Les collectivités territoriales : la nouvelle cible des cybercriminels

D’après les données publiques présentant la sécurité des sites informatiques des communes françaises, 6500 communes auraient un ou plusieurs sites internet mal protégés présentant ainsi des failles exposées aux personnes malveillantes. Le e-administration, très ouvert sur l’extérieur, joue un rôle croissant sur les relations avec le public et les usagers. Accessible partout et à tout moment, ces sites voient le nombre de visiteurs progresser et une augmentation de leurs vulnérabilités.

 

Le graphique ci-dessous extrait des données analysées fait apparaitre la répartition des sites Internet de communes françaises vulnérables. La faille est quelques fois très simple, il suffira aux hackers de chercher un fichier précis comme login.php, confip.php ou autres et combinés avec quelques mots clés, ils sauront si un site web est vulnérable à des failles de sécurité. La question de la protection et de la sécurité d’un site web est donc essentielle.

 

Sur un panel de 15 000 sites Internet de communes françaises audités, plus de la moitié des communes françaises de plus de 5000 habitants auraient un site web. Certaines communes préfèrent une page Facebook par exemple qui constitue un moyen facile et gratuit de communiquer notamment sur les événements. Le site internet reste un outil incontournable d’une commune. Il est sa vitrine ouverte sur le monde extérieur et le support d’informations essentielles aux administrés. Internet peut s’avérer très utile pour associer la population lors de la réalisation de projets, en offrant une plateforme d’échanges plus accessible aux administrés.

 

 

Comment s’en prémunir ?

 

Les fiches pratiques de l’ANSSI : Les collectivités territoriales commencent à dépasser la prise de conscience des risques d’attaque, le stade de la sensibilisation en termes des prévisions des risques majeurs. Pour corriger leurs points faibles, l’ANSSI a mis en place des guides. Initialement destinés aux professionnels de la sécurité informatique, les guides et les recommandations de l’ANSSI constituent des bases méthodologiques pour tous. Ainsi vous pourrez y retrouver le guide d’hygiène informatique, la note sur la sécurisation des sites web, mais également des fiches de bonnes pratiques.

 

Masquer vos données : Plutôt que d’ériger des barrières autour de votre système informatique, comme des pare-feu, mieux vaut cacher vos données les plus sensibles. Protéger vos données sensibles afin d’éviter de vous les faire voler porte un nom, c’est la stéganographie.

 

Maintenez votre serveur à jour : En général, les sites web utilisent le serveur HTTP Apache qui a très bonne réputation en matière de sécurité et qui possède une communauté de développeurs très sensibilisés aux problèmes de sécurité. Il est malheureusement inévitable de trouver certains problèmes une fois le logiciel mis à disposition. C’est pour cela qu’il est crucial de se tenir informé des mises à jour.

 

Protégez vos emails: Sécurisez votre messagerie électronique contre les malwares, virus et ransomwares. Le blocage du phishing et du spam, ajoute une couche de sécurité. Préférez un service anti-malware complet et efficace.

 

Les langages de programmation : Un développeur peut introduire des vulnérabilités dans ses programmes même en respectant les règles de l’art de la sécurité. Les langages de script sont à l’origine de davantage de failles de sécurité dans les applications que d’autres. Une majorité utilise le langage PHP et seulement 20 % utilisent une version à jour. Le nombre d’habitants des villes ne change rien à la sécurisation d’un site web. 38 communes sur 145 de plus de 50 000 habitants auraient un site mal sécurisé, ce qui représente le quart.

 

Les sites en HTTPS deviennent la norme : Depuis le 1er février 2017, la moitié du web offre une navigation sécurisée grâce à une navigation en HTTPS. Sur plus de 14 000 sites de leur base, seulement 53 sont sécurisés. Avec une connexion HTTPS, toutes les communications sont cryptées de manière sécurisée. Ainsi si quelqu’un réussit à percer dans la connexion, il sera incapable de décrypter les données échangées entre l’internaute et le site web.

 

Laisser un commentaire