WordPress, Joomla, Drupal, Shopify, Prestashop et bien d’autres encore, offrent de vraies possibilités pour réaliser des sites vitrines ou des e-shops à la fois ergonomiques et performants. Cependant, une image négative reste associée aux sites web reposant sur des CMS : ils seraient peu sécurisés et des cibles faciles pour des hackers malveillants.
Quels sont les risques de cyberattaques pour ces sites ? Quels éléments spécifiques des CMS sont à surveiller ?
Si vous êtes en charge d’une plateforme CMS, cet article vous aidera à identifier les risques principaux et vous donnera les points de vigilance pour renforcer le niveau de sécurité.
Les CMS sont-ils plus sécurisés que les développements « from scratch » ?
Contrairement à l’idée généralement répandue, les sites web reposant sur des CMS sont aussi sécurisés qu’un site développé sur demande. Si vous utilisez un CMS connu et largement répandu à travers le monde, vous utilisez une solution robuste qui évolue régulièrement. Ce ne sera pas forcément le cas d’un site internet développé sur mesure par une agence ou un freelance, notamment lorsque la maintenance n’est pas assurée.
En revanche, les CMS présentent le risque d’être davantage attaqués. En effet, ils sont la cible d’attaques de masse par des hackers cherchant à exploiter des failles liées au CMS. Les cinq principaux CMS représentent 46,8% de tous les sites internet : des attaquants ont donc une plus forte probabilité de tomber sur des sites vulnérables
La typologie d’utilisateurs de plateforme CMS est également plus large que pour les sites développés sur demande, ce qui signifie qu’il y a des utilisateurs moins familiers des bonnes pratiques de sécurité, ce qui augmente les probabilités d’attaques réussies contre les CMS.
Les risques cybersécurité inhérents aux CMS open source
D’un point de vue sécurité, les principaux CMS open source ont l’avantage d’avoir un code source ouvert : des chercheurs en sécurité y ont accès et le testent, ce qui permet d’identifier des failles de sécurité. Le revers de la médaille est que les hackers malveillants y ont aussi accès, ce qui peut leur permettre de trouver des failles et de les exploiter.
La large communauté autour des principaux CMS a développé de nombreux plugins, qui permettent de rajouter des fonctionnalités, mais cela rajoute des risques liés à l’intégration, à la configuration et au maintien à jour de ces plugins.
La sécurité du CMS et des plugins dépend de la communauté, qui est pour les principaux CMS généralement très active. Toutefois, il est nécessaire d’être vigilant sur la maintenance du CMS. Il y a toujours le risque que la solution soit moins populaire, moins maintenue, voire abandonnée à un moment.
Les risques cyber d’un CMS propriétaire
Comme pour tout produit propriétaire, la sécurité dépendra de l’importance qui y est accordée par l’entreprise et des compétences de l’équipe de développement dans le domaine de la sécurité.
L’avantage des CMS propriétaires est qu’une équipe est chargée directement de son évolution et de sa sécurité. Il est donc probable qu’il y ait une roadmap des mises à jour prévues, des fonctionnalités à tester, des éléments à corriger, etc.
Il y a cependant un point de vigilance à garder : il se peut que le produit soit abandonné à un moment par l’éditeur et qu’il n’y ait plus de maintenance d’assurée.
Que ce soit un CMS open source ou propriétaire, votre choix doit se faire en fonction des besoins liés à votre situation. La sécurité de votre site web dépend avant tout de la manière dont il est géré, configuré et maintenu que s’il est basé sur un CMS open source ou non.
Les risques sécurité liés aux mises à jour des CMS
L’un des principaux risques liés aux CMS repose sur les mises à jour. Celles-ci doivent être faites régulièrement, car les CMS évoluent rapidement. De plus, de nouvelles failles sont trouvées régulièrement puis corrigées, c’est pourquoi il est nécessaire d’installer dès que possible les mises à jour et de vérifier fréquemment les patchs disponibles.
Les mises à jour concernent les versions des CMS eux-mêmes, mais aussi les versions des différents plugins utilisés. Un grand nombre de plugins sont disponibles pour les principaux CMS open source. Il y a deux grands principes à garder à l’esprit pour bien choisir ses plugins :
- Préférer les plugins maintenus à jour (pour ne pas vous exposer à des risques en cas de découvertes de nouvelles vulnérabilités sur un plugin non-maintenu)
- Privilégier les plugins reconnus et largement utilisés, plutôt qu’un plugin « maison » conçu pour des besoins spécifiques qui ne sont pas les vôtres
Il est recommandé d’être très vigilant sur les évolutions de chaque plugin utilisé pour votre site.
Les risques liés aux développements spécifiques sur les CMS
L’autre risque majeur concernant les CMS est lié aux développements spécifiques.
De nombreux sites web conçus à partir de CMS ne reposent pas que sur de la configuration, mais également sur des développements sur mesure, effectués par une équipe de développement interne ou par un prestataire.
Si votre site comprend des développements spécifiques, alors ceux-ci présentent les mêmes risques que pour un site développé « from scratch ». Les questions à se poser sont similaires :
- Quelles sont les compétences des développeurs sur les questions sécurité ?
- Avons-nous effectué des tests d’intrusion (pentest) ?
- Comment corriger les failles potentiellement présentes dans notre code afin de prévenir les incidents ?
Les risques encourus par le site web varient selon sa taille et ses fonctionnalités : vols de données, en particulier pour les sites permettant la création de comptes clients, mais aussi interruptions de service ou hébergement de contenus illicites…
La meilleure solution consiste alors à identifier les failles de sécurité afin de les corriger, en menant un pentest de site web, qui peut se concentrer uniquement sur les risques majeurs dans un premier temps.
En conclusion, les sites développés à partir d’un CMS sont sécurisés, mais nécessitent de la vigilance, avec certaines spécificités à prendre en compte pour assurer leur sécurité.
Il est indispensable de mettre en place une stratégie de mise à jour, d’hébergement, de sauvegarde et de surveillance appropriée de son site internet. La configuration du CMS et les développements spécifiques peuvent ensuite être vérifiés par du consulting sécurité spécialisé pour les CMS.