L’ANSSI publie ses recommandations pour la sécurité des sites web

sécuritéDans un contexte international de multiplication des attaques à l’encontre de sites web, l’ANSSI a publié le 22 avril dernier des recommandations (1) en matière de mesures de sécurité à adopter en prévention et en réponse aux différentes attaques susceptibles d’intervenir à l’encontre des sites web. Dans un premier temps, l’ANSSI met l’accent sur les précautions à prendre préalablement à la mise en œuvre des sites web pour renforcer leur sécurité contre les attaques.

A ce stade, elle recommande une série de mesures à déployer dès l’organisation de l’infrastructure du site web et de la conception de son code applicatif.

A titre d’illustration, l’ANSSI recommande que l’architecture matérielle et logicielle du site web respecte le principe de défense en profondeur, de limiter les composants applicatifs et d’administrer un site web via des protocoles sécurisés (HTTPS par exemple) uniquement par des administrateurs autorisés et authentifiés.

Concernant la configuration des systèmes d’exploitation et des services hébergeant les sites web, l’ANSSI recommande l’application du principe de moindre privilège à l’ensemble du système ou encore la limitation de la publication des informations relatives au fonctionnement technique du site web et la mise en place d’un filtrage réseau permettant le respect des règles restrictives régissant les flux.

L’ANSSI insiste également sur la prise en compte de la sécurité dans la conception du code applicatif du site web en distinguant différentes mesures préventives allant de la gestion des risques afférents aux entrées de données (injections SQL, attaque XSS, redirections, inclusions de fichiers, etc.) à la prise en compte de la sécurité lors de la conception de la logique du site web et notamment dans le cadre de la gestion des sessions, du stockage des mots de passe, de la protection contre les requêtes illégitimes ou encore de l’inclusion de contenus externes.

Enfin, l’ANSSI présente différentes précautions à prendre afin de permettre une meilleure réactivité en cas de survenance d’un incident de sécurité. A cet égard, elle recommande de contrôler la validité et la visibilité des points de contacts techniques associés au site et présente des mesures permettant une meilleure détection des incidents.

Parmi ces mesures, l’ANSSI insiste sur la surveillance du site web dans son intégralité, la définition d’une politique de journalisation ou encore l’adoption de réflexes en cas d’incident (collecte des informations permettant les investigations, vérification de la suppression des éléments malveillants avant remise en service du site web, correction des vulnérabilités).

Ces recommandations s’inscrivent dans le cadre des obligations de garantie de sécurité des données à caractère personnel prévues par la loi Informatique et libertés et le projet de règlement européen du 25 janvier 2012.

Les éditeurs de site web ont donc tout intérêt à intégrer ces éléments dans leur cahier des charges et réaliser un audit pour les sites existants.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique

(1) Recommandations ANSSI n° DAT-NT-009/ANSSI/SDE/NP du 22-4-2013.

Retour en haut