La sécurité est un point essentiel sur Internet. Qu’elle concerne les données personnelles, les données de paiement, ou encore la sécurité des personnes et des sites, elle est au cœur des débats professionnels et des intérêts particuliers. C’est pourquoi nous allons vous montrer comment sécuriser son E-Commerce.
Les boutiques en ligne traitent un grand nombre de données, permettant aux E-commerçants de personnaliser les offres, effectuer des transactions, faire des envois et des suivis de commandes, parmi bien d’autres actions. Cela pose néanmoins un problème de sécurité : qu’en est-il de la protection de toutes ces données ? Comment assurer la stabilité du site et de ses performances ?
L’objectif est donc de sécuriser sa boutique en ligne, afin d’obtenir la confiance des consommateurs et de protéger leurs données, ainsi que les vôtres.
Sécuriser son E-Commerce ? Quelques chiffres
Internet offre à des créateurs de virus et hackers une opportunité pour mettre en pratique leurs talents.
Selon le CESIN en 2016, les entreprises françaises ont été victimes de 29 attaques informatiques, en moyenne, sur cette année, deux fois plus qu’en 2015. Les grosses entreprises sont au courant de cela et s’orientent vers la mise en place d’une sécurisation accrue. Les investissements dans la cybersécurité atteignent donc une moyenne de 1.46 millions de dollars en 2018, marquant une progression de 24% par rapport à l’année précédente.
Les attaques, en plus de mettre en péril la sécurité des consommateurs et des données, ont un réel impact sur les processus d’une entreprise. On peut notamment parler de ralentissement de la production (26% des entreprises touchées par des attaques), site indisponible (23%), ou encore des retards de livraison (12%). Tout cela impacte fortement les boutiques en ligne, puisque ce sont les 3 éléments les plus importants du E-Commerce.
Nous voyons souvent des actualités, relatant de brèches de données dont de grandes entreprises ou des start-ups ont été victimes : les cas les plus marquants de ces dernières années ont été Apollo, une start-up qui s’est retrouvée avec plus de 9 milliards de points de données exposés en 2018, ainsi que Yahoo, avec 3,5 milliards de points de données exposés en 2013 et 2014 (l’affaire ayant été révélée en 2016).
Les violations de données et les attaques sont souvent détectées trop tard (comme dans le cas de Yahoo). En moyenne, la détection se fait 7 mois après coup.
Contre quelles menaces faut-il sécuriser son E-Commerce ?
Sun Tzu parle de connaître son ennemi pour mieux le combattre, dans L’Art de la Guerre. Ce conseil prévaut également pour la sécurité des boutiques en ligne. Nous allons donc vous présenter 5 types d’attaques amenant à sécuriser son E-Commerce :
XSS : les cross-site scripting
Le principe de cette attaque consiste à injecter un contenu sur le site que le visiteur consulte. L’objectif de cette attaque est de modifier la page visitée, et voler les informations. Sur une boutique en ligne, ce genre d’attaque amènerait à l’exploitation des données collectées, comme les informations de paiement, de localisation ou les données d’identification.
Le pirate peut également, grâce à cette technique, contrôler l’ordinateur de sa cible.
Le risque des espaces de stockage cloud
Beaucoup de E-commerçants, et généralement des propriétaires de sites Internet, exploitent leur site grâce à un serveur en cloud. Ces serveurs sont en ligne et donc ouverts à tout type d’attaques.
Les pirates peuvent se servir de ces serveurs, en volant les clés de chiffrement, pour voler des informations et des données confidentielles.
Le phishing
Cette technique est la plus utilisée sur Internet. Aussi appelée hameçonnage, elle sert à des fraudeurs pour voler des renseignements. Il vous est sûrement arrivé de recevoir ce genre de liens, raison de plus pour sécuriser son E-Commerce.
Envoyés par mail, sur les services de messagerie, …, les liens de phishing vous amènent à écrire vous-même vos informations, qui seront par la suite transmises directement au fraudeur. En France, le phishing sous forme de l’assurance maladie sont courants, abordant des remboursements à percevoir, demandant aux utilisateurs d’entrer leurs informations pour les obtenir (l’assurance maladie ne demande jamais d’éléments personnels).
MitM : Man in the Middle
“L’homme au Milieu” désigne un type d’attaque amenant le hacker à bloquer les communications entre le serveur et le client. Dans l’exemple d’un E-Commerce, le hacker intercepte informations transmises au serveur et peut prendre la place du vendeur auprès du serveur. On se retrouve donc devant une usurpation d’identité Internet Protocol, usurpation d’IP, par exemple.
DDoS : les attaques par déni de service
Ce type d’attaque a pour but de submerger les ressources d’un système, comme un serveur, en envoyant une grande quantité de demandes pour que les “traditionnelles” ne soient pas traitées, ou que ce traitement soit trop long.
Concrètement, cela entraîne des latences, dans un premier temps, et le non-affichage du site par la suite. Cela veut dire que le serveur, submergé de ressources, ne peut répondre à aucune requête. Contrairement aux autres attaques précédemment présentées, l’objectif du DDoS n’est pas de voler des données, mais simplement d’affecter les performances d’un serveur, d’un site, …
Comment sécuriser son E-Commerce contre ces menaces ?
Plusieurs solutions permettent de sécuriser son E-Commerce et de parer aux potentielles attaques auxquelles vous vous exposez. Voici ces solutions :
HTTPS
Le protocole https existe depuis 1994, et est une extension de l’HyperText Transfer Protocol, en y ajoutant une couche de chiffrement. Depuis octobre 2017, Google préconise (très fortement) l’utilisation de ce protocole chiffré par un certificat SSL ou TLS afin de garantir le sérieux du site, et la protection des données des utilisateurs.
Il existe 3 types de certificats SSL, correspondant à 3 différents degrés de protection pour sécuriser son E-Commerce. Le niveau standard étant néanmoins suffisant, vous pouvez choisir le type de certificat que vous désirez. Pour l’obtenir, il suffit d’acheter un certificat SSL/TLS.
Les mots de passe
Lorsque vous vous connectez sur le back-office de votre boutique en ligne, vous vous servez d’un mot de passe afin d’y accéder. Le mot de passe doit être régulièrement changé, afin qu’il ne subisse pas d’attaque type brute force, permettant à un hacker, via un dictionnaire et un logiciel, de tenter une multitude de combinaisons de caractères pour usurper votre identité auprès de votre site. Mais vous n’êtes pas le seul utilisateur de votre site à devoir vous protéger.
Si vous proposez la création de comptes clients sur votre E-Commerce (ce qui est conseillé), vous devez absolument les sécuriser avec des mots de passe. Imposez une certaine rigueur dans la création de ce chiffrement, en demandant par exemple : une majuscule, un chiffre, un nombre minimum de caractères, et un caractère spécial.
Les mises-à-jour et sauvegardes automatiques
Sécuriser son E-Commerce, c’est aussi une histoire de mise-à-jour et de sauvegardes. Effectivement, celles-ci ne concernent pas que vos ordinateurs, mais également votre boutique en ligne. L’automatisation des sauvegardes vous permet de ne pas avoir de regret si, au cours d’une attaque, vous perdez un certain nombre de données importantes. Les solutions de création de boutiques vous permettent, dans la majorité des cas, de mettre en place des sauvegardes automatiques.
Concernant les mises-à-jour, elles permettent la détection et la correction de certaines brèches de sécurité pouvant apparaître sur les logiciels, CMS, plugins, …, que vous utilisez.
Antivirus
Équiper votre ordinateur d’un antivirus et d’un pare-feu vous permet de ne pas subir d’attaques, qui pourraient mener les auteurs de ces dernières à votre boutique en ligne, donc sécuriser son E-Commerce. La sécurisation de sa boutique passe par la sécurisation de son ordinateur.
Les mentions obligatoires
Les CGV, mentions légales et politique de confidentialité doivent être affichées sur une boutique en ligne. Celles-ci permettent notamment d’identifier le E-commerçant ainsi que l’hébergeur, le responsable de publication, grâce à une quantité d’informations.
Cela permet de protéger le client, comme le E-commerçant, en cas de litige, mais également en cas d’attaque.
Les solutions de paiement (PSP)
Sécuriser son E-Commerce prend, en grande partie, en compte la sécurisation de vos données et de celles des visiteurs. Les solutions de paiement que vous choisissez doivent vous permettre d’assurer une certaine protection aux consommateurs. Effectivement, les données de paiement sont très sensibles :
- il est possible de déterminer la santé financière d’un consommateur ;
- il est possible d’obtenir ses informations bancaires et personnelles, permettant de l’identifier ;
- il est possible d’usurper son identité ;
- etc.
Vous devez donc accorder votre confiance aux solutions de paiement que vous choisissez. En plus de cela, vous pouvez, pour rassurer les visiteurs, afficher des badges de sécurité, placés sous la mention “paiement en ligne 100% sécurisé”.
Comment protéger ses données et sécuriser son E-Commerce ?
Plusieurs types d’attaques existant, vous devez vous parer à toute éventualité et assurer un maximum de protection, pour votre bien et celui de vos visiteurs.
Sécuriser son E-Commerce prend ainsi en compte plusieurs solutions, passant par la protection du site avec un certificat SSL ou TLS, des informations de paiement grâce à des PSP de confiance, de votre ordinateur avec un pare-feu et un antivirus, et bien d’autres choses.
