Pourquoi des tiers s'intéressent à la sécurité du site Web de votre client

Publié: 2022-05-16

La sécurité du site Web est une affaire sérieuse. Ce n'est pas nouveau pour la plupart des concepteurs de sites Web. C'est quelque chose dont nous devons tenir compte dans la façon dont nous construisons, la société d'hébergement que nous utilisons et le logiciel auquel nous faisons confiance.

Et bien qu'il existe de nombreuses bonnes pratiques à suivre, la sécurisation d'un site Web est un défi majeur. La lutte contre les attaques automatisées contre les systèmes de gestion de contenu (CMS), la formation des clients et la mise à jour continue des logiciels font des ravages. Nous pouvons réduire les risques, mais nous ne pouvons pas les atténuer complètement.

Pendant des années, les processus de sécurité étaient principalement entre un concepteur, un hôte et un client. Mais de plus en plus, d'autres tiers s'y intéressent activement. Et les concepteurs de sites Web se retrouvent pris au milieu.

Si cela ne vous a pas encore touché, ce n'est peut-être qu'une question de temps. Ainsi, les indépendants et les agences doivent tenir compte de cette tendance.

Jetons un coup d'œil à ce qui se passe et comment les concepteurs de sites Web peuvent être préparés.

Qui est impliqué ?

Certes, l'intérêt des tiers pour la sécurité Web n'est pas complètement nouveau. Les sites de commerce électronique doivent depuis longtemps faire face à la conformité PCI. Et les réglementations gouvernementales ont visé des domaines tels que la confidentialité des utilisateurs – qui pourraient également être considérés comme un problème de sécurité.

Cependant, il semble y avoir une contribution accrue d'autres sources – en particulier l'industrie de l'assurance. Ils s'intéressent de plus en plus à la sécurité Web en ce qui concerne leurs clients.

Les organisations qui ont besoin d'une assurance, telles que les entreprises et les organisations à but non lucratif, sont très susceptibles d'avoir également un site Web. Tout comme elles tiennent compte du bien-être d'un lieu physique, les compagnies d'assurance commencent à considérer les sites Web de la même manière.

Prenons l'exemple d'un magasin de détail classique. Avant de fournir une assurance à un détaillant, un assureur pourrait envisager :

  • L'intégrité structurale du bâtiment;
  • Les types de marchandises vendues ;
  • Toutes les mesures de sécurité antivol mises en place par le détaillant ;
  • Le nombre d'employés;
  • Revenu annuel ;

Nous constatons maintenant que des préoccupations similaires sont étendues aux sites Web.

Caméras de sécurité sur un mur.

Quels aspects de la sécurité des sites Web examinent-ils ?

La sécurisation d'un site web demande un effort constant et englobe plusieurs domaines. Certains facteurs, tels que l'hébergement Web et les certificats SSL, sont assez universels. Mais d'autres peuvent dépendre de la façon dont le site Web a été construit.

Cela signifie qu'un site HTML statique aura des besoins de sécurité différents de ceux construits avec WordPress. Et puis il y a l'intégration d'API tierces, la collecte de données et les transactions financières. Chacun présente un défi unique.

Pourtant, rien ne garantit qu'un assureur adoptera une vision réaliste de ces nuances. Ils peuvent très bien utiliser une stratégie globale, même si des éléments spécifiques ne s'appliquent pas au site Web d'un client.

Le vétéran de l'industrie (et un de mes collègues) Wayne Kessler est d'avis : « Ma plus grande préoccupation est la création de travail et de coûts inutiles en raison de l'entrepreneur (ce qu'est une compagnie d'assurance ou un consultant en sécurité) a spécifié des « normes » qui sont surdimensionnées pour prendre des risques. . Le travail d'un cyber-assureur consiste à vendre une assurance qui, de préférence, n'aura aucune réclamation.

Il poursuit: «Ainsi, ils peuvent vouloir que les sites Web soient verrouillés aussi étroitement que possible sans tenir dûment compte des ramifications de la fonctionnalité ou du coût. Il n'est pas toujours possible de limiter l'accès à la connexion à une petite plage d'adresses IP. SFTP est toujours nécessaire pour les sites. Un client peut avoir besoin de pouvoir envoyer des fichiers dans les deux sens à son concepteur. Flux de travail, gestion du site, fonctionnalité utilisateur - ceux-ci ne peuvent être ignorés lorsqu'on parle de sécurité sans la possibilité de réduire considérablement la valeur du site Web.

Un cadenas se trouve sur un clavier d'ordinateur.

Conseils aux concepteurs Web

Comme c'est souvent le cas, les concepteurs de sites Web sont des agents de liaison entre nos clients et un tiers. Dans ce cas, les assureurs remettront aux clients une longue liste de considérations relatives à la sécurité du site Web. À partir de là, c'est à nous de leur donner un sens, de mettre en œuvre ce qui est faisable et de communiquer efficacement.

Il existe quelques obstacles potentiels. Le plus important est que vous ne contrôlez peut-être pas toutes les situations. Par exemple, certaines mesures de sécurité peuvent nécessiter la coopération d'un hébergeur ou d'un développeur de plugins. Qu'ils se conforment ou non dépend entièrement d'eux.

Le coût potentiel est une autre considération. L'investissement requis pour mettre en œuvre certains éléments peut aller au-delà de ce que votre client est prêt ou capable de payer.

Kessler dit que les concepteurs de sites Web doivent rester informés pendant le processus, notant que « les normes de sécurité semblent se développer rapidement avec la croissance de ces industries, mais cela ne signifie pas que ces normes doivent s'appliquer à n'importe quel site Web. Si vous n'effectuez pas de transactions financières sur votre site Web ou si vous ne conservez pas les données des utilisateurs/clients sur votre site Web, certaines recommandations ne devraient pas s'appliquer. Méfiez-vous du « surdimensionnement » des besoins de protection de la sécurité. »

Il est également important de reconnaître que de nombreuses mains jouent un rôle dans la sécurité du site Web. Selon Kessler, "Chaque histoire que nous lisons sur le vol d'identité provient d'une lacune dans la protection des données. Les concepteurs de sites Web ne veulent pas être une lacune identifiée. De même, vous ne voulez pas gérer un site infecté par un virus, qui génère du spam ou qui est verrouillé par des escrocs. Il existe des options pour atténuer ces risques. Les concepteurs de sites Web et les propriétaires de sites Web devraient choisir ces options. »

La clé est de contrôler ce que vous pouvez et de vous assurer que vos clients comprennent ce que cela implique.

Deux personnes participent à une visioconférence.

Faire face à la complexité croissante de la sécurité Web

Comme si la sécurité Web n'était pas déjà un sujet complexe, l'introduction d'assureurs et d'autres tiers ne fait qu'ajouter au stress. Pour les concepteurs de sites Web, cela semble être un autre fardeau placé sur nos épaules.

Pourtant, cela fait partie de notre description de poste en constante évolution. Alors que la création et la maintenance de sites Web continuent d'évoluer, il nous appartient de rester au fait des meilleures pratiques. En un sens, ce développement est un prolongement naturel de cette évolution.

Heureusement, les compétences que nous avons acquises dans la communication avec les clients et l'adaptation aux nouvelles technologies peuvent bien nous servir. Ces expériences nous ont préparés à relever ce nouveau défi de front.