Sites internets sur CMS, se prémunir des risques du contexte actuel

Règles et attributs de sécurité

Depuis la guerre en Ukraine et la cyber-guerre menée par la Russie contre les pays de «L’Occident» aliés, l’appréciation et les règles de sécurité concernant les sites internet d’envergures ont beaucoup changés. Surtout celles reposant sur un socle CMS (content manager system) comme Drupal, WordPress ou autres CMS populaires.
Les méga portails et les sites internet applicatifs aux fonctionnalités avancées sont bien sur les plus concernés.

Ainsi, dans le contexte actuel, la moindre vulnérabilité d’un CMS qui tarde à être connue et corrigée en devient une arme d’attaque fatale.

La force par le nombre et la qualité

Dans cette mesure, un grand nombre de méga sites, d’utilisateurs, contributeurs attentifs ou d’administrateurs experts, ainsi que le nombre de développeurs réactifs dédiés à un type de CMS en devient une puissante armée de défense.
La stabilité et la simplicité technique du CMS en font aussi sa solidité, elle favorise une bonne visibilité et la rapidité de correctifs éventuels en cas de faille technique.

Réactivité technique d’une communauté majoritaire.
Dans cette mesure, le bataillon le plus puissant est sans égal celui du célèbre CMS WordPress, simplement parce que les ingénieurs de haut niveaux et dédiés à l’entreprise sont largement majoritaires.
Un CMS majoritaire également dans l’organisation des développements. Celle-ci est assurée par des centaines d’équipes projets et gérée de façon pyramidale. Les montées de versions et correctifs parallèles montent  ensuite verticales depuis les développements de la méga communauté, passant par le consortium et pour finir par la maison mère de la marque.
Majoritaire également par le nombre d’installations et de contributeurs à travers le monde.
Une méthode de gestion des développement agile, largement Scrum, par la diversité mondiale des équipes, des séminaires et WordCamp WP réguliers.

Le choix d’un socle CMS

Un mauvais choix de la solution CMS peut rendre un projet vulnérable et très couteux.
Sur les projets de sites internet d’envergure, la France a encore en 2023 un train de retard sur l’Amérique. Les projets conséquents, comme certains portails administratifs ou conventionnels, s’attardent encore sur d’anciennes habitudes posées sur des solutions de choix de socle CMS potentiellement plus dangereuses, non seulement en termes de sécurité, mais aussi en coûts
– de développement,
– d’exploitation,
– de contribution
– et de production.

Malheureusement, comme le montre de nombreux projets internet recents, les sites montées en exemple sur la solution du CMS Drupal en Europe et particulièrement en France, en sont devenus aujourd’hui de flagrants et tristes exemples, notamment concernant les coûts et la sécurité face aux attaques liées au contexte actuel.

Il faudrait informer les décideurs directeurs, architectes et administrateurs de projets, que la whitehouse.gov américaine, anciennement sur Drupal ce qui était l’exemple et l’argumentaire du choix technique et commercial sur plus d’une décennie, n’est plus sur Drupal, et cela depuis au moins 2018. Le site de la Maison Blanche étant passé sur WordPress, comme d’ailleurs la majorité des portails web institutionnels ou administratifs américains sécurisés les plus importants.

Détails techniques séduisants

Outre la réactivité technique des correctifs éventuels et des évolutions, on notera par ces petits exemples quelques points techniques, qui assument à eux seuls sans conteste la flexibilité et les performances techniques actuelles de WordPress.
– Une seule installation du socle WP est capable de gérer plus d’un million de sites en noms de domaines ou de sous-domaines différents (voir la solution commerciale projet WordPress.com  de Automattic).
– L’Indépendance assuré par son propre Framework intégré, pas de solutions techniques tiers attachées au core et au moteur de vues (template).
– La possibilité d’étendre le CMS à des techniques de fonctionnalité ou framework tiers (Symfony) par un système de plugin sécurisé et performant.- Connections à d’autres infrastructures ou services applicatifs grâce à XML-RPC aux dernières avancées intégrées d’origine.

Nicolas Reznikoff
Architect Solution – Expert service web & CMS – Digital strategy manager