Sécuriser votre site marchand en 5 points clés


Il fait bon travailler dans le E-commerce où l’activité florissante ne cesse de croître. Mais là où il y a de l’argent à se faire, les criminels ne sont jamais très loin…

Bonnes Pratiques, Cybersécurité // 26/10/2015

L’industrie du retail en ligne est une cible de premier choix pour les cybercrimels, avec sa part de petites attaques mais aussi de cas bien plus notoires tels que le piratage de Magento. En effet, une étude récente a montré que 64% des brèches dans le secteur du retail étaient dues à des manques dans l’environnement e-commerce.

Cela n’est pas surprenant du fait que les sites e-commerce sont très lucratifs pour les cybercriminels. Premièrement, les sites marchands assurent le paiement en ligne de ses clients, ce qui est somme toute assez attrayant. Deuxièmement, chaque transaction peut apporter plusieurs types de données associées aux cartes bancaires, facilitant la mise en œuvre de fraudes et arnaques.

Ce n’est donc pas seulement votre site qui est en jeu mais la sécurité financière de vos clients. C’est pourquoi beaucoup disent « gérer un site engage des responsabilités, gérer un site marchand en demande davantage. »

Quand Google déclare la guerre à votre business

Naturellement, il ne suffit pas de jouer le rôle du preux chevalier qui protège ses clients. D’une part, parce que la plupart des sites passent par un CMS incluant des services de CRM, de traitement des données, de logistique, ce qui représente un potentiel cheval de Troie dans votre forteresse.

Un autre aspect à ne pas négliger : la confiance accordée à votre site. Dans le E-commerce la confiance est le facteur clé de succès, il est donc CAPITAL de la conquérir mais surtout de la préserver. Une récente étude a prouvé que 40% des acheteurs en ligne arrêteraient totalement d’acheter sur un site en cas de compromission de leurs données personnelles et bancaires.

Mais on ne parle ici pas seulement de confiance vis-à-vis des acheteurs mais également vis-à-vis de Google dont dépend votre classement dans les fameuses SERP : le roi des moteurs de recherche sillonne en permanence les sites afin de détecter les malware et les arnaques par hameçonnage. En cas de suspicion, votre site sera mis sur la très redoutée « liste noire » qui portera le coup de grâce à votre business. Dès lors que Google fait tomber le couperet, ne tardent pas à suivre les entreprises de sécurité informatique qui bloquent votre site, amenuisant ainsi votre trafic et la confiance qui vous était accordée.

Enfin, en tant que e-commerçant, vous êtes amené à traiter les transactions par carte bancaire et à vous soumettre aux standards PCI. Si vous êtes attaqués et que votre non-conformité est mise en lumière, vous risquez d’avancer sur un terrain miné.

L’étude de cas d’un site e-commerce français attaqué

Un site e-commerce de taille moyenne a été piraté en 2014. Sur plusieurs points, cet exemple fait figure de cas d’école et a malheureusement causé de nombreuses pertes financières à la société (autour de 25 000 euros), en plus d’une plainte judiciaire pour manquement à la sécurisation du paiement en ligne.

De ce que l’on sait, le point de départ de cette histoire est l’imprudence d’un salarié qui a ouvert un mail frauduleux contenant un lien « cross-site scriptin » (une faille de sécurité web permettant d’agir sur le navigateur). Le pirate a ainsi pu détourner la session du salarié et dérober toutes ses informations. Son compte a donc été utilisé pour insérer du code malicieux dans un plugin gérant le paiement en ligne sur le site. L’attaque n’a pas été décelée pendant des semaines alors que plusieurs milliers d’acheteurs se sont fait voler leurs données personnelles. Trois semaines plus tard, un robot Google a signalé une activité suspecte et le site a  par conséquent été blacklisté causant une perte d’audience de 90%. Quand l’administrateur du site a réalisé ce qu’il était en train de se produire, il décida de passer le site hors ligne pour effectuer la maintenance, ce qui n’a pas aidé les nouveaux administrateurs à rétablir la position initiale du site dans les rangs de Google.

Quelles leçons peut-on en tirer ?

1) Appliquez les règles de base

A bien y regarder, il n’était pas sorcier de piéger l’employé de la boutique en ligne : une solution en sécurité moderne avec une bonne protection email et antispam couplée à une double authentification auraient rendu plus ardu le détournement du compte.

2) Choisissez une plateforme e-commerce sécurisée

Lors de votre benchmark, avant de choisir votre solution e-commerce, évaluez les points de sécurité et prêtez bien attention à la conformité PCI ainsi qu’à la certification SLL. Beaucoup de CMS offrent des garanties supplémentaires pour prévenir les fraudes et les DDoS (attaque par déni de service).

3) Travaillez main dans la main avec votre hébergeur

Le fait que l’attaque n’a pas été détectée avant plusieurs semaines montre bien qu’aucune surveillance active n’était mise en place. L’équivalent dans le monde réel reviendrait à détenir un magasin sans caméra de surveillance. Assurez-vous que votre hébergeur surveille régulièrement de son côté les serveurs, qu’ils ne soient pas la cible de walmares, virus et autres dangereux logiciels.

4) Gardez votre système à jour 

Dès qu’un nouveau correctif est disponible, assurez-vous de l’implanter immédiatement. Cela concerne les mises à jour de votre serveur web (le plus souvent effectué par votre hébergeur) en plus de vos logiciels et plugins, tout comme Java, WordPress, Joomla, ZenCart etc.

5) Soyez conforme avec les normes PCI

Lorsque que l’on parle sécurité en matière de paiement en ligne, les standards PCI représentent la référence ultime et permettent de réduire d’une part les failles de sécurité et de limiter d’autre part l’étendue des dégâts lors d’attaques (en vous évitant au passage de supporter toute la charge légale et financière pour non-conformité). Les normes PCI ne sont jamais acquises, vous devez donc régulièrement vérifier que votre site ne présente aucune vulnérabilité.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s