10 préconisations pour sécuriser votre site web
Cette année, ZENETYS vous propose 10 gestes simples, gratuits et efficaces pour protéger votre site web, sans investissement, juste avec un peu de temps et de rigueur.
Vous pensez que la cybersécurité est complexe ou coûteuse ? Voici la preuve du contraire.
1. Utilisation obligatoire du protocole HTTPS
Objectif : garantir la confidentialité et l’intégrité des échanges.
- Forcer toutes les connexions à passer par HTTPS.
- Rediriger systématiquement les accès HTTP vers HTTPS.
2. Présentation d’un certificat TLS correspondant au SNI
Objectif : éviter les erreurs de validation côté client, prévenir les attaques de type spoofing ou MITM.
- Utiliser des certificats valides émis par une autorité de certification reconnue.
- Le certificat présenté doit correspondre exactement au nom demandé dans le champ SNI (Server Name Indication).
3. Validation stricte du nom de domaine (Host/SNI)
Objectif : empêcher la présentation du site sur des noms non légitimes ou des alias malveillants.
- Ne répondre qu’aux requêtes destinées à des noms de domaine explicitement autorisés.
4. Réponse neutre en cas de nom invalide
Objectif : éviter les fuites d’information sur l’infrastructure (serveur HTTP, contenu, etc.).
Présenter une page blanche ou une réponse neutre (ex : code HTTP 444, 403 ou 404) si :
- Le nom de domaine ne correspond pas à un hôte autorisé.
- La requête vise directement une adresse IP.
5. Journalisation différenciée
Objectif : faciliter la détection des scans, erreurs de configuration ou tentatives de contournement.
Journaliser séparément :
- Les requêtes légitimes vers le site attendu.
- Les requêtes vers des hôtes invalides, des IP ou des noms de domaine non reconnus.
6. Filtrage en amont (reverse proxy / firewall applicatif)
Objectif : centraliser la gestion de la sécurité et isoler l’application backend.
- Utiliser un reverse proxy (ex : HAProxy, NGINX) pour appliquer les règles de filtrage et de redirection.
7. Suppression des en-têtes HTTP inutiles
Objectif : réduire la surface d’attaque en masquant la stack technique.
- Supprimer les en-têtes qui peuvent divulguer des informations sensibles (
Server,X-Powered-By, etc.).
8. Politique de sécurité des contenus (CSP, HSTS, etc.)
Objectif : renforcer la sécurité côté client contre XSS, clickjacking, etc.
Déployer des en-têtes de sécurité :
Strict-Transport-SecurityContent-Security-PolicyX-Content-Type-OptionsX-Frame-Options
9. Mise à jour régulière des composants
Objectif : corriger les vulnérabilités connues.
- Maintenir à jour tous les composants du serveur : OS, serveur HTTP, librairies web.
10. Surveillance et alertes de sécurité
Objectif : réagir rapidement en cas de tentative de compromission.
- Mettre en place une supervision des journaux d’accès (logs valides et invalides).
- Définir des seuils d’alerte sur comportements suspects (ex : scan DNS, requêtes fréquentes en IP).
