Webflow est à ce jour un des meilleurs outils pour le webdesign et le SEO, mais qu'en est-il de la sécurité ? Nous avons réuni dans ce guide l'ensemble des mesures de sécurité prises par Webflow pour protéger votre site, vos données et bien sûr celles de vos visiteurs et clients.
Les attaques web ou cyberattaques sont de plus en plus fréquentes et variées. Que vous ayez un simple site vitrine, une plateforme web ou encore un site e-commerce, une faille de sécurité peut avoir de lourdes conséquences pour vous ainsi que pour vos utilisateurs. Ce sont à 43% les sites web de petites taillent qui subissent des cyberattaques, entrainant notamment des pertes ou vols de données des utilisateurs. Plus qu’un simple besoin moral, la protection d’un site web est un devoir encadré par le RGPD ainsi que la loi Informatique et Liberté, qui impose à chaque exploitant de site web de prendre des précautions satisfaisantes en matières de protection des données.
Défendre son site web est un donc un enjeux quotidien, qu’il est préférable de laisser entre les mains de véritables experts du sujet. Chaque plateformes web, Wordpress, Wix, Webflow, Shopify, etc. a ses méthodes en matière de sécurité, mais il existe des règles de bases à respecter pour sécuriser son site web. Passer par une plateforme de création de site web est un moyen de déléguer en partie cette gestion de protection de votre site web.
Nous entendons souvent parler de Webflow comme étant l’outil de création de site web idéal pour le web design et SEO, mais qu’en est-il en matière de sécurité ?
Chez Webflow, nous prenons la sécurité au sérieux. Nous adaptons notre programme de sécurité aux normes de l'industrie telles que ISO 27001 et les contrôles de sécurité critiques CIS.
Webflow conforme à la norme SOC 2
Développé par l’AICPA (American Institute of Certified Public Accountants), la norme SOC 2, “Service Organization Control 2”, impose aux entreprises de déployer des pratiques approfondies en matière de sécurité web et de les tenir régulièrement à jour. Pour valider sa conformité SOC 2, Webflow a du passer un audit de sécurité complet, vérifiant la fiabilité de ses systèmes de protection. Cet audit regroupe 5 critères clés :
- La sécurité : Les systèmes utilisés et les informations collectées sur des sites Webflow doivent être protégés contre tous accès non autorisés.
- Disponibilité : Les systèmes Webflow doivent être disponibles pour être utilisés de manière constante.
- Intégrité du traitement : Les systèmes Webflow doivent fonctionner en temps voulu et de manière précise.
- Confidentialité : Les informations désignées comme confidentielles doivent être protégées.
- Protection : Les informations sont collectées, conservées lorsqu'elles sont utilisées, puis éliminées en toute sécurité.
Depuis décembre 2020, Webflow est certifié SOC 2 Type 1, et est actuellement entrain de passer l’audit pour devenir SOC2 Type 2. Vous pouvez à tout moment vérifier leur profil de sécurité SOC 2.
Hébergement Webflow crypté et sécurisé
Un hébergeur web est un espace de stockage sécurisé, sur lequel sera enregistré toutes les données de votre site web. Pour imager ce qu’est un hébergeur, c’est un peu comme la maison de votre site et il est primordiale de bien la fermer à clés pour ne pas y laisser rentrer des personnes mal intentionnées. Votre site est donc visible en ligne grâce à un hébergeur web, qui doit être sécurisé pour protéger toutes vos données et celles de vos utilisateurs. Un bon service d’hébergement doit être sécurisé, rapide et fiable pour proposer à vos visiteur une expérience optimale.
Hébergement Webflow sur AWS
Webflow héberge ses sites sur AWS, Amazon Web Serices Hosting et bénéficie donc de toute la qualité et de la sécurité du service. Que ce soit pour un site webflow marketing, une plateforme e-commerce, ou tout autre plateforme web, AWS est un des meilleurs services d’hébergement cloud au monde, répondant à la fois à des besoins de performance et de sécurité des infrastructures cloud.
Hébergé sur AWS, les sites Webflow ont donc une protection fiable contre les cyberattaques ainsi que les augmentations massives du trafic. Au-delà des fonctionnalités essentielles, Webflow propose également un plan de sécurité avancée pour les grandes entreprises.
Cryptage SSL Webflow
Le cryptage de données correspond au fait de traduire les données sous une autre forme que seules les personnes autorisées peuvent décrypter via une clé de décryptage. Plus simplement, sans autorisation ou mot de passe les données cryptées seront inaccessibles.
Toutes les données détenues par Webflow sont protégées par un protocole SSL qui vient crypter chaque échange entre un moteur de recherche et les serveurs Webflow. Par défaut, votre site aura donc un certificat SSL qui cryptera et protègera les échanges de données de votre site. Le certificat SSL est primordial par exemple pour rassurer vos internautes lors d’inscriptions, de connexions ou encore de paiements en ligne. Pour savoir si un site dispose d’une sécurité SSL, il suffit de regarder si son URL contient bien un “S” à HTTPS:// et non uniquement HTTP.
Site Webflow sans la vulnérabilité des plugins
Une des principales failles rencontrées sur des CMS comme Wordpress, est l’utilisation de plugins tiers. Les plugins sont en réalité des extensions de votre site web, que vous allez utiliser pour diverses fonctions comme ajouter un formulaire de contact, ajouter un module de paiement, ou même de sécurité. Ces extensions sont développées et détenues par des tiers différents qui ont chacun leurs responsabilités en matière de sécurité. Certains abandonnent les plugins et les mises à jours en matière de sécurité ne sont plus effectuées. D’autres, moins visibles, ne sont pas analysés avec autant de vigilance qu’une intégration et comportent des failles. Vous êtes donc dépendant d’une multitude de développeurs tiers, parfois indépendants, dont il est difficile de connaitre la fiabilité en terme de sécurité à l’instant T ou de mises à jours dans le futur.
Sur Webflow, tout se développe nativement avec l’outil, ce qui limite l’empilement d’outil dans votre site. Pour ce qui est des intégrations, Webflow travaille uniquement avec des grosses entreprises telles que Mailchimp pour le marketing ou Stripe pour les paiements. Ces entreprises ont une politique de sécurité et de protection des données transparente et fiable, ce qui limite donc fortement les risques de piratage de votre site Webflow.
Paiements sécurisés
Si vous souhaitez développer un site e-commerce Webflow, vous vous demandez surement sur qu’il en est des sécurités de paiement. Jusqu'à maintenant, Webflow a choisi un partenaire unique en matière de paiement en ligne : Stripe. L’ensemble des transactions et données propres au paiement sont entièrement gérées par cet outil spécialisé et certifié Service Provider niveau 1.
Stipe utilise les derniers protocoles de sécurité en vigueur tels que les protocoles TLS et HTTPS pour protéger les données, et vérifie la conformité PCI de tous ses utilisateurs (normes de sécurité des données de comptes paiement à l’échelle mondiale).
Informations générales de sécurité Stripe :
- Conformité PCI et protocoles TLS & HTTPS
- Sécurité Stripe
- Authentification SSO
- Lutte contre la fraude
- Test des cartes bancaires
Information sur la gestion des données sensibles Stripe
Compte Webflow sécurisé
En plus des mesures strictes en matière de sécurité pour vos visiteurs, Webflow tient à protéger vos données personnelles.
Protection de vos accès Webflow
Vos identifiants de connexion Webflow donnent accès à l’intégralité de votre compte et donc de votre site ou de vos projets web. Webflow propose dons un système d’authentification à deux facteurs assurant une sécurité supplémentaire pour votre compte. Ce type d’authentification est à ce jour le système de sécurité le plus élevé pour un compte web. Il s'agit en fait de confirmer chaque nouvelles connexions sur un autre appareil. Ainsi, si une personne se connecte sur votre compte Webflow, vous serez alerté de cette nouvelle connexion et pourrez, ou non, l’autoriser.
S’ajoute à cela d’autres fonctionnalités pour gérer les autorisations dans Webflow :
- Authentification SSO avec G Suite
- Authentification unique selon les abonnements
- Autorisations basées sur les rôles définis
Protection de vos pages Webflow
Dans Webflow vous avez la possibilité de protéger chacune de vos pages web par un mot de passe. L’objectif va être de restreindre l’accès à certaines pages de votre site web. Ainsi, l’accès à une page, à un ensemble de page ou même au site entier sera restreint par un mot de passe.
Données Webflow enregistrées
Enregistrer vos données est aussi un moyen de protéger votre site et de designer en toute sécurité. Tout d’abord, les enregistrements sont automatiques dans le mode designer de Webflow. Chaque modification est donc enregistrée dans les serveurs de Webflow et via un ctrl + Z vous pourrez facilement revenir en arrière.
Au-delà du retour en arrière pendant le développement, Webflow enregistre également tout l’historique de votre site web. Vous pourrez donc très simplement revenir à une date antérieur pour restaurer votre site si besoin.
Contact sécurité Webflow
Pour toute question sur la sécurité des sites Webflow nous vous invitons à contacter un membre de l’équipe Digidop ou directement le support spécialisé Webflow à l’adresse : security@webflow.com
Pour plus d’information vous pouvez à tout moment consulter la politique de sécurité Webflow.
Protection des données de vos utilisateurs, protection de vos données personnelles, protection de votre site et historique de données, Webflow est un outil de création de site web entièrement sécurisé. Webflow intègre les meilleurs pratiques en matière de sécurité pour votre site web, et nous mettons continuellement cet article à jour, pour vous tenir informé des dernières méthodes de sécurité Webflow.