«Avec l’analyse express, si tu n’as pas la réponse, tu es potentiellement à risque [d'une cyberattaque] », dit le cofondateur de SatelitteWP, Maxime Jobin. (Photo: courtoisie)
LA TECHNO PORTE CONSEIL est une rubrique qui vous fait découvrir des plateformes, de nouveaux outils ou de nouvelles fonctionnalités pouvant être implantés facilement et rapidement dans votre quotidien au travail, en plus de démystifier les tendances technos du moment.
LA TECHNO PORTE CONSEIL. L’entreprise SatelliteWP a développé l’outil gratuit Analyse de risque, qui permet aux entreprises qui utilisent WordPress de vérifier si leur site internet est à risque d’une cyberattaque, en plus d’offrir des conseils pour sensibiliser les entrepreneurs.
Une version express comprenant huit questions, dite «d’auto-évaluation», est aussi accessible pour tout type de site et permet d’avoir une idée de son niveau de risque. Des questions comme «est-ce que vous faites des sauvegardes de votre site web?» et «faites-vous les mises à jour nécessaires (serveur, logiciels, etc.) liées à votre site web?» y figurent.
«Avec l’analyse express, si tu n’as pas la réponse, tu es potentiellement à risque», dit le cofondateur de SatelitteWP, Maxime Jobin, en entrevue avec Les Affaires. Son entreprise, spécialisée dans l’entretien, la sécurité et la performance des sites web qui utilisent WordPress, surveille une centaine de sites quotidiennement.
«Avec Analyse de risque [express ou non], je veux juste que les gens soient sensibilisés, poursuit l’expert. Si l’on peut faire en sorte que quelqu’un qui a un site WordPress, ou non, fasse l’analyse et prenne des mesures, c’est déjà ça.»
L’entretien est primordial
Maxime Jobin a lancé son entreprise en 2017 parce qu’il remarquait que les entrepreneurs ne faisaient pas l’entretien de leurs sites après l’avoir créé. «Quand on lance un site, ça ne s’arrête pas là, mais malheureusement, beaucoup de gens et d’agences web ne savent pas ça», ajoute-t-il.
L’expert précise qu’il est souvent difficile de convaincre quelqu’un d’adhérer à son service quand il n’a jamais eu de problème. «Si tu n’as jamais perdu ton téléphone, faire des sauvegardes ça ne sert à rien», illustre-t-il.
Ce faisant, beaucoup de personnes deviennent clientes chez SatelliteWP lorsqu’il est trop tard. «Si tu es piraté malheureusement, on a beau être bons avec WordPress, on n’est pas des magiciens, poursuit Maxime Jobin. Si le site existe plus et que tu n’as pas de sauvegarde, il n’y a pas grand-chose qu’on peut faire.»
Le travail d’entretien du site doit donc être fait fréquemment et non pas à la pièce. Qui plus est, ce n’est pas parce que vous avez mis à jour toutes vos extensions que le travail est terminé. Et ce n’est pas non plus parce qu’une extension doit être mise à jour qu’il faut la faire.
«[La maintenance de site internet] est un domaine en soi, conclut l’expert. Et c’est un peu ça notre travail [chez SatelliteWP] de savoir si les extensions doivent être mises à jour sans se poser de questions ou attendre pour faire planter le site.»
Malheureusement, il n’existe pas de façon de savoir sans se tromper s’il faut appliquer ou non la mise à jour. Cela peut compliquer la tâche des propriétaires d’entreprise, d’après Maxime Jobin.
Vous n’êtes pas trop petit pour les pirates
Selon l’entreprise de sécurité SiteLock, un site web est attaqué en moyenne 94 fois par jour. Et la taille de l’entreprise n’a rien à voir. Tous sont à risque. «De croire que vous êtes trop petit pour être une cible, c’est mal connaître les intentions des pirates informatiques», mentionne Maxime Jobin.
Si auparavant le but était de tout simplement briser le site, maintenant les pirates veulent utiliser les ressources des entreprises et voler les données, explique l’expert. Par conséquent, il vous sera toujours possible d’utiliser le site normalement, sauf que les pirates vont enregistrer les informations et transactions qui s’y font. Ou encore, ils vont envoyer des pourriels à partir de votre compte d’hébergement, une technique qui a la longue peut mener à la suspension de votre profil par votre hébergeur.
Considérant que cette technique ne rend pas la cyberattaque visible, il est possible que certains soient piratés sans le savoir. «Les gens croient que parce qu’ils n’ont rien touché sur leur site, ils ne sont pas à risque, mais c’est faux», poursuit Maxime Jobin.
Les pirates sont paresseux, selon l’expert. Ils vont analyser les correctifs apportés aux extensions qui ont été déclarés vulnérables et tenter d’exploiter la faille sur les sites web qui n’ont pas fait leurs mises à jour. Un processus qui prend moins de temps et de technique que de se lancer à la recherche de failles potentielles.