Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Site e-commerce : les 5 mesures de cybersécurité à prendre dès la création

novembre 2019 par GlobalSign

La création d’un site e-commerce devrait être une expérience agréable et passionnante, mais pour garantir la sécurité de l’entreprise — et de ses clients — certains points importants doivent être pris en compte. Qui souhaiterait la ruine de sa boutique en ligne flambant neuve et de sa marque d’entreprise — tout ça, à cause de pirates informatiques, de failles de sécurité ou de pertes de données ?

La création d’une boutique en ligne sécurisée commence dès l’instant où l’on choisit son fournisseur d’hébergement, et se poursuit au quotidien lorsque l’on utilise son site Web.

Venons-en aux cinq points qu’il faut impérativement avoir en tête pour créer un magasin en ligne en toute sécurité :

1. SSL et service d’hébergement sécurisé

Le choix de l’hébergeur est l’un des aspects les plus importants dans la construction d’un site Web. C’est d’autant plus crucial lorsque l’on crée une boutique en ligne, puisque les clients passeront par ce site pour effectuer leurs paiements. En résumé : la sécurité est une priorité absolue.

Un hébergeur stocke les fichiers de notre site sur ses serveurs. Sans lui, il serait impossible de mettre notre site sur Internet. Mais les hébergeurs ne font pas « qu’héberger » un site Web : ils sont responsables de le maintenir opérationnel, de gérer les pics de trafic, de maintenir la vitesse du site, etc.

Même si l’entreprise ne peut pas s’en remettre entièrement aux hébergeurs pour assurer la sécurité de sa boutique en ligne, elle doit mettre toutes les chances de son côté en choisissant un prestataire sérieux qui mettra tout en œuvre pour assurer sa protection. Les meilleurs fournisseurs d’hébergement proposent très souvent des certificats SSL (Secure Sockets Layer) avec tous leurs abonnements, tandis que d’autres incluent des dispositifs de sécurité et de défense supplémentaires comme ce qui suit :

• Pare-feu
• Sauvegardes automatiques
• Protection contre le piratage
• Protection contre les attaques DDoS (Distributed Denial of Service)
• Détection et suppression des logiciels malveillants

Important : une boutique en ligne doit se doter à tout prix d’un niveau de sécurité SSL.

Les certificats SSL chiffrent toutes les données qui transitent par le site Web, y compris les détails de connexion et les informations de paiement. Sans SSL, les données privées sont vulnérables aux pirates et aux fuites. Il est donc nécessaire de toujours vérifier le type de certificat SSL proposé avec son plan d’hébergement. La plupart fournissent une version SSL de base, mais pour une activité de vente en ligne, cela vaut la peine d’investir dans les options plus évoluées. Il peut être intéressant de penser au SSL à validation étendue (Extended Validation, EV), qui correspond au niveau de protection maximum qu’un certificat SSL peut offrir grâce à une vérification approfondie de l’entreprise.

2. Chiffrement TLS et préparation de la DSP2 pour des transactions financières protégées

En matière de sécurité sur Internet, los clients méritent ce qu’il se fait de mieux. C’est là que le protocole TLS (Transport Layer Security) entre en jeu. Le TLS est une version similaire, mais améliorée, du protocole de sécurité SSL. Les termes sont souvent employés l’un pour l’autre, car le TLS sécurise le transfert de données entre les clients et un magasin — plus ou moins comme le SSL.

Pour dire les choses simplement, le TLS fait trois choses : il s’assure que les deux parties sont bien qui elles prétendent être, il vérifie que les données partagées ne sont pas corrompues, et il chiffre les informations pour que leur transfert entre les parties soit protégé. Mais alors, de quoi une entreprise a-t-elle besoin pour installer le TLS ? Bonne nouvelle : il est généralement installé avec le certificat SSL, l’entreprise n’a donc rien à faire de plus.

L’éventuel travail supplémentaire à réaliser est lié au nouveau règlement européen PSD2 entré en vigueur en septembre dernier. Cette directive révisée des services de paiement a été conçue pour favoriser les consommateurs, réduire la fraude, ouvrir la voie à de nouveaux modes de paiement et les rendre plus sûrs. Devant l’augmentation de la fraude aux paiements chaque année, la directive PSD2 pourrait être une bénédiction pour une boutique en ligne. Mais si l’on n’est pas prêt, le rêve pourrait virer au cauchemar.

On retiendra avant toute chose qu’il s’agit de mieux protéger les transactions financières par une authentification forte du client (Strong Customer Authentication, SCA). Le traitement des paiements sera adossé au protocole 3D Secure 2.0 et offrira en prime un système d’identification en plusieurs étapes pour les clients qui dépensent de l’argent dans l’Espace économique européen. En plus de renforcer la sécurité des paiements, la SCA sera gérée par la banque du client. En d’autres termes, la question de la conformité SCA ne concerne pas les magasins — inutile donc de s’en préoccuper.

Qu’a l’entreprise à faire de son côté ? S’assurer que sa caisse est prête à gérer ce nouveau système d’authentification en plusieurs étapes. Se préparer au 3D Secure 2.0 en confirmant que les champs appropriés sont prêts à être remplis par les clients. L’entreprise devrait ainsi renforcer la sécurité des transactions, sans trop de tensions avec ses clients.

3. Protection contre les attaques DDoS

Le DDoS (Distributed Denial of Service) est une forme d’attaque utilisée par des pirates informatiques pour inonder un site d’informations afin de faire planter le serveur et le rendre indisponible à ses visiteurs. Après une attaque par déni de service, les tentatives contrariées des clients pour se connecter à un site nuisent à la marque et la réputation de l’entreprise, avec des conséquences financières du fait du manque à gagner. Il faut également savoir que les attaques par DDoS servent souvent de diversion, pendant que d’autres zones sont également ciblées.

Quelques hébergeurs proposent une protection contre les DDoS dans le cadre de leurs forfaits. Si ce n’est pas le cas de notre fournisseur,il est nécessaire de se tourner vers une solution externe, basée dans le cloud. Une telle solution permet de filtrer le trafic, de détecter les menaces et de réagir aux attaques DDoS. Ce service est certes payant, mais présente un véritable intérêt face à la réalité criante de la menace posée par les attaques DDoS pour les boutiques en ligne.

4. Minimisation des données pour protéger la vie privée des utilisateurs

En 2018, l’introduction du RGPD (règlement général sur la protection des données) a été un bouleversement pour les entreprises de l’Union européenne. Point phare de ce règlement, la minimisation des données répondait à une volonté de réduction du risque d’atteintes à la sécurité et de fuites de données personnelles.

La minimisation des données consiste simplement à limiter la quantité de données personnelles recueillies et à ne les conserver que pendant la durée nécessaire. Que l’on s’inscrive dans une démarche de mise en conformité au RGPD dans l’UE ou aux règles de la Federal Trade Commission aux États-Unis, la minimisation des données est un élément incontournable pour tout professionnel qui souhaite gérer son activité en toute sécurité.

L’accumulation des données et l’allongement de leur durée de conservation au-delà du nécessaire augmentent les risques de vulnérabilités pour ces données. L’entreprise s’expose par ailleurs au risque de voir la qualité de ses bases de données altérées par un afflux de données frauduleuses.

En ne collectant que des données pertinentes et essentielles, l’on protège ses activités et ses clients. Lors du traitement de nos données, posons-nous les questions suivantes :

• Ces données sont-elles nécessaires à une finalité précise ? Par exemple, est-il vraiment nécessaire de recueillir la date de naissance d’un visiteur lorsqu’il souhaite acheter un produit ?
• Ai-je suffisamment de données pour mener à bien telle action ? Par exemple, l’adresse d’un client peut être nécessaire pour lui expédier sa commande ou son adresse électronique pour lui envoyer un reçu de confirmation.
• Les données non critiques sont-elles conservées ? Il est nécessaire de passer en revue les données contenues dans son système. Certaines données sont-elles périmées ou obsolètes ? Si c’est le cas, il faut les supprimer !

Partant de ces principes, ne conservons jamais les données de paiement de nos clients. Généralement, les données de paiement sont traitées par un prestataire de services de paiement externe — il n’est donc pas nécessaire de les demander. Si ces informations sont nécessaires à la réalisation de la transaction, ne les conservons pas au risque de les exposer à un risque majeur.

Beaucoup de personnes différentes vont visiter la boutique en ligne d’une entreprise donnée. Il faut donc à cette dernière de respecter la vie privée de ses clients en ne recueillant leurs données qu’avec leur permission et en ne leur demandant que les renseignements nécessaires. En outre, il est important de vérifier les informations quand on le peut et ne pas accumuler de données.

5. Sécurité interne et utilisateurs

L’entreprise peut faire tout son possible pour sécuriser sa boutique en ligne, mais s’il y a des erreurs à l’intérieur, elle s’expose à des menaces qui viennent de l’extérieur. Première chose à faire : vérifier que tous les mots de passe sont forts et sécurisés. Ne jamais avoir aucun mot de passe partagé. S’il y a plusieurs administrateurs, chacun doit avoir des mots de passe uniques. Les gestionnaires de mots de passe offrent une solution intéressante, car ils facilitent les vérifications des niveaux de sécurité des mots de passe. Changer régulièrement se mots de passe et configurer l’authentification en deux étapes chaque fois que possible.

Il n’en reste pas moins que le mot de passe le plus fort ne sera d’aucune utilité s’il appartient à la personne qui commet la violation de sécurité. Les collaborateurs peuvent être la plus grande faiblesse d’une entreprise — ainsi, 20% des incidents de cybersécurité et 15% des attaques de données trouveraient leur origine au sein même de l’entreprise. Si certains employés nuisent délibérément à leurs employeurs, la plupart du temps, ces événements sont accidentels (chaque fois que l’on clique sur un e-mail d’hameçonnage, que l’on partage ses identifiants de connexion ou que l’on perd son ordinateur portable de travail). Pour se prémunir contre ces menaces internes, le mieux est d’éduquer le personnel, d’organiser régulièrement des formations et de mettre en place des plans d’action lorsqu’une fuite a manifestement eu lieu.

En conclusion

Les cybermenaces ne vont pas disparaître — elles vont continuer à évoluer, croître et se transformer. Mais on peut minimiser les risques. Dans un magasin de centre-ville, on peut voir venir les voleurs à l’étalage. Il suffit de garder un œil sur la vidéosurveillance et d’appeler la police si un individu glisse quelques produits sous sa veste. Mais avec une boutique en ligne, les voleurs sont beaucoup plus fins et plus discrets ; lorsqu’ils sont à nouveau visibles, il est généralement trop tard. En étant conscient des risques, une entreprise peut prendre les mesures nécessaires afin de prévenir et de gérer ces risques. On peut ainsi créer une boutique en ligne qui fera notre bonheur… plutôt que celui des escrocs.




Voir les articles précédents

    

Voir les articles suivants