Blog GlobalSign

15 janv. 2016

Une erreur d'inattention qui pourrait vous coûter jusqu'à 15 millions de dollars

On peut perdre de l’argent à cause des fluctuations du marché ou d’un secteur d’activité. Mais lorsque l’on oublie de renouveler ses certificats SSL, les conséquences financières peuvent être catastrophiques pour l’entreprise – notamment en termes d’image de marque et de fiabilité auprès de vos prospects et clients.

D’après une étude, près des deux tiers des entreprises reconnaissent avoir déjà perdu des clients au cours des deux dernières années parce qu’elles avaient omis de sécuriser leur site Web avec les certificats appropriés.

Dès qu’un client perd confiance dans votre site Web – et par analogie, dans votre entreprise –, il risque d’aller voir ailleurs par crainte pour la sécurité de ses données. Si votre site Web n’est pas sécurisé, vous exposez vos données à des risques de violation dont les conséquences financières peuvent se chiffrer en millions de dollars. Un simple oubli à la date de renouvellement de vos certificats suffit à déclencher une avalanche de frais : interventions en cas d'incident, dommages et intérêts, frais de justice, sanctions financières et relations publiques...

D’après un rapport Ponemon de 2015, l’entreprise « moyenne » a déjà connu plus de deux défaillances système ces deux dernières années à cause de « pannes en rapport avec des certificats ».  Pour une panne non programmée liée aux certificats, le coût moyen avoisine 15 millions de dollars (USD).

Étude de cas Microsoft Azure

En 2013, la plate-forme cloud Azure de Microsoft a connu une panne mondiale à cause d’un certificat SSL expiré. L’incident s’est produit au moment même où l’on signalait des problèmes sur les services Xbox Music et Xbox Video de Microsoft.

L’annonce est survenue le jour où Microsoft reconnaissait avoir été victime de la même cyberattaque qu’Apple et Facebook. Comme vous pouvez l’imaginer, ses nombreux clients ont dû être informés, son service des relations presse a dû gérer la communication autour de la situation et Microsoft a enregistré un important manque à gagner pendant l’attaque.

Comment m’assurer que mon site est protégé ?

Face au risque croissant des cyberattaques, les sociétés d’audit traquent les normes et les réglementations auxquelles les entreprises devront se conformer pour démontrer l’absence de risques pour leurs clients ou leurs données. Pour savoir quelles sont les mesures de mise en conformité à prendre, rendez-vous sur le site IT Governance pour consulter les pages consacrées aux normes publiées.

Depuis que des sociétés comme Google notent mieux les entreprises dont les sites sont sécurisés, le sujet est d’actualité dans les entreprises et les départements responsables de la sécurité des systèmes d’information.

Pour que votre site Web soit sécurisé en permanence, voici comment procéder dès maintenant :

Faites un audit interne

Commencez par rassembler l’ensemble de vos certificats actuels et de vos clés pour identifier les éventuelles failles.

Vous pouvez d’ores et déjà utiliser notre outil gratuit pour vérifier vos serveurs Web. Si vous êtes client de GlobalSign, vous pouvez également utiliser notre outil d’inventaire de certificats pour vérifier gratuitement l’emplacement de vos certificats et leur date de renouvellement.

Répertoriez les dates d’expiration pour chaque certificat et consignez-les dans un endroit facile à mémoriser. Pour vous faciliter la tâche, vous, ou la personne chargée de la sécurité des systèmes d’information pouvez éventuellement programmer un rappel dans votre calendrier avant la date d’expiration de chacun de vos certificats pour effectuer les mises à jour dans les délais et éviter que votre site ne se retrouve en situation de vulnérabilité. Vous pouvez également envisager une solution Managed SSL pour contrôler vos certificats via une plate-forme en ligne et être prévenu lorsqu’un certificat doit être renouvelé.

Faites appliquer les règles en interne

Après avoir pris connaissance des normes ISO, nous vous recommandons de mettre en place les processus adéquats dans votre entreprise et de les documenter pour que chacun soit, dans la mesure du possible, informé des mesures que vous prenez, des raisons sous-jacentes et de son rôle.

Des formations doivent également être mises en place à l’échelle de l’entreprise pour expliquer à vos collaborateurs les changements entrepris. Autre objectif de ces formations : éviter que vos collaborateurs ne soient victimes d’arnaques de type phishing (hameçonnage) ou qu’ils exposent inutilement des données sensibles avec le risque de compromettre les données de l’entreprise.

Voici un exemple de procédures à mettre en œuvre pour assurer la protection interne et externe de votre entreprise au niveau physique et en ligne :

  • Carte magnétique/Badge permettant d’accéder aux bâtiments, bureaux et salles avec des niveaux d’autorisation différents en fonction des collaborateurs
  • Règlement intérieur prévoyant des formations régulières pour les collaborateurs sur les bonnes pratiques et les moyens de détecter et de signaler d’éventuelles menaces et problèmes de sécurité
  • Authentification à deux facteurs pour l’accès des collaborateurs aux machines, terminaux, réseaux et portails en ligne
  • Signature numérique des e-mails permettant de garantir l’authenticité de l’auteur des messages, d’éviter toute modification non autorisée des messages et de chiffrer les messages contenant des données et des informations sensibles

Suivez l’actualité de la sécurité informatique

La lecture régulière de sites consacrés aux technologies de l’information et à la sécurité suffit généralement à savoir comment protéger votre ou vos site(s) Web ainsi que vos données. Vous retrouverez sur Twitter notre sélection des meilleures publications dans le domaine de la sécurité ; pour y accéder, il vous suffit de vous inscrire à notre liste de diffusion.

En vous tenant régulièrement informé, vous pouvez réagir rapidement à l’annonce de nouveaux bugs ou virus, ou aux recommandations de mises à jour. Prenons l’exemple de SHA-1. Utilisé dans les certificats numériques, cet algorithme de hachage est depuis peu jugé peu fiable car il pourrait être piraté d’ici quelques années. Les propriétaires de certificats SSL SHA-1 sont par conséquent invités à planifier au plus tôt leur migration vers le SHA-256.

Recrutez et affectez les bonnes ressources

Si vous êtes propriétaire ou dirigeant d’une entreprise, vous risquez d’avoir de plus en plus de mal à accorder toute votre attention aux principales obligations dans le domaine de la sécurité informatique. Par conséquent, si la taille de votre entreprise le permet, il pourra être utile d’étudier les avantages que vous auriez à recruter des personnes qualifiées et à affecter les bonnes ressources à vos projets de sécurité informatique.

Cela dépendra des besoins dans votre secteur et en termes de sécurité, en interne et vis-à-vis de l’extérieur. En cas de doute, faites appel à un consultant expérimenté dans la sécurisation d’entreprises similaires à la vôtre.

Partager ce blog