MuséesoutilsSite web

4 précieux conseils pour protéger et sécuriser le site internet de votre musée !

By 8 décembre 2022 No Comments

Lancer son site internet, c’est bien, le protéger et le sécuriser, c’est encore mieux ! Si l’essor du numérique se globalise, la montée en flèche des cyberattaques devient une préoccupation majeure pour toute organisation ; en 2021, 88% d’entre elles en auraient subi au moins une1. De lourdes conséquences auxquelles l’organisation victime et/ou ses parties prenantes doivent parfois faire face : mise à l’arrêt d’un site, fuite de données, usurpation d’identité, retards forcés de projet, perte de chiffre d’affaires, etc. Par effet boule de neige, c’est votre activité au sens large qui peut rapidement en pâtir. Heureusement, des mesures simples (mais incontournables) existent pour vous en prémunir, à commencer par la protection de votre site web et des données qu’il abrite. Zoom sur 4 pratiques à mettre en place pour le sécuriser !

Verrouillez et encadrez l’accès à votre back-office

Également appelé « interface administrateur », le back-office désigne l’espace de votre site que vous utilisez pour sa conception, sa gestion et son administration ; il est totalement invisible aux yeux des internautes. Son accès est donc limité et protégé par un identifiant et un mot de passe qui se veut unique et complexe : pas de nom ni de date de naissance et au moins 12 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux. N’hésitez pas à utiliser un générateur de mots de passe pour le définir, renouvelez-le tous les 3 à 6 mois et ne le communiquez jamais ! Vous pouvez même activer la double-authentification (sécurisation 2FA) pour encore plus de sécurité ; de plus en plus de services y ont recours de nos jours.

Dans la même lignée, veillez à encadrer avec proportion et justesse les droits d’accès des éventuels collaborateurs qui sont amenés à y contribuer ; ne leur en donnez pas plus qu’ils n’en ont besoin. Ces points sont peut-être évidents, mais leur bonne application relève du fondamental.

Appuyez-vous sur les protocoles et les certificats de sécurité adéquats

Parmi les bonnes pratiques à mettre en place pour sécuriser votre site web et les informations qui y circulent, l’utilisation du protocole HTTPS est plus que recommandée. De son nom complet « Hyper Text Transfer Protocol Secure », ce protocole de sécurité a pour mission d’établir un lien entre votre site web et vos internautes uniquement, et de chiffrer les données (images, textes, clics, transactions…) que vous échangez avec eux grâce à un certificat SSL (« Secure Socket Layer »), les rendant ainsi indécodables. En d’autres termes, il s’agit d’un tunnel de protection entre votre serveur web et le navigateur de vos visiteurs. Sa configuration implique l’affichage d’un petit cadenas placé à gauche de la barre d’adresse de votre site internet et vous confère ainsi un gage de sécurité et de confiance.

Pour pouvoir utiliser ce protocole et ainsi chiffrer les données que vous envoyez et recevez, votre site web doit fournir un certificat SSL (également appelé TLS pour « Transport Layer Security ») portant la signature cryptographique d’une Autorité de Certification, laquelle est alors garante de l’identité de votre serveur. Une fois ce certificat obtenu, il convient de le déployer à l’ensemble de vos pages web. Gardez toujours à l’esprit que les moteurs de recherche protègent leurs utilisateurs des sites qu’ils considèrent comme douteux ou malveillants. L’obtention du protocole HTTPS est d’ailleurs l’un des critères de référencement utilisé par Google ; un véritable prérequis pour vous assurer d’une meilleure visibilité en ligne.

Si vous disposez d’une boutique en ligne et/ou d’une e-billetterie, la mise en place d’un protocole type 3D-Secure est fortement conseillée pour sécuriser les transactions de vos clients tout en prévenant des fraudes. Proposé par Visa et Mastercard, ce service vise à vérifier que l’identité de l’acheteur correspond à celle du détenteur de la carte de crédit utilisée lors de l’achat. De cette manière, vous contribuez à la sécurisation des paiements réalisés sur votre site internet et suscitez de la réassurance auprès de tous vos publics.

Assurez la maintenance et la sauvegarde régulières de votre site web

Comme pour n’importe quel outil numérique, les actions de mise à jour de votre site web sont une priorité. Cet exercice lui permettant ainsi de profiter de nouvelles fonctionnalités, de « nettoyer » celles devenues obsolètes, d’être toujours actuel en matière de sécurité et de protection des données et de bénéficier de correctifs essentiels à son bon fonctionnement. De fil en aiguille, vous capitalisez sur un site internet sécurisé, optimisé et en mesure de supporter plus sûrement les montées en charge éventuelles.

En parallèle, pensez à réaliser une sauvegarde régulière de votre site internet ; en cas d’incident (typiquement un crash), vous êtes assuré de ne pas perdre définitivement vos données (personnelles, données clients, contenu, etc.). Vous gagnerez également du temps (et donc de l’argent) si vous souhaitez migrer votre site web chez un autre hébergeur.

Il existe plusieurs moyens d’assurer la maintenance de votre site internet. Si vous êtes passé par une agence pour le créer, cette dernière doit pouvoir vous proposer une solution spécifique en fonction du système de gestion de contenu (CMS) utilisé. Si vous l’avez créé seul, votre hébergeur est en mesure de vous proposer des fonctionnalités de sauvegarde.

Protégez le nom de domaine de votre établissement

En tant qu’adresse internet du site de votre musée, son nom de domaine est par conséquent son identité numérique. Il convient donc de le protéger, lui-aussi !

Pour commencer, nous vous conseillons de déposer plusieurs variantes orthographiques pour vous préserver des risques de cybersquatting, que vous pourrez ensuite rediriger vers votre adresse principale. À titre d’exemple, le Musée du Cristal de Paris pourrait, en plus de son nom de domaine initial « cristal-paris.museum », enregistrer « cristalparis.museum », « pariscristal.museum », « paris-cristal.museum », et pourquoi pas décliné(s) en plusieurs langues. Il peut être également judicieux d’opter pour plusieurs extensions pour encore plus de précaution.

Enfin, pensez à renouveler automatiquement l’enregistrement (et donc le paiement) de votre nom de domaine pour éviter qu’il ne soit enregistré par quelqu’un d’autre une fois passée son expiration.

Dernier point essentiel, sensibilisez régulièrement vos collaborateurs aux enjeux de la cybersécurité ; c’est essentiel !


[1] 2022 Global DNS Threat Report

Télécharger nos 10 conseils