Plan de sécurité, de sauvegarde et de continuité des activités
Nos systèmes sont très sécurisés. Veuillez consulter toutes les mesures que nous prenons pour protéger vos données. Découvrez également comment nous procéderions en cas de catastrophe majeure.
Serveurs Web sécurisés
Notre plateforme utilise une technique de publication « push », ce qui signifie que la plupart des pages web publiques sont servies statiquement sur des serveurs distants. Cette approche garantit également une grande rapidité de nos sites web, en réduisant le temps de réponse initial (TTFB).
Certificats SSL
Les certificats SSL sont inclus gratuitement dans tous les forfaits d'hébergement standard et supérieurs. Ils sont fournis par Let's Encrypt et protègent les interactions de vos clients avec votre site web contre les regards indiscrets.
Versions TLS
Nos serveurs web prennent uniquement en charge les dernières versions de TLS. Nous n'utilisons ni SSL v2, ni v3, ni TLS 1.0. Ces niveaux de sécurité élevés garantissent une sécurité maximale du protocole de communication entre le navigateur et le serveur web. Veuillez noter que ce niveau de sécurité élevé peut empêcher l'affichage de certains sites web sur des ordinateurs très anciens. La prise en charge de TLS 1.1 est en cours d'évaluation, mais nous continuons de la proposer afin de permettre à un plus grand nombre d'utilisateurs d'accéder à vos sites web, même avec des appareils anciens.
Stockage sécurisé de fichiers
Les fichiers privés des membres, fournis lors de l'inscription ou via les formulaires, sont stockés dans un espace de stockage sécurisé. Seuls les utilisateurs autorisés peuvent y accéder, ou via des liens spéciaux contenant des codes de hachage.
Base de données sécurisée
Notre base de données fonctionne dans un environnement multi-AZ, garantissant ainsi la sécurité de vos données. En cas de défaillance d'un serveur, le serveur de secours prend automatiquement le relais. Cette fonctionnalité est éprouvée, les serveurs basculant régulièrement l'un vers l'autre lors des mises à niveau. Nous appliquons les derniers correctifs de sécurité à notre base de données. L'accès à celle-ci est également sécurisé : seules les adresses IP autorisées peuvent y accéder.
Sauvegardes
Nous utilisons une sauvegarde incrémentale programmée, ce qui nous permet de restaurer un site web à un état précis dans le temps, jusqu'à deux semaines auparavant. De plus, nous proposons des sauvegardes supplémentaires à d'autres moments, selon les besoins.
Nous disposons de sauvegardes hors site (dans différents pays) pour faire face à une catastrophe majeure dans une région géographique donnée. Nous avons également des sauvegardes hors ligne, afin de prévenir le risque, même improbable, qu'un pirate informatique accède aux sauvegardes en ligne. Les sauvegardes hors ligne sont des supports de stockage non connectés à l'alimentation électrique ni à Internet.
Système à code source fermé
Notre plateforme est à code source fermé, ce qui signifie que seules les personnes autorisées y ont accès. À l'inverse, les systèmes à code source ouvert peuvent exposer des failles de sécurité à des utilisateurs mal intentionnés.
Tests de vulnérabilité
Nous effectuons régulièrement des tests de vulnérabilité sur des sites web choisis au hasard et prenons des mesures concernant tout problème important.
Surveillance de la disponibilité
Nous effectuons des contrôles de santé réguliers à l'aide de plusieurs outils de surveillance tiers, afin que nos administrateurs système soient alertés et puissent résoudre tout problème de toute urgence.
Pare-feu et limitation de débit
Nous utilisons deux pare-feu distincts. Un pare-feu standard, intégré à notre serveur web, protège ce dernier contre de nombreuses attaques connues. Un pare-feu personnalisé, installé au niveau applicatif, bloque également de nombreuses attaques courantes et limite le débit des robots tentant de s'introduire par force brute ou de rendre notre site web inaccessible par une attaque par déni de service (DoS).
Capacité de réserve et équilibrage de charge
Nos serveurs sont tous optimisés pour fonctionner à environ 10 % de leur capacité CPU. Cela leur permet de supporter des pics d'activité jusqu'à 10 fois supérieurs à la normale. Nous proposons également un système d'équilibrage de charge, afin que les serveurs web disposant de ressources disponibles puissent prendre en charge une charge supplémentaire si un autre serveur est surchargé.
reCAPTCHA et blocage des robots
Tous les formulaires web sont protégés par notre pare-feu anti-robots personnalisé basé sur l'IA. Ce pare-feu détecte les techniques de spam courantes et exige de l'utilisateur qu'il effectue une vérification reCAPTCHA. Les champs reCAPTCHA, fournis par Google, permettent de confirmer qu'un humain remplit le formulaire. Vous pouvez également choisir d'utiliser reCAPTCHA sur tous vos formulaires. Notre système d'IA anti-spam pour formulaires apprendra des signalements de spam effectués par d'autres utilisateurs.
Mise à jour du serveur
Nous mettons régulièrement à jour nos serveurs afin de garantir qu'ils soient toujours à jour et de prévenir tout problème connu lié au système d'exploitation.
Sécurité des membres
Nous proposons une solution de sécurité vous permettant de contrôler l'accès des personnes autorisées à des pages et contenus spécifiques. Vous pouvez gérer les niveaux d'accès des membres et les affecter à différents groupes. La sécurité des pages peut être assurée par niveau d'accès et/ou par groupe de membres. L'authentification repose sur l'utilisation de l'adresse e-mail du membre comme identifiant et d'un mot de passe robuste généré automatiquement par notre système. Vos clients et membres peuvent ainsi se connecter facilement grâce à un lien ou un bouton unique contenant un hachage sécurisé.
Sécurité du courrier électronique
Tous les e-mails sont envoyés et reçus via des serveurs sécurisés, nécessitant une authentification. Nous utilisons les techniques SPF et DKIM pour valider votre adresse e-mail et informer les autres serveurs de messagerie de ne pas accepter les e-mails provenant de serveurs non autorisés. Toutefois, la sécurité de votre compte de messagerie dépend de la protection de votre identifiant et de votre mot de passe. Afin de garantir la sécurité des autres utilisateurs de nos serveurs, nous limitons la vitesse d'envoi pour tous et surveillons indépendamment toute inscription éventuelle sur une liste noire. Nos serveurs de messagerie jouissent d'une excellente réputation et les utilisateurs de notre service d'envoi d'e-mails en masse bénéficient d'une bonne délivrabilité et d'un taux de lecture élevé.
Authentification à deux facteurs
L'authentification à deux facteurs (2FA) est disponible pour renforcer la sécurité des connexions des utilisateurs à leur CMS/panneau de contrôle. Nos webmasters peuvent également la proposer à leurs clients afin de protéger leurs identifiants. Notre infrastructure cloud est elle aussi protégée par l'authentification à deux facteurs, avec des restrictions supplémentaires telles que le routage IP et les clés SSH.
Autres privilèges d'accès administrateur
Vous pouvez attribuer des droits d'accès limités à votre personnel et à vos prestataires, afin qu'ils ne puissent accéder qu'à certaines sections de notre système de gestion de contenu. Par exemple, certains employés pourront uniquement accéder au système de point de vente, ou un expert en référencement pourra uniquement accéder à vos balises méta SEO, mais pas aux rapports e-commerce.
Journalisation et surveillance
Nous enregistrons toutes les activités du système, comme les visites web et les e-mails, ainsi que la plupart des mises à jour du CMS. Nous surveillons régulièrement ces journaux à l'aide d'outils automatisés afin de détecter tout comportement suspect ou d'identifier la cause première des problèmes.
Plan de continuité des activités
Les membres principaux de notre équipe travaillent dans des régions géographiquement isolées de Nouvelle-Zélande. Nos serveurs sont répartis dans le monde entier et nos sauvegardes sont stockées dans des emplacements géographiquement distants. Notre infrastructure intègre une redondance qui gère automatiquement les micro-pannes et redirige le trafic.
En cas de catastrophe dans une partie du monde, nous n'anticipons aucune interruption de service prolongée. La perte de données serait minime et se limiterait aux données transactionnelles ou aux modifications sur une courte période. Nous disposons de plusieurs solutions pour rétablir les services et les données.
Sécurité du domaine
En 2019, Website World a reçu le prix du « Portefeuille de domaines le plus sécurisé » décerné par le registre .nz. Website World vérifie régulièrement la qualité des données de ses titulaires de noms de domaine. Website World propose également un système de verrouillage DNS des domaines afin d'empêcher toute modification non autorisée.
