Salut à tous et bienvenue dans ce nouveau Point Sécu avec notre ami Julio de SecuPress.
Julio : Bonjour.
Alex : Dans lequel on va voir quand convaincre ses clients d’allouer du budget à la sécurité.
Allez c’est parti !
Alors, pourquoi on vous parle de cela aujourd’hui, eh bien tout simplement parce que récemment on a vu une petite BD qui est sortie sur le site CommitStrip – je ne sais pas si vous connaissez, en tout cas je vous mettrais le lien juste en dessous – qui explique un petit peu que certains prestataires ont du mal à faire comprendre qu’il faut allouer du budget à la sécurité.
On voit plusieurs petites vignettes, où ils disent “Il faut y aller, il faut y aller…”, donc avant le projet, pendant le projet et à la fin du projet et puis au final le site se fait attaquer et après le commanditaire se dit “Oh pourquoi on n’a pas protégé ça !”.
C’est trop tard mon petit gars, il fallait y penser avant, pourtant on n’a pas arrêté de te le dire : donc Julio qu’est-ce que tu peux nous dire là-dessus ?
En allouant un budget sécurité on évite les histoires !
Julio : Malheureusement c’est du vécu, je connais une personne qui est venue me voir en amont de son projet.
C’est relativement rare, je dois avouer, dans mon métier que quelqu’un vienne me voir avant !
Elle m’a dit “j’ai commencé mon projet, j’aimerais que l’on puisse auditer cela avant que ce soit en ligne” et quand on lui annonce un tarif qui était relativement bas, elle m’annonce qu’en fait son budget est passé dans les flyers.
Oui c’est bien le marketing, bien sûr ! Elle s’est dit “bon c’est pas grave je ferais ça plus tard”. On sait quand c’est… plus tard !
Le site est sorti, la personne a lancé sa société, elle a mis son mobilier dans un bureau, etc. Les affaires ont commencé…
Elle aurait pu potentiellement avoir eu du budget entre temps… On n’est pas obligé peut-être de se mettre “full mobilier”, on n’est pas forcément obligé de se prendre un bureau tout de suite, on n’est pas obligé de relancer une seconde vague de marketing.
La sécurité WordPress est toujours mise de côté !
Alex : C’est sous le tapis !
Julio : C’est sous le tapis ! Tant que ça marche, ça marche : “Dis donc si j’avais payé la sécurité, on voit que ça ne sert à rien !” Oui on pourrait dire ça, c’est un peu facile …
Et ce qui devait arriver arriva malheureusement : le site se fait pirater, les données sont totalement perdues, il n’y avait pas de sauvegarde en cours.
La personne revient vers moi et me dit : “Qu’est-ce qu’on peut faire ?”
Malheureusement vous ne pouvez rien faire, c’était vraiment vraiment très “sale” ! ça a été très loin parce que finalement le site a dû fermer, donc le business s’est arrêté, le bureau a été repris, le mobilier a été revendu, etc.
La société se termine et la personne est repartie travailler à mi-temps, alors qu’elle s’était lancée dans une aventure excellente du freelancing qui devient une boîte, donc ça fait un peu mal quand même.
Je pense que malheureusement, c’est ce qui arrive trop souvent où le client de lui-même n’y pensera pas, c’est pour cela qu’il faut que d’autres personnes le fassent en fait.
Même un freelance qui fait part d’un projet devrait signaler au chef de projet :
- Est-ce qu’on a pensé à la sécurité ?
- Est-ce qu’il y a un budget qui y est alloué en fait ?
Pareil pour les agences : les agences devraient, automatiquement, pour chaque projet, faire intervenir quelqu’un pour dire : voilà, ces plugins là c’est OK, ce thème-là c’est OK, le “dev” maison que vous avez fait, vous avez fait les bons choix, l’hébergeur… l’hébergeur on n’en parle pas assez souvent.
Je pense qu’il faut qu’on fasse une vidéo là-dessus d’ailleurs !
Alex : On va en parler oui !
Julio : Parce que c’est aussi un point sensible, c’est un peu la base… le site se met dans l’hébergeur et on n’y pense pas forcément. : donc attention à ça !
Il faut que les clients aient envie de sécuriser leurs sites, mais tôt, et pas quand il est trop tard !
La majorité des interventions sécurité que je fais c’est sur des sites piratés donc… dommage ! Parce qu’on peut intervenir avant et déjà c’est moins cher, c’est beaucoup moins cher parce qu’il ne s’est rien passé ! On va d’abord sécuriser, ça se passe très bien.
Alors que si on est déjà piraté, c’est beaucoup plus compliqué, beaucoup plus long, beaucoup plus coûteux.
On sécurise avant le piratage
Alex : OK. Alors l’analyse en amont, c’est juste à voir si l’agencement de thème et de plugins que l’on a mis sur son site est “secure” tout simplement, est-ce qu’il n’y a pas des failles que peut être les développeurs n’ont pas vues. J’imagine que tu as des outils pour tester ça.
Julio : C’est ça ! Il y a beaucoup de choses manuelles évidemment. Tout ce qui peut être outils et scripts automatisés c’est principalement pour découvrir du code malicieux, alors que l’humain verra du code vulnérable.
La différence est que le malicieux a été créé dans le but de nuire et le vulnérable c’est une erreur de code qui mène à une faille de sécurité et ça, un script a beaucoup de mal à le voir parce que c’est quelque chose d’humain, donc un humain peut le voir.
Hébergez votre site chez o2switch
Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.
Quand on monte un site web avec un hébergement, des couches réseau, etc. Il y a quand même des choses à mettre en place pour sécuriser et il faut aussi s’assurer que ça soit fait.
En plus derrière on arrive bien sûr sur le WordPress que l’on va à nouveau sécuriser comme on vous en a parlé dans le tout premier épisode, on doit tout de même sécuriser WordPress, même si le core est déjà sécurisé.
Il y a toute une panoplie de choses à faire ; je pense que là aussi il y a un petit truc que l’on pourrait faire ensemble.
J’ai bien envie de vous donner une liste des choses à faire : vous n’avez qu’à cocher…
Alex : Une petite check-list !
Julio : Une check-list… ça vous intéresse une check-list ? Dites oui tout de suite ! J’ai entendu un “oui”, je pense qu’on peut la faire.
Alex : OK. Bon, on va faire une check-list alors ! (elle est disponible chez SecuPress)
Je pense qu’on a fait le tour du sujet. Essayez de bien convaincre vos clients pour sécuriser leur site, ça pourra leur sauver la vie… en tout cas professionnellement.
Julio : Puis la vôtre aussi, c’est vous qui amenez ce projet et on pourrait vous reprocher : “Vous n’avez pas pensé à ça ?! Ce n’est pas mon métier de savoir qui a besoin de sécurité. J’ai entendu que WordPress était sécurisé !”
Il va falloir lui expliquer que : oui il est sécurisé, mais il faut ajouter de la sécurité et donc il y a un certain budget, etc.
Alex : Après il y a aussi une question de responsabilité si le site est piraté, je ne sais pas… si c’est écrit dans un contrat…
Julio : ça peut arriver quand c’est effectivement dans un contrat : il faut un accès sécurisé, il faut telle sécurité, etc., et là vous devez forcément faire intervenir quelqu’un, surtout si c’est à la demande du client, faites-le au plus vite, pour que le budget soit alloué tout de suite.
Alex : OK.
Julio : ça vous coûtera… franchement c’est la moitié du prix.
Alex : ça marche, donc la moralité de cette histoire c’est : il vaut mieux prévenir que guérir !
Julio : C’est le meilleur exemple ! On vous mettra en description la petite BD CommitStrip qui nous a fait bien rire.
Alex : Merci de nous avoir écoutés. Abonnez-vous à la chaîne YouTube de la Marmite, allez voir sur SecuPress bien sûr ! Et SecuPress Pro tant qu’à faire.
À très bientôt pour une nouvelle vidéo. Ciao.
Julio : À plus !
Si vous avez bien tout suivi, vous ne fermerez plus votre porte-monnaie à la sécurité WP