vont être liés à la messagerie, qui vont être liés
25:04à des redirections.
25:05Donc, ça, voilà, il ne faut pas y toucher.
25:08En fait, ce qu'il faut vérifier, vraiment, c'est les services qu'on va rajouter,
25:13qu'on va rajouter au fil du temps, et ces services-là, il faut vérifier qu'ils soient
25:21toujours actifs, qu'ils soient toujours d'actualité, par exemple, et pas obsolètes.
25:27Parce que c'est souvent ça, le problème, c'est qu'on crée des espaces de test, moi
25:33le premier, et puis derrière, après, ce test, on n'y touche plus et on ne met pas
25:39à jour les services qui sont derrière.
25:41Et on crée en fait des failles de sécurité, finalement, sur son hébergement et derrière,
25:47potentiellement, sur les autres services qui, eux, sont légitimes et sur lesquels
25:50il y a plein de choses.
25:51D'accord, mais du coup, ces services, il y a un endroit sur l'hébergeur où on peut
25:57supprimer ces services-là, en tout cas, c'est là-dessus qu'on va pour les supprimer ?
26:02Oui, oui, tout à fait.
26:03D'accord, ok, merci.
26:05Après, c'est pareil, quand vous avez un doute, essayez surtout, parce que là, en
26:11fait, on va dire que c'est comme l'ébranchement sur une prise électrique, si vous débranchez
26:18un truc qu'il ne faut pas, derrière, tout le service derrière peut tomber.
26:22Donc ça, il faut faire attention, tout ce qui est, enfin voilà, si vous voyez des choses
26:27avec du MX quelque chose, ça c'est toute la partie messagerie, donc il ne faut surtout
26:30pas toucher.
26:31Donc voilà, bien faire attention à ça et si vous voulez faire du nettoyage, faites
26:38appel à quelqu'un qui sait faire, au moins pour vous indiquer, et après, vous faites.
26:42Et bien sûr, on fait des sauvegardes avant, parce qu'on peut aussi faire des sauvegardes
26:49sur ces parties-là, la partie, on va dire, gestion de nom, gestion des services, d'ébranchement,
26:57c'est juste un petit fichier texte derrière, finalement.
27:00Donc voilà, on fait des sauvegardes et si jamais il y a quoi que ce soit, on peut restaurer
27:03la sauvegarde.
27:05Donc je continue, la partie serveur, la partie serveur, en fait, c'est, si je reprends l'analogie
27:14avec tout à l'heure ma maison, là, ça va être le terrain, ça va être les fondations.
27:22Donc ça, c'est pareil, c'est important de faire des vérifications, parce que derrière,
27:28il y a la possibilité aussi de se faire cyberattaquer par ce biais-là, et possibilité
27:32aussi que le site ne fonctionne pas bien, si jamais on n'y fait pas attention.
27:36En principe, cette partie-là, elle va être gérée par votre hébergeur, pour beaucoup.
27:42Donc, là-dessus, on va déléguer une partie de la sécurisation, mais pas tout.
27:48Donc, les choses qu'on peut vérifier, c'est tout ce qui concerne, finalement, les certificats,
27:58même si, finalement, l'hébergeur propose des services assez facilement et rapidement.
28:04Souvent, c'est aussi des cases à cocher, mais vous pouvez effectivement vérifier ces
28:10éléments-là.
28:11Alors, pour vérifier, vous avez un petit outil qui s'appelle SLCL Lab, et qui vous
28:16permet de vérifier, voilà, si vous êtes dans le vert.
28:18Après, vous n'avez pas besoin forcément de vérifier les aspects pratiques, techniques,
28:22il faut juste regarder si la note est forte, et si vous êtes dans le vert.
28:28Donc, comme ça prend un petit peu de temps, je l'ai testé sur mon site de test, sur mysupport.fr.
28:34Donc, là, c'est géré par mon hébergeur, je vois que je suis en A+, partout, donc voilà,
28:42ça suffit.
28:43Ce que vous pouvez tester aussi, c'est HTTP, HTTPS.
28:50La plupart, enfin, tous les sites aujourd'hui sont en HTTPS, mais il arrive parfois que
28:55certains sites soient en HTTP.
28:57Donc, on peut vérifier ça quand on va sur un site, je reprends mon site de test, j'enlève
29:05le S, et je lance la requête pour voir si c'est OK.
29:10Donc, normalement, si tout est OK, ça doit bien rediriger sur mon site en HTTPS, donc
29:17le S pour sécuriser.
29:18Donc, ça c'est important aussi, parce que si vous ne le faites pas, certains navigateurs,
29:23comme la plupart des navigateurs, mettront un message d'alerte comme quoi il y a une
29:26faille de sécurité, donc ça n'incite pas l'internaute à passer outre.
29:30Et puis, si je prends, voilà, mon antivirus, par exemple, lui, il va me mettre un gros
29:35warning et il va m'empêcher, autant que possible, d'aller sur ce site parce qu'il ne sera pas
29:41en HTTPS.
29:42Voilà, donc ça, c'est des petites choses aussi à vérifier.
29:45Vous avez aussi un outil de chez Mozilla.
29:50C'est celui qui fait Firefox, Thunderbird, qui permet de voir au niveau des réglages
29:55serveurs si vous avez monté ou pas le niveau de sécurité.
29:58Donc là, c'est pareil.
30:01Je les ai lancés en avance parce que le scan, des fois, il peut prendre quelques minutes.
30:16Donc, l'interface ressemble à ça.
30:19Là, je l'ai lancé sur mon site de test sur lequel je n'ai pas fait de réglage du tout.
30:24Donc, c'est les réglages par défaut de mon hébergeur.
30:27Donc, ici, on voit que j'ai un score de D, 30 sur 100.
30:31Donc, le but, en fait, c'est de monter le plus possible le niveau de sécurisation sur
30:39la partie serveur.
30:40Donc, sur mon autre site, mon site d'entreprise, voilà, je suis à B+.
30:46Donc, on voit que là, je ne suis pas à A ou à plus parce que, petit à petit, j'essaye
30:51de monter, mais sans que ça n'influe sur les fonctionnalités du site ou sur le graphisme,
30:57etc.
30:58Donc, petit à petit, je prends du temps.
31:00Alors, on peut assez rapidement et facilement monter à C ou B, donc voilà, je vous invite
31:07avec quelques petits réglages, souvent, si vous utilisez du WordPress ou des outils comme
31:11celui-ci.
31:12C'est des petits plugins qui vous permettent de le faire assez facilement.
31:16Et ça, ça permet, voilà, de monter encore le niveau de sécurité et monter le niveau
31:22de sécurité, ça permet de mettre un maximum de bâtons dans les roues, finalement, des
31:27pirates informatiques.
31:28Vous avez aussi, vous avez ici des réglages au niveau de l'hébergeur sur lequel vous
31:36pouvez influer.
31:37Et c'est pareil, chaque fois que vous faites des changements, faites bien attention, soit
31:43vous passez par votre prestataire informatique ou par quelqu'un qui connaît, mais si vous
31:49ne connaissez pas, faites bien attention et au préalable, ayez bien fait vos sauvegardes
31:55avant de faire quoi que ce soit, que ce soit sur les noms de domaines, que ce soit sur
31:58les serveurs, même si c'est des cases à cocher, on fait bien attention.
32:03Donc, la version serveur, ça c'est directement l'hébergeur qui va gérer ça, donc on ne
32:12va pas pouvoir influer dessus.
32:14Par contre, la notion de version PHP, qui est un des langages les plus utilisés sur
32:21les serveurs web, en tout cas sur les sites vitrines, les boutiques, ça aujourd'hui,
32:29vous pouvez faire des réglages.
32:32Si vous allez dans votre interface, vous verrez que les versions, souvent ça va être
32:387.4, 8.0, 8.1, 8.2, 8.3.
32:41Aujourd'hui, c'est les versions qui sont les plus utilisées, mais 7.4 et 8.0, par
32:47exemple, sont obsolètes.
32:49La 7.4, elle est depuis un petit moment.
32:51Donc après, il faut arriver à monter de version.
32:56Alors souvent, chez l'hébergeur, ça prend moins d'une minute.
32:59Par contre, il faut s'assurer que derrière, le site soit en capacité de le faire et que
33:04vous puissiez revenir en arrière.
33:06Et puis sinon, sur les hébergeurs aussi, vous avez un certain nombre de sécurité
33:10que vous pouvez activer.
33:11Pareil, souvent, c'est en un clic, le firewall ou des outils de ce type-là.
33:17Je vous invite à les activer, tester pour voir si votre site continue à bien tourner
33:22et si c'est OK, vous laissez le maximum de sécurité activée en place.
33:28Et bien sûr, on fait très, très attention aux sauvegardes.
33:32Donc, l'hébergeur propose des sauvegardes, mais souvent, il faut aller un petit peu plus
33:37loin que ça parce que les sauvegardes qui sont proposées vous permettent la plupart
33:40du temps de remonter à une semaine.
33:44Donc, si vous voulez un peu plus, si vous voulez être plus serein, vous pouvez mettre
33:50en place des stratégies qui vous permettent d'avoir une durée un petit peu plus longue,
33:56soit en rapatriant régulièrement les sauvegardes.
34:01Après, c'est des choses qui aussi se travaillent avec votre prestataire informatique.
34:12Ensuite, si vous avez des questions, n'hésitez pas, sinon je passe à la partie réglementaire.
34:19Alors, sur la partie réglementaire, pourquoi c'est important de faire ces vérifications?
34:25Parce que c'est obligatoire.
34:27Donc là, vous n'avez pas le choix, en fait.
34:30La partie réglementaire, vous devez vous y conformer.
34:33Sinon, le risque, en fait, c'est des amendes.
34:38Donc, comme je vous l'ai dit, en fait, les choses qui sont à vérifier, c'est d'avoir
34:46bien les mentions légales.
34:48Donc, les mentions légales sont obligatoires et c'est obligatoire depuis un très grand
34:52nombre d'années.
34:53D'avoir une politique de confidentialité, de protection des données en place sur son
34:58site.
34:59Alors, à partir du moment, de toute façon, où vous mettez un formulaire, que vous avez
35:04un mail de contact ou des choses comme ça, que vous avez des cookies, c'est obligatoire
35:12de le mettre sur son site.
35:14Donc, après, je vous ai mis sur les slides des liens qui vous permettent de vérifier,
35:21en fait, ce qu'il faut regarder.
35:23Donc, là, si je prends le premier sur les mentions légales, vous avez ici tout ce qu'il
35:30faut mettre.
35:31Alors, souvent, sur les sites, on voit que les mentions légales sont présentes, mais
35:37incomplètes.
35:38Parce qu'il va manquer les éléments, notamment si on est en société.
35:43Voilà, il y a des choses à mettre.
35:45C'est la dénomination sociale, la forme juridique, le capital social, l'adresse et une adresse
35:50de courrier.
35:51Bon, après, il y a tout un tas de choses derrière, mais déjà, mettre tout ça.
35:55Et souvent, enfin, c'est pas souvent, c'est régulièrement, c'est absent ou il manque
36:00un élément.
36:01Donc, si on veut être en règle avec la loi, il faut mettre tous ces éléments-là en
36:05place.
36:06Sur la politique de confidentialité.
36:10Donc, à partir du moment, comme je vous ai dit, vous avez un formulaire, des choses
36:13que vous manipulez de la donnée, que vous récupérez de la donnée de vos internautes,
36:18eh bien, il faut mettre cette politique en place avec toutes les informations.
36:23Vous devez informer votre internaute sur ce que vous collectez, comment vous le collectez,
36:31combien de temps vous le collectez, ce que vous en faites, est-ce que vous l'envoyez
36:35à des tiers, etc.
36:36Donc, après, je vous invite à aller voir le site de la CNIL qui est très, très bien
36:41fait, avec beaucoup, beaucoup d'informations.
36:43Avec le moteur de recherche, on retrouve assez facilement.
36:46Là, je vous ai mis un lien vers des exemples de mentions d'informations que vous pouvez
36:51mettre, par exemple, sur votre site, sur votre boutique.
36:53Donc, voilà, il faut bien y faire attention et ça, c'est obligatoire.
36:57Aujourd'hui, la CNIL fait des vérifications essentiellement sur la base de plaintes ou
37:03sur des gros sites, mais de plus en plus, ils vont commencer à aller voir des sites
37:07plus petits.
37:08Donc, il est important de se mettre en conformité et ça permet d'avoir aussi un recul sur les
37:14données qu'on utilise.
37:17Par exemple, pour moi, j'ai supprimé tout un tas de choses qui n'étaient pas nécessaires.
37:23Enfin, voilà, les statistiques, moi, je m'en sers très peu.
37:28Le formulaire, finalement, un simple lien mail me suffit.
37:33Voilà, toutes sortes de choses à vérifier et prendre aussi un petit peu de recul sur
37:40ce qu'on met en place.
37:42Et sur le consentement aussi pour les cookies, il faut aussi vérifier ce qu'on a comme cookies
37:49et ça, ce n'est pas évident.
37:51Et donc, vous avez des outils.
37:53Là, je vous en ai mis un, par exemple, qui permet d'aller vérifier.
37:57Sinon, il y a celui de tout à l'heure que je vous ai donné, là, qui s'appelle URL Scan,
38:03mais après, il faut savoir où aller chercher les informations.
38:06Donc, sur ce petit site Cookie Yes, là, par exemple, il va aller scanner votre site et
38:11puis regarder éventuellement les cookies que vous pouvez avoir.
38:14Donc là, sur mon site de test, là, j'en ai un.
38:17Donc, voilà, il est important aussi que je mette en place tout ce qu'il faut pour demander
38:21le consentement sur les cookies.
38:23Et ce qu'on voit, c'est que sur certains sites, soit il n'y a pas de consentement,
38:27soit il y a un consentement, mais qui est un peu biaisé.
38:31C'est-à-dire qu'on dit qu'il y a des cookies et c'est tout, en fait.
38:39Donc, le bandeau, non, il faut vraiment que la personne dise j'accepte ou je refuse les cookies,
38:45mais pas de dire il y a des cookies pour le bon fonctionnement du site et c'est tout.
38:51Et donc, ça, c'est à vérifier.
38:54Vous avez un petit site que vous pouvez tester qui s'appelle, ici, Bizoscore,
38:59qui vous permet, alors il ne vous donne pas d'informations, mais il va vous dire si vous êtes bien ou pas bien.
39:05Et si vous mettez l'adresse de votre site web, il va vous donner une note sur,
39:17par exemple, si je mets mon site l'animaction, en termes de sécurité, je suis sur B+,
39:21là, c'est lié aux petits réglages serveurs qui ne sont pas encore au plus haut.
39:26Mais bon, je suis quand même dans le vert et sur la partie privacy, ici,
39:31donc réglementation, RGPD, etc.
39:33Donc, là, je suis en A+, parce que j'ai mis tout en place pour bien le faire.
39:37Donc, ça, vous pouvez tester aussi.
39:39Ça vous donne juste une idée et après, il faut retravailler tout ça.
39:45Donc, voilà, sur la partie réglementation, je vais assez vite,
39:52mais après, voilà, le temps tourne, là, je dois déjà être en dépassement.
39:57Et pour arriver sur la dernière partie,
40:01donc, ici, sur les technologies et les services.
40:07Donc, ça, c'est pareil, c'est important, parce que, en fait, ça va être toute la mécanique,
40:12ça va être, finalement, la construction de la maison, les murs, les fenêtres, les portes,
40:17les serrures, tout ce qu'on va mettre autour du site.
40:26Voilà, donc, c'est ça, en fait, que les pirates informatiques vont aussi tester,
40:30c'est de regarder s'il y a des failles, si c'est à jour ou pas,
40:34et s'il y a des données qui sont susceptibles d'être intéressantes à voler.
40:40Donc, en termes de risque, si vous vous faites pirater votre site,
40:45les risques, c'est quoi ? C'est que votre site soit utilisé à des fins malveillantes,
40:49pour du phishing, par exemple.
40:51Ça ne sera pas forcément visible, ça sera dans un petit dossier bien caché,
40:55donc votre site va continuer à tourner, en fait,
40:57mais derrière, vous pouvez avoir des services hébergés
41:00qui ne sont pas du tout ce que vous avez installé,
41:04et qui vont tourner à votre insu.
41:07Ça, c'est un risque si jamais votre site n'est pas protégé.
41:11Qu'est-ce qui peut se passer aussi ?
41:13C'est que vous ayez tout un tas de liens, par exemple, sur Google ou sur Bing,
41:17qui renvoient vers des sites malveillants,
41:21pareil, sans que vous le sachiez trop.
41:23Que vous fassiez voler votre base de données,
41:26donc c'est ce qui est arrivé il n'y a pas très longtemps,
41:28Boulanger, Divia, etc.,
41:30avec toutes nos données, finalement, utilisateurs dans la nature.
41:34Et vous pouvez aussi avoir ce qu'on appelle un site défiguré.
41:37Défiguré, ça veut dire quoi ?
41:39Ça veut dire que le pirate informatique va rentrer sur votre site,
41:45et il va modifier certaines pages pour faire passer un message,
41:50ou souvent c'est pour faire passer un message.
41:57Donc voilà, il faut y faire très attention à tout ça.
42:02Alors ça, il y a moins d'outils pour vérifier,
42:06et ça va être plus vous, en arrière-plan,
42:08à aller voir ou à faire les vérifications avec votre prestataire internet,
42:14votre prestataire de site.
42:16Sur l'utilisation, en fait, d'outils,
42:20vous avez un truc qui s'appelle WhatCMS,
42:23qui permet de détecter, finalement, ce que vous avez comme site.
42:27Là, par exemple, si je prends mon site ici,
42:31et que je mets là-dedans,
42:35j'ai juste à cliquer,
42:37et il va me dire que j'ai un site, c'est du WordPress,
42:40qui est un des outils les plus utilisés aujourd'hui,
42:44et dans sa version 6.3.1.
42:46Après, ça ne va pas forcément vous parler,
42:50mais si vous faites remonter cette information,
42:54vous allez vite voir que 6.3.1, ce n'est pas du tout à jour.
42:58Aujourd'hui, on est à 6.6.2.
43:00Donc, ça fait un gros, gros écart.
43:03Ça, ce n'est pas facile à voir non plus,
43:05si on n'est pas dans le milieu,
43:07mais voilà, ça fait des gros écarts.
43:09Un pirate informatique, en fait, il va regarder ça,
43:13il va regarder si c'est à jour ou si ce n'est pas à jour.
43:16Moi, si je vois ça, et que je suis pirate,
43:18qu'est-ce que je fais ?
43:19Je vais regarder s'il y a des failles de sécurité,
43:22avec d'autres outils.
43:23Et s'il y a des failles de sécurité,
43:25est-ce qu'il y en a qui sont suffisamment fortes
43:27pour que je puisse rentrer finalement dans le site,
43:29dans l'arrière-boutique du site ?
43:31Voilà.
43:32Et c'est ce cheminement-là qui est important de stopper.
43:36Donc ça, c'est un outil,
43:39ce que je vous montre là à l'écran,
43:41c'est un outil qui permet de détecter,
43:42mais après, de votre côté,
43:44il faut mettre à jour impérativement vos sites,
43:48que ce soit du Joomla, du Drupal,
43:52tous les outils qui existent sur le marché,
43:58il faut les mettre à jour.
44:02Et ça, c'est pareil sur tout ce qui est extensions,
44:05parce que ce n'est pas parce que vous mettez votre WordPress à jour
44:08que tout va être à jour non plus.
44:10Si vous utilisez des extensions,
44:12donc des services,
44:13pour mettre en place des statistiques,
44:15des formulaires, des choses comme ça,
44:17et bien tout ça, c'est à mettre à jour aussi.
44:20Et ça, c'est important.
44:24Donc vous avez des outils de type site comme ça,
44:26mais vous avez aussi des outils de type extension ici.
44:29Donc là, vous voyez que j'en ai quelques-unes sur mon navigateur.
44:32Ces extensions-là, soit elles me servent à me protéger,
44:35soit elles me servent à récupérer de l'information.
44:38Donc là, j'ai des informations, par exemple,
44:40ici sur les cookies,
44:42mais sinon, pour ce qui me concerne là,
44:46ce petit plugin-là qui s'appelle WebAlizer
44:49me donne des informations finalement sur le site assez vite.
44:54Donc là, quand je suis dessus,
44:55il me donne aussi les informations
44:57sur le fait que je suis en WordPress 6.3.1.
45:01Et il va me donner des informations aussi sur ce que j'ai mis.
45:04Donc là, j'avais mis quand même un petit plugin sécurité
45:07pour éviter de me faire pirater avant la démonstration,
45:12avec la version ici.
45:13Donc voilà, j'ai tout un tas d'informations.
45:15Alors, ce n'est pas forcément évident à lire,
45:18mais au moins sur ça,
45:23c'est juste une façon après de vous amener
45:26à aller sur votre interface de gestion
45:28et de vérifier que tout est à jour.
45:30Ou alors de vous rapprocher de votre prestataire informatique
45:33pour être sûr que tout est à jour.
45:37Dans les outils à utiliser,
45:39vous pouvez utiliser aussi des outils comme Virus Total.
45:41Alors Virus Total, il vous permet de vérifier éventuellement
45:45des liens que vous pouvez recevoir sur votre mail,
45:48mais aussi de vérifier finalement votre site internet
45:53pour voir s'il n'est pas enregistré
45:58comme hébergeant des dispositifs malveillants.
46:02Donc là, on voit, la plupart du temps, ce n'est pas le cas.
46:04Mais c'est toujours bien de le vérifier de temps en temps.
46:08Dans les outils de vérification,
46:10ce que vous pouvez faire aussi, c'est utiliser Google et Bing,
46:13juste pour voir qu'est-ce qui est enregistré.
46:17Là par exemple, si je teste sur mon site NumAction,
46:21je ne fais pas sur le site de test
46:23parce qu'il n'y aura certainement rien qui va remonter,
46:26comme je l'ai mis en place il n'y a vraiment pas longtemps.
46:28Mais si je le fais, avec la requête site de point,
46:32là je vous ai mis les requêtes dans le slide avant.
46:37Donc site de point et puis le nom de domaine avec l'extension.
46:41Et là, on voit que j'ai uniquement les pages de mon site qui sont référencées.
46:48De vérifier, en fait, ça va permettre de voir
46:50s'il y a d'autres choses qui peuvent être référencées
46:53et des pages qui n'auraient rien à faire ici.
46:58Donc ça peut arriver.
47:00Moi, ça m'est arrivé par le passé sur certains sites.
47:04C'est qu'à un moment donné, un pirate informatique rentre sur un site
47:08et après, derrière, vous vous retrouvez avec des pages indexées dans Google ou dans Bing
47:13qui font la promotion de services de type Viagra, Casino, etc.
47:18Donc voilà, ce sont des pages de redirection,
47:21mais qu'il est important de nettoyer.
47:24Et puis surtout, après, il va falloir nettoyer aussi la base de Google et la base de Bing.
47:29Donc Bing, c'est la même chose.
47:31Site de point et le nom de domaine.
47:34On envoie et on regarde ce qui ressort.
47:37Donc ça, il faut le faire de temps en temps pour voir s'il n'y a pas.
47:40Déjà, pour vous, en termes de référencement,
47:42ça vous permet de voir si toutes vos pages sont indexées correctement
47:45et ensuite de voir s'il n'y a pas d'autres pages
47:49qui ne devraient pas être indexées et qui le sont.
48:08Et derrière, après, c'est aussi vous vérifier
48:11et éventuellement, vous faites le ménage.
48:14C'est-à-dire que j'ai déjà vu sur certains sites
48:17des choses qui étaient indexées, qui étaient de l'ordre des pages de test.
48:21Par exemple, si vous utilisez des sites comme WordPress,
48:24vous pouvez avoir des pages de test.
48:26Si vous mettez une boutique en ligne, vous pouvez avoir des produits de test.
48:30Vous avez l'impression qu'ils sont masqués, mais en fait, ils ne le sont pas.
48:33Et après, vous pouvez les retrouver dans Google et dans Bing.
48:37Ça vous permet d'avoir une vérification aussi
48:40sur ce qui est indexé dans les moteurs de recherche.
48:44Dans les choses qui sont à vérifier,
48:48mais plus sur votre interface d'administration,
48:50ça va être si vous avez des outils de sécurisation.
48:55Là, c'est plutôt sur les outils de type WordPress, Drupal, etc.
49:02Utiliser un outil de sécurisation permet de renforcer,
49:06finalement, la sécurité du site et du serveur,
49:10mais de manière accompagnée.
49:12Parce que sinon, c'est assez compliqué de le faire à la main.
49:15Ça demande beaucoup de connaissances techniques
49:18et ces outils-là de sécurisation vous permettent d'être accompagnés
49:22et de monter la sécurité de vos sites.
49:25Et en plus, ça vous permet d'avoir aussi des statistiques.
49:27Parce qu'il faut savoir qu'un site web,
49:29finalement, il va être scanné, analysé en permanence.
49:33Et si vous mettez ces outils-là dans les rapports,
49:37j'ai 200, 300, 500 tentatives de connexion
49:45sur l'interface de gestion chaque semaine.
49:48Parce que derrière, ça scanne en permanence.
49:51Donc, il est important vraiment de le faire
49:53et c'est pour ça qu'il est important aussi de démanteler
49:55les services qui ne fonctionnent plus.
49:57Parce que si jamais ça scanne et que ça tombe sur un service
50:01qui est faillible, derrière, ça finira par rentrer.
50:05Et important aussi, c'est d'avoir sur votre interface de gestion
50:09des mots de passe forts.
50:10Ça, on vous le répète, mais je vous le répète aussi.
50:13Des mots de passe forts et une double authentification
50:16sur l'administration.
50:18Sur des outils comme WordPress, par exemple,
50:20ce n'est pas encore implémenté par défaut.
50:24Ça va l'être très bientôt.
50:26Mais sinon, si vous utilisez des outils de sécurisation,
50:29ils vous permettent de mettre en place la double authentification.
50:32Et ça, aujourd'hui, c'est vraiment un gros plus.
50:37J'ai beaucoup débordé.
50:41Là, j'arrive sur la fin.
50:43Donc, en rappel, c'est vraiment de vérifier tous les points,
50:47de corriger, améliorer et de revenir régulièrement.
50:51Et c'est pareil, quand on veut monter le niveau de sécurité,
50:54finalement, on fait déjà le plus évident.
50:57Et puis, petit à petit, on règle.
51:00Parce que, comme je vous ai dit, il y a des choses
51:02qui sont plus ou moins complexes.
51:04Mais l'important, c'est de toujours revenir dessus
51:08et de toujours passer un petit temps régulièrement.
51:11Moi, c'est pareil.
51:12Tous les trois mois, je me remets sur mon site
51:15et j'essaye de remonter sur mes sites
51:17et j'essaye de remonter le niveau de sécurisation.
51:19Par contre, quand je reçois des alertes de sécurité
51:21ou des alertes de mise à jour, ça, je le fais tout de suite.
51:24Et puis, en cas de problème,
51:28vous avez le C-CIRT, vraiment, qui est à votre disposition.
51:35Après, voilà.
51:36Et sur leur page, il y a un formulaire, le téléphone.
51:42Vous avez un souci, vous les appelez.
51:44Ils sauront vous conseiller si vous vous êtes fait pirater.
51:47Donc, ça, c'est pareil.
51:48C'est vraiment important de savoir que ça existe.
51:54Voilà, j'ai fini ma présentation.
51:56Je ne sais pas si vous avez des questions,
51:58si ça a été assez clair et pas trop technique.
52:02Sachant que quand je fais, moi, cet exercice pour mes clients
52:07ou sur des sites, je vais un peu plus loin que ça.
52:11Mais de toute façon, ça, c'est le minimum, on va dire, à faire.
52:16Et si le minimum est fait, c'est déjà un gros plus.
52:24Alors, on a eu juste deux petites questions
52:26qui sont venues en première partie.
52:30Donc, une des premières questions était,
52:33est-ce qu'il y a des solutions qui permettent d'automatiser
52:36un minimum les vérifications
52:38et est-ce qu'avec un système d'alerte, par exemple ?
52:43Après, vous avez certains de ces sites
52:45où vous pouvez vous enregistrer et finalement,
52:49s'il y a des changements, faire en sorte que ça remonte.
52:52Mais c'est assez compliqué d'automatiser tout ça.
52:57Ou alors, il faut passer par des services
52:59qui sont souvent payants, assez chers.
53:01Mais voilà, quand on veut essayer de se débrouiller,
53:04de faire gratuitement, ce n'est pas évident.
53:06Donc après, l'idée, c'est de passer plutôt sur des outils,
53:09finalement, un petit peu plus compliqués
53:11qui vont rassembler un maximum d'informations
53:14et d'avoir une vision, une visibilité rapide sur ces éléments.
53:20Là, par exemple, avec les petits plugins,
53:22là, avec deux plugins,
53:23ça me permet déjà d'aller beaucoup plus vite
53:25si j'utilise WebAnalyzer, par exemple.
53:30Et là, par exemple, j'ai un autre outil
53:32qui s'appelle DNSlytics
53:34qui me permet de voir les informations
53:36sur mon hébergeur et aussi sur mon nom de domaine.
53:40Mais après, tout ça, ça devient un petit peu plus technique
53:43et ce n'est pas forcément évident.
53:46Après, ça dépend du métier des uns et des autres.
53:50Souvent, ces analyses aussi, quand je les fais,
53:53j'ai un petit script qui me permet
53:55de lancer toutes les fenêtres d'un coup
53:57avec les paramètres qui vont bien
53:59et je gagne beaucoup de temps.
54:00Mais le côté manuel, finalement,
54:03va permettre de voir aussi des choses
54:05et de creuser, en fait, de tirer les fils,
54:08un peu comme le ferait des pirates informatiques.
54:11Sinon, effectivement, il existe des scans,
54:14mais les scans vont plutôt aller regarder
54:16les failles de sécurité
54:17et d'autres aspects un petit peu plus poussés.
54:20Là, on est vraiment sur les premières choses
54:23à faire, à vérifier sur un site.
54:29Et la deuxième question était
54:32« Est-ce qu'il est possible de cacher ces informations
54:34sur notre site web aux pirates informatiques ? »
54:36Après, ça dépend de ce qu'on veut cacher
54:38comme informations.
54:39Si c'est les informations sur le nom de domaine,
54:41oui, c'est facile.
54:43Souvent, c'est une case à cocher.
54:47Alors, ça dépend des hébergeurs,
54:50mais c'est une case un peu privacy.
54:53Certains hébergeurs, je crois,
54:55le font par défaut.
54:57Et ça va être juste masquer
55:00les informations du propriétaire.
55:05Donc, la plupart des hébergeurs proposent des choses
55:07et souvent, c'est une case à cocher.
55:16Je pense qu'il n'y a pas d'autres questions.
55:19Ok.
55:20Eh bien, en tout cas,
55:22faites le test sur vos sites,
55:24vérifiez.
55:25Et puis, s'il y a quoi que ce soit,
55:27revenez vers vos prestataires,
55:29revenez vers le CSIRT,
55:31vers des gens comme moi,
55:33sur la partie cybersécurité,
55:36pour éventuellement vous aider.
55:39Mais de protéger votre site,
55:41vous empêchez un maximum
55:46qu'il vous arrive des problèmes
55:49comme on les rencontre aujourd'hui,
55:51encore une fois,
55:52sur des sites comme Boulanger ou autres.
56:02Donc, il n'y a pas d'autres questions.
56:05On va pouvoir, du coup,
56:07clore ce webinaire.
56:09Ah, une petite dernière.
56:11Est-ce qu'il est possible de masquer les...
56:13Alors.
56:14Je ne sais pas si c'est une question...
56:16Voilà.
56:17Utiliser comme la version du CMS.
56:20Oui, ça n'a pas l'air d'être une question,
56:22mais c'est peut-être une observation.
56:24Oui, c'est effectivement le cas.
56:26Et les outils de sécurité
56:28permettent effectivement de le faire.
56:31Eh bien, merci, Guillaume,
56:33pour cette petite présentation.
56:35Merci à vous.
56:36Qui a été très intéressante.
56:39Et donc, le webinaire sera disponible
56:42sur notre chaîne Dailymotion
56:44à partir de lundi, je pense.
56:47Et n'hésitez pas à nous suivre sur LinkedIn
56:49ou vous inscrire à notre liste de diffusion
56:52pour avoir toutes les actualités
56:54du CSIRT Bourgogne-Franche-Comté.
56:56Merci.
56:57Merci à vous.
56:58Sous-titrage Société Radio-Canada