Haut de page
Becom
101 rue de Rennes
01 43 22 08 77
Travailler ensemble
agence@becom.paris
01 43 22 08 77

Hébergement web et sécurité: Que faut-il savoir pour prévenir des risques ?

Vous êtes en pleine réflexion quant à la fiabilité de votre site internet ? Rapports aux récents évènements et à la cybercriminalité, vous vous demandez si avoir un site internet est une bonne idée ? Quelles sont vos options d’hébergement et dans quelles mesures pouvez-vous avoir confiance ? La réponse dans cet article.

Les enjeux de l’hébergement web

Pour faire simple, l’hébergement Web est un espace de stockage en ligne abritant les sites Internet. Imaginez les sites internet comme des documents que vous sauvegardez après chaque modification sur le disque dur de votre ordinateur. Pour consulter un site Internet à votre guise, peu importe l’endroit où vous vous trouvez, le contenu doit être enregistré, non pas cette fois-ci, sur un ordinateur local mais sur un serveur puissant connecté 24h/24 à Internet. Voilà comment un site web est disponible en permanence. 

L’hébergement Web permet aux utilisateurs de saisir le nom d’un site, (ex : Becom) dans leur navigateur afin de trouver le contenu du site en question. 

Le créateur du site enregistre donc un nom de domaine puis intègre les contenus qu’il souhaite sur le serveur d’un prestataire d’hébergement Web. Le système de nom de domaine (DNS) fait le lien entre le nom de domaine et le serveur. 

En fonction de votre choix, l’hébergement Web se compose différemment. La mise à disposition d’un espace Web et d’un serveur Web est incluse d’office par les prestataires. Vous pouvez néanmoins ajouter d’autres services.

Les différents types de serveurs

L’hébergement financé par la publicité : certes gratuit, mais contraignant du fait des publicités de tiers, cette option n’est donc pas pertinente pour un site professionnel.

Hébergement mutualisé : plusieurs sites hébergés sur un même serveur partageant les ressources matérielles et la bande passante du système. Il a toutefois des limites en matière de sécurité (données d’entreprises tierces sur un serveur commun, performance restreinte puisque les ressources sont utilisées de façon collective). 

Serveur virtuel dédié : l’option la plus sécurisante. Le matériel d’un serveur est commun à plusieurs entreprises, mais les comptes sont individuels.

Hébergement sur le cloud : les contenus des sites web sont stockés sur des serveurs interconnectés afin de mieux répartir la charge. L’hébergement mutualisé en mieux, mais parfois critiqué en termes de protection des données. 

Serveur dédié : comme les serveurs virtuels dédiés, les données des entreprises sont séparées, mais sont placées sur un serveur physique individuel. Utilisation optimale de la bande passante du système.

Serveur d’hébergement géré : les contenus du site sont situés sur un serveur individuel, mais contrairement à un serveur dédié, l’utilisateur n’a pas le contrôle total du matériel. Cela dit, l’hébergeur se charge de l’administration et de la maintenance. 

Hébergement Web en colocation : option coûteuse, le prestataire met à disposition de l’entreprise un espace mais la configuration, l’administration et la maintenance sont à la charge de l’entreprise.

Sécurité : risques à considérer

Hacking

Les attaques sont fréquentes et répétitives,mais de quoi s’agit-il ? 

  • vente illégale de produits ou de contrefaçons
  • Imposture de site existant pour s’emparer d’informations confidentielles (coordonnées des internautes, données bancaires) via des formulaires ou des pages de transactions.

Les hackeurs scannent le web à la recherche de sites présentant des failles de sécurité afin de les utiliser à mauvais escient. Sur différents sites hackés,  le cybercriminel va déposer des fichiers qui vont composer des pages. La source et l’origine des pages va être très difficile à tracer, le site hacké sert de point de « rebond ». L’idée est d’opérer discrètement sans éveiller les soupçons. 

Propriétaire de site hacké, que risquez-vous ?

  • Vous vous exposez à des poursuites par le propriétaire de la marque copiée.
  • La dégradation du site hacké par les fichiers déposés.
  • La surconsommation des ressources de l’hébergement provoquant des lenteurs voire pas de réponse et une mise en quarantaine du site par l’hébergeur.
  • La détection de fraude par les moteurs de recherche (surtout Google). Votre site est alors blacklisté puis exclu des résultats de recherche, ou mentionné « site malveillant » ou « site identifié comme étant à risque ».

Alors que faire ?

  1. Détecter la forme et la source du hacking sur des fichiers récents non conformes ou suspects
  2. Nettoyer le site et comprendre par quelle faille le pirate s’est introduit afin d’appliquer les correctifs. Mettre à jour le site sans avoir éliminé les fichiers malveillants ne suffit pas.
  3. Rétablir sa réputation auprès des moteurs de recherche. Une demande de « réexamen » est requise pour rétablir le site. Cette démarche peut prendre plusieurs semaines.

Hébergement mutualisé ou sur serveur dédié (physique ou virtuel), ne comptez pas trop sur votre hébergeur, il déclinera toute responsabilité.

Bien sûr, des actions préventives existent. Votre agence web et un hébergeur enclin à fournir un support compétent peuvent gérer la situation par le biais de maintenances correctives régulières (test de vulnérabilité 1 à 2 fois par an). Voici néanmoins quelques bonnes pratiques :

Pour un hébergement Web

  • Sauvegardes et points de restauration
  • Surveillance du réseau
  • SSL, pare-feu et prévention DDoS
  • Analyse et/ou suppression des antivirus et des logiciels malveillants
  • Haute disponibilité et reprise après sinistre

Pour la sécurité des serveurs

  • Accès et autorisations utilisateur
  • Gestion des fichiers
  • Applications et logins
Incidents techniques

Lorsqu’on parle d’informatique, les pannes matérielles ne sont pas exclues. C’est pourquoi, de nombreux prestataires d’hébergement réquisitionnent plusieurs serveurs pour un même domaine (haute disponibilité). En cas de défaut sur un serveur, la résolution des requêtes peut ainsi quand même avoir lieu.

L’incendie OVH : l’exemple récent du risque technique

Vous n’avez pas pu passer à côté de l’information, dans la nuit du 9 au 10 mars, l’hébergeur français OVH a été victime d’un incendie sur son datacenter de Strasbourg. Cet incident a mis en échec de nombreux sites internet. Même si les serveurs intacts ont pu rapidement être relancés grâce à l’intervention des équipes techniques, l’opération a porté préjudice à bon nombre de sites web.

Lourd de conséquences, cet incendie a réduit en cendres un des quatre datacenters du site strasbourgeois du leader français dans l’hébergement de sites internet et de stockage de données et endommagé un autre à 50%. Par mesure de précaution, tous ont néanmoins été mis à l’arrêt jusqu’au 19 mars. Résultat : ce sont alors des dizaines de milliers de clients qui ont été impactés, sur le territoire.

L’ampleur des dégâts

OVH s’est donc employé à évaluer le sinistre et dans le lot se trouve l’État. Ce qui n’est pas sans conséquence concernant la vaccination contre le Covid-19, notamment les commandes de doses. Octave Klaba le PDG d’OVH  et le ministre de la santé Olivier Véran étaient à pied d’œuvre pour récupérer les dernières sauvegardes. Finalement, les services publics ont été rétablis et les données transférées sur un autre datacenter, sans perte.

Qu’en est-il des entreprises et particuliers ? Des milliers de clients paniqués. Et pour cause, le parc d’hébergement d’OVH est estimé aux deux tiers de l’Internet français. Pour certains, comme l’aéroport de Strasbourg la situation n’a duré que quelques heures. D’autres n’ont pas eu cette chance, le site du Centre Pompidou ou encore l’application Cityscoot (scooters en libre-service) étaient hors d’usage. S’ajoutent également les écoles et les universités qui ont peiné à assurer les cours à distance.

En attendant, OVH transfère les sites et les données impactés par l’incendie sur ses 15 autres datacenters en Europe. Des solutions préventives pour ce genre d’incident sont disponibles dans les offres que propose l’hébergeur. Cela permet de stocker le contenu des sites et des données sur deux serveurs distants en même temps. Si l’un est en échec, l’autre prend le relais.

En revanche, pour les petites entreprises n’ayant pas souscrit à cette offre, il est possible que leurs précieuses données soient perdues à jamais.

Voyez, l’hébergement web et la sécurité ne sont pas à prendre à la légère. Qu’il s’agisse de cyberattaque ou d’incident technique, réfléchissez en amont au niveau de fiabilité dont vous avez besoin pour assurer vos arrières. Chez Becom, on n’est pas des bleus et on a les compétences digitales pour vous accompagner dans vos décisions d’hébergement.