Comment sécuriser votre site web : les 10 recommandations de l’ANSSI

L’ANSSI met en garde sur la sécurité des sites web sous CMS

L’utilisation d’un CMS (content management system) est un moyen efficace pour créer et administrer un site web de manière fluide, sans nécessiter de connaissances poussées en programmation. Si certains sont particulièrement intuitifs et peuvent être pris en main en quelques minutes, d’autres requièrent davantage de maîtrise mais offrent des possibilités de personnalisation plus étendues. Leur popularité ne cesse de croître : en juin 2022, 45 % des sites web étaient alimentés par un CMS selon HTTP Archive, contre 40 % en 2019. Toutefois, l’utilisation d’un CMS nécessite d’être vigilant. En effet, ceux-ci sont fréquemment ciblés par les cyberattaques, en particulier les CMS les plus populaires, et les plugins qu’ils intègrent peuvent également présenter des menaces pour la sécurité.

Mais certaines bonnes pratiques peuvent vous aider à construire un site web via un CMS de manière sécurisée. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a ainsi publié un document répertoriant 10 bonnes pratiques à adopter pour la mise en œuvre sécurisée d’un CMS. Découvrez-les ci-dessous.

les 10 bonnes pratiques à adopter pour la mise en œuvre sécurisée d’un CMS

1. Activer HTTPS : en passant votre site en HTTPS, vous vous assurez que les données renseignées par l’internaute, par exemple dans le cadre d’un achat sur un site e-commerce, sont cryptées. Cela a également un impact positif sur le référencement et sur la confiance accordée par les internautes. Pour activer le protocole HTTPS, il vous faudra mettre en place un certificat SSL.
2. Limiter l’utilisation de thèmes et de plugins : sur un CMS, les thèmes et plugins peuvent représenter un risque. Ces derniers, en particulier lorsqu’ils ne sont pas activement maintenus, peuvent être corrompus et mettre en danger votre site. L’ANSSI recommande donc de n’utiliser que les plugins et thèmes strictement nécessaires au bon fonctionnement de votre site, et de vous assurer qu’ils sont tenus à jour.
3. Mettre en œuvre les bonnes pratiques d’administration sécurisée : l’ANSSI recommande, entre autres, de sécuriser le poste d’administration en bloquant l’accès à Internet depuis ou vers ce poste, de chiffrer les périphériques de stockage pour l’administration, d’utiliser des protocoles sécurisés comme SSH ou TLS, d’employer des comptes d’administration dédiés (qui sont distincts des comptes utilisateurs) et de respecter le principe de maintien en condition de sécurité (MCS).
4. Mettre en place l’authentification multifacteur : il est nécessaire de mettre en place des mesures d’authentification (limites de tentatives, politique de sécurité des mots de passe, etc.) mais également une authentification à plusieurs facteurs. Celle-ci peut combiner un facteur inhérent, comme une empreinte digitale ou une reconnaissance faciale, et un mécanisme cryptographique, comme un code temporaire généré par une application ou envoyé par SMS.
5. Sauvegarder le contenu du site : afin de ne pas perdre d’information précieuse en cas de cyberattaque, l’ANSSI recommande de sauvegarder régulièrement le contenu et la configuration du CMS. À cet égard, l’agence préconise de suivre les règles d’or de la sauvegarde : définir une politique de sauvegarde intégrant des actions régulières, assurer un contrôle d’accès strict aux sauvegardes, mettre en place une stratégie de restauration efficace, etc.
6. Mettre en place HSTS, CSP et sécuriser les cookies : il est recommandé d’activer HSTS (HTTP Strict Transport Security) pour garantir que les visiteurs utilisent une connexion sécurisée pour accéder au site ; d’implémenter une Content Security Policy (CSP), qui définit les types de contenus qui peuvent être chargés et exécutés sur une page web ; et de prendre des mesures pour sécuriser les cookies afin de protéger les informations des utilisateurs.
7. Assurer la sécurisation du CMS lorsqu’il est connecté à Internet : pour cela, limitez les flux d’interconnexion (seules les connexions nécessaires doivent être autorisées), restreignez l’ouverture des ports et protégez le site face aux attaques en déni de service.
8. Collecter, analyser et alerter sur les journaux du CMS : pour traiter les journaux du CMS, l’ANSSI recommande notamment de constituer un socle minimal de journalisation qui « liste les catégories génériques d’évènements de sécurité qu’il convient de collecter et de centraliser ». Ce socle est à adapter en fonction des besoins du système d’information en termes de sécurité.
9. Adopter le principe du moindre privilège : ce principe consiste à accorder un minimum de droits d’accès à un utilisateur ou un programme. Il permet de réduire considérablement les surfaces d’attaque, car le pirate qui compromet une partie du CMS ne disposera que d’un accès limité.
10. Bien choisir son CMS : pour vous assurer de la bonne mise en œuvre des différents critères listés précédemment, le choix d’un CMS adapté est essentiel. Veillez donc à consulter l’offre disponible et à opter pour celle qui correspond le mieux à vos besoins en matière de sécurité !

Les meilleurs CMS pour administrer votre site web

Squarespace

CMS

Webflow

CMS

Site Creator

CMS

Duda

CMS

Voir tous les outils CMS