Votre site web a été développé avec un CMS ? WordPress, Drupal, SPIP, et bien d’autres encore, offrent de vraies possibilités pour produire facilement des sites à la fois ergonomiques et performants. Mais ces sites web sont ils exposés à des risques de cyberattaques ? Quels sont les points de vigilance ? Voici quelques clés.

Les CMS sont ils plus sécurisés que les développements « from scratch » ?

A priori, la réponse est oui. Si vous utilisez un CMS connu et largement utilisé à travers le monde, vous utilisez une solution robuste et techniquement à jour. Ce qui ne sera pas forcément le cas d’un site internet développé « from scratch » par un freelance ou une agence : dans ce cas, tout dépendra des compétences de l’équipe de développement dans le domaine de la sécurité.

Sécurité CMS - illustration

En revanche, les CMS connus présentent le risque d’être davantage attaqués. Ils peuvent être victimes d’attaques de masse par des hackers cherchant réaliser de nouveaux exploits. WordPress est notamment le CMS le plus attaqué. De nouvelles failles sont régulièrement découvertes puis corrigées, c’est pourquoi il est impérativement nécessaire d’installer dès que possible les mises à jours disponibles.

Les risques liés aux mises à jour des CMS

L’un des principaux risques liés aux CMS repose sur les mises à jours. Celles ci doivent être faites très régulièrement et rapidement, car les CMS évoluent rapidement.

Les mises à jours concernent les versions des CMS eux-mêmes, mais aussi les versions des différents plug-in utilisés. Au vu du nombre de plug-in disponibles pour les principaux CMS en open-source, il est nécessaire d’être très vigilant sur les évolutions de chaque plug-in utilisé pour votre site.

Par ailleurs, il est important de bien choisir ses plug-in : des plug-in qui ne sont plus maintenu à jour vous exposent à de nouveaux risques de sécurité. Cependant, les plug-in les plus utilisés présentent l’avantage d’être régulièrement mis à jour.
De manière générale, mieux vaut privilégier des plug-in reconnus et largement utilisés, plutôt qu’un plug-in « maison » conçu pour des besoins spécifiques qui ne sont pas les vôtres.

Les risques liés aux développements spécifiques sur les CMS

L’autre risque majeur concernant les CMS est lié aux développements spécifiques.

De nombreux sites web conçus à partir de CMS ne reposent pas que sur de la configuration, mais également sur des développements sur mesure, effectués par une équipe de développement interne ou par un prestataire.

Si votre site comprend des développements spécifiques, alors ceux-ci présentent les mêmes risques que pour un site développés « from scratch ». Les questions à se poser sont similaires :

  • Quelles sont les compétences de mes développeurs sur l’aspect sécurité ?
  • Avons nous effectué des tests d’intrusion ?
  • Comment corriger les failles potentiellement présentes dans notre code afin de prévenir les incidents ?

Les risques encourus par le site web varient selon sa taille et ses fonctionnalités : vols de données, en particulier pour les sites permettant la création de comptes clients, mais aussi interruptions de service ou hébergement de contenus illicites, pour les sites vitrines moins complexes.

La meilleure solution consiste à identifier les failles de sécurité afin de les corriger, en faisant appel à un pentester expérimenté.
En conclusion, les sites développés à partir d’un CMS nécessitent eux-aussi de la vigilance, avec certaines spécificités à prendre en compte pour assurer leur sécurité.
Il est important de mettre en place une stratégie de mise à jour, de sauvegarde et de surveillance de son site internet. Se préparer à un incident permet de réagir plus sereinement et de manière plus efficace.