Souvent nous entendons parler de sites web devenus indisponibles en raison d’attaques par déni de service, ou affichant des informations modifiées sur leurs pages d’accueil. Ou dans d’autres cas, des millions de mots de passe, d’adresses électroniques et de détails sur des cartes de crédit sont divulgués au public, exposant les utilisateurs du site web.
L’objectif de la sécurité des sites web est de prévenir ces types d’attaques. Plus formellement, la sécurité des sites web est l’acte de protéger les sites web contre l’accès, l’utilisation, la modification, la destruction ou la perturbation non autorisées.
La sécurité efficace d’un site web nécessite un effort de conception sur l’ensemble du site : dans votre application web, dans la configuration du serveur web, dans vos politiques de création et de renouvellement des mots de passe et dans le code côté-client. Bien que tout cela semble très inquiétant, la bonne nouvelle est que si vous utilisez un framework web côté serveur, il incluera certainement par défaut des mécanismes de défense solides et bien pensés contre un certain nombre des attaques les plus courantes. D’autres attaques peuvent être atténuées grâce à la configuration de votre serveur web, par exemple en activant HTTPS. Enfin, les outils d’analyse de vulnérabilité accessibles au public peuvent vous aider à découvrir d’éventuelles erreurs dans votre conception.
Les normes du CNIL sont important a prendre en compte et doivent être respecter dans la sécurisation des site web comme par exemple la norme RGPD pour protéger les DCP des utilisateurs.

La directive NIS2 (Network and Information Systems Security 2), adoptée en décembre 2022, représente une évolution majeure dans la réglementation européenne en matière de cybersécurité. Elle élargit considérablement le champ d’application de la première directive NIS en incluant de nouveaux secteurs comme l’administration publique, l’industrie alimentaire et le secteur spatial. Les organisations concernées devront mettre en place des mesures de sécurité renforcées, notamment une analyse des risques systémiques et une gestion rigoureuse des incidents. La directive impose également des obligations strictes de notification, avec un délai de 24 heures pour signaler les incidents significatifs et 72 heures pour fournir un rapport détaillé. Le non-respect de ces obligations peut entraîner des sanctions importantes, allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial. La mise en application effective de la directive est prévue pour 2024-2025, ce qui laisse peu de temps aux organisations pour se mettre en conformité et renforcer leur niveau de cybersécurité.

Ressources

Voici une liste des ressources utilisées

Gartner

Techtalks

Gouvernement

Avanista

Sealpath

Normes du CNIL

Voici un lien vers les normes du CNIL en vigueur

Appuyer ici