Blog GlobalSign

27 juin 2017

Sécuriser un site marchand

Si vous étiez gérant d’un magasin dans un centre commercial, quel dispositif de sécurité de base mettriez-vous en place ?

Vous auriez probablement des portes blindées, des verrous, des caméras de surveillance, un système d’alarme — ce genre de chose.

L’intérêt de tels dispositifs de sécurité — visibles dans la plupart des cas — va généralement de soi.

Mais qu’en est-il pour les exploitants de sites d’e-commerce ? Sur la Toile, les voleurs sont d’une autre trempe. Les pirates informatiques en savent potentiellement plus long que vous sur les points faibles de la sécurité de votre cyberboutique.

Pour faire simple, les hackers sont en permanence à la recherche de failles à exploiter.

On est bien loin des voleurs à la tire en quête de quelques produits à revendre au marché noir du coin.

Les cybermalfaiteurs courent après autre chose de beaucoup plus précieux : vos données. Qu’ils cherchent à faire main basse sur les données de cartes bancaires ou les identifiants de vos clients, vous et votre boutique en ligne êtes en danger si vous ne faites pas le nécessaire pour vous protéger.

Nous vous proposons ci-après quelques conseils pour vous aider à sécuriser votre site marchand et votre entreprise...

Choisissez le bon hébergement pour votre site e-commerce

Vous avez probablement beaucoup investi dans la création de votre site Web. La conception, le développement, l’optimisation et la promotion d’un site coûtent cher.

En optant pour une solution d’hébergement à bas coût, vous risquez de miser sur le mauvais cheval...

Certes, le choix en matière hébergement Web est vaste. Ne cédez pas pour autant aux sirènes de l’hébergement low cost. Les économies promises ne sont souvent qu’un leurre.

Vous viendrait-il à l’idée de monter des roues de vélo sur une voiture de course ? Et bien c’est un peu la même chose.

Lorsque l’on partage un service d’hébergement mutualisé avec des centaines de milliers d’utilisateurs, rien ne garantit que l’on ne se retrouvera pas dans un « quartier bruyant ». Et personne n’aime les voisins bruyants. Désagréables et hostiles à l’ordre social, ce sont eux qui dégradent l’ambiance d’un quartier.

Si vous êtes sur l’un de ces serveurs aux formules du type « buffet à volonté », comment être certain que votre hébergeur investit dans la sécurité ? Personnellement, j’ai des doutes. Il y a de fortes chances que l’adresse IP de votre serveur se retrouve constamment « blacklistée ».

Dans ce cas, le serveur privé virtuel représente probablement la meilleure solution pour les exploitants de sites marchands sérieux. Cette solution allie performance et évolutivité avec d’excellentes options de configuration personnalisée de la sécurité à des coûts raisonnables.

Les options de sécurité sont assez simples à configurer sur votre serveur, et en cas de difficultés, tout hébergeur digne de ce nom propose généralement un service de serveur géré (ou «?managé?»).

Passez au HTTPS

Jusqu’à peu, l’hébergement sécurisé de sites en HTTPS avec certificat SSL était réservé aux pages Paiement des sites. Même si c’est manifestement toujours le cas, les responsables de sites sécurisent progressivement l’ensemble de leurs pages Web.

Sur le terrain du renforcement de la sécurité sur Internet, Google a donné le coup d’envoi en 2014 en déclarant pouvoir intégrer le HTTPS dans ses critères de référencement. Certains éditeurs de navigateurs lui ont emboîté le pas en affichant leur volonté de pénaliser les sites en HTTP. Plus récemment Google déclarait vouloir à terme signaler les sites HTTP pour leur défaut de sécurité ; Mozilla ayant plus ou moins annoncé la même chose en 2015.

Si vous envisagez de passer en HTTPS, vous devrez tout d’abord choisir un certificat SSL. Vous pouvez vous en procurer auprès de votre hébergeur ou d’un éditeur sérieux de certificats SSL.

Généralement, ils vous aideront à installer votre certificat SSL, mais pour basculer votre site en HTTPS, vous devrez procéder en plusieurs étapes : mise à jour des liens internes sur votre site, configuration d’une redirection 301, mise à jour des liens dans les e-mails transactionnels...

Aujourd’hui, le certificat SSL constitue le minimum syndical en matière de cybersécurité. Avec l’offensive des éditeurs de navigateur contre les sites HTTP, il devrait d’ailleurs se généraliser.

Choisissez une plateforme sécurisée et veillez à ce qu’elle le reste

Il existe aujourd’hui un vaste choix de plateformes e-commerce. Avant de choisir la vôtre, vérifiez — en plus de ses performances et de la fréquence des mises à jour — sa réputation sur le front de la sécurité.

Les outils comme MagentoWooCommerce et PrestaShop sont des plateformes e-commerce connues et répandues... mais la célébrité n’a pas que des avantages. Avec des hackers constamment à l’affût de vulnérabilités sur ces outils, ces plateformes doivent régulièrement publier des correctifs et des mises à jour de sécurité.

Attention à ne pas croire qu’un site en ligne n’a plus besoin de mises à jour et de maintenance — ou que ces opérations relèvent de la responsabilité du développeur, du concepteur ou de l’hébergeur.

En définitive, c’est vous qui êtes responsable de la sécurité et même sans être un expert technique, vous devez pouvoir vous appuyer sur un membre de votre équipe en interne ou sur un prestataire ou partenaire externe de confiance.

Gardez un œil sur le site de l’éditeur pour surveiller les mises à jour et insistez pour que votre expert sécurité applique ces mises à jour et ces correctifs sur votre site.

La meilleure solution consiste sans doute à opter pour une application de sécurité e-commerce complète qui non seulement vous protégera des vulnérabilités les plus courantes, mais vérifiera aussi sur le site de l’éditeur que la version que vous exécutez est la plus récente.

Sécurisez votre espace d’admin

L’un des moyens les plus simples d’améliorer la sécurité de votre site à moindre coût consiste à protéger votre espace d’administration.

Les plateformes connues comme Magento ou WooCommerce (basée sur WordPress) proposent un espace d’administration configuré par défaut.

Il est cependant indispensable de changer le nom d’utilisateur par défaut de l’administrateur. Cette simple modification vous protège des attaques les plus basiques qui visent les cibles faciles. Les hackers sont à l’affût de victimes naïves... Si vous conservez le nom d’utilisation par défaut « admin », vous êtes une proie facile pour eux. Optez pour des identifiants de connexion originaux et difficiles à pirater.

Vous pouvez également limiter l’accès à l’espace d’administration. Il vous suffit pour cela d’établir une « liste blanche » d’adresses IP contrôlée par votre administrateur serveur. Ainsi, seules les adresses IP connues pourront accéder à votre espace d’admin.

Enfin, configurez cet espace pour que votre administrateur soit immédiatement informé dès le franchissement d’une valeur seuil donnée : nombre de tentatives de connexions échouées ou tentatives de connexions à partir d’adresses IP inconnues.

Simples et peu coûteuses, ces quelques mesures sont étonnamment efficaces.

Sauvegardez régulièrement vos données

Imaginez qu’un matin en vous levant, vous vous aperceviez que votre site a été piraté !

Aie, la journée commence très mal...

Maintenant, imaginez ce que vous ressentiriez si votre site n’a pas été sauvegardé ! La journée vire alors au cauchemar.

Personne n’est à l’abri d’une panne matérielle ou d’une erreur humaine qui pourrait entraîner une perte massive de données.

Le fait est que l’on n’est jamais trop prudent en matière de sauvegarde de données. Et rappelez-vous : VOUS êtes responsable de ces sauvegardes.

Ne partez pas du principe que ce soit à votre hébergeur ou à votre concepteur Web de s’en occuper. En tant que propriétaire de vos données, leur sauvegarde relève de votre responsabilité.

Il y a certes plusieurs façons de sauvegarder manuellement vos données, mais il peut être difficile de prendre l’habitude de sauvegarder régulièrement vos données. Un oubli est si vite arrivé, avec pour conséquences des sauvegardes qui remontent à deux ou trois mois en arrière — et qui ne sont alors d’aucune utilité.

Le mieux est d’utiliser un service de sauvegarde automatique qui, une fois configuré, s’exécute automatiquement. C’est l’idéal si vous voulez pouvoir dormir sur vos deux oreilles, avec l’assurance que vos données sont sauvegardées, en sécurité et à jour.

Ne conservez jamais les données de carte bancaire de vos clients

Certaines plateformes d’e-commerce vous offriront la possibilité de stocker les informations de carte bancaire de vos clients. N’acceptez JAMAIS de telles propositions.

Non seulement c’est une très mauvaise idée, mais surtout, vous pourriez être lourdement sanctionné en cas de piratage de vos systèmes.

Le mieux est de confier les paiements à une passerelle de paiement qui gérera ce service pour vous et conservera les paiements en dehors de votre site. Car pour gérer des données aussi sensibles, ces passerelles mettent en place des mesures de sécurité draconiennes.

Pour ceux qui démarrent dans l’e-commerce avec un budget serré, les services de paiement comme PayPal leur permettront de réaliser leurs premières ventes. Certains clients préfèrent d’ailleurs payer par PayPal. C’est donc une bonne chose de leur laisser le choix !

Mais que cela ne vous dispense pas de viser une accréditation PCI-DSS (Payment Card Industry Data Security Standard).

La conformité à la norme PCI-DSS exige que votre site Web garantisse l’intégrité des données financières de vos clients et effectue un contrôle d’accès renforcé sur l’ensemble de ses pages.

Utilisez un logiciel antifraude avec géolocalisation

Le piratage informatique ne connaît pas de frontières.

Lorsque les données d’une carte de paiement sont volées quelque part, elles peuvent être envoyées par voie électronique à l’autre bout du monde et utilisées pour frauder en ligne.

Le site sur lequel le cybermalfaiteur passe sa « fausse commande » envoie les marchandises, mais c’est une opération « à perte » pour le vendeur. Lorsque les détenteurs des cartes volées se retournent vers leur banque à chaque prélèvement indu, l’entreprise est prélevée par la banque du montant de chaque vente (« ce que l’on appelle le chargeback en anglais ») à titre de dédommagement pour les victimes des arnaques. En plus du manque à gagner, la DERNIÈRE chose que l’entreprise peut souhaiter est d’être perçue par les cyberfraudeurs comme une « proie facile ».

Les outils antifraude avec géolocalisation offrent un bon moyen de contrer ce type de problèmes. Ces outils attribuent en effet un « score de fraude en temps réel » qui permet à tout cybermarchand d’évaluer le niveau de risque d’une transaction.

L’algorithme étudie plusieurs critères autour de l’adresse IP d’où provient la commande et prend en compte les méthodes de dissimulation les plus répandues, comme l’utilisation de proxies, qu’il compare avec sa base de données de milliards de transactions afin d’établir un score de risque de fraude unifié.

En cas d’incertitude, cela vous permet de rembourser la commande ou de procéder manuellement à des vérifications complémentaires.

Ce qui m’amène tout naturellement à aborder la question des...

... procédures et règles de sécurité manuelles

Ne sous-estimez jamais l’efficacité des bonnes vieilles procédures manuelles.

Reprenons l’exemple donné plus haut : vous recevez une commande avec un score de risque élevé, mais qui vous paraît en ordre.

Comment procédez-vous ? Vous pourriez choisir de a) faire confiance à votre instinct ou b) mener votre enquête.

Je pencherais pour la seconde option. Et c’est là que vos règles et procédures de sécurité interviennent.

Même si l’évocation des termes « processus » et « procédures » déclenche chez vous une irrépressible envie de bâiller, la réalité peut être aussi simple qu’un appel passé au client au numéro de téléphone indiqué. Dans le cas où ce client n’était pas disponible, vous pourriez lui envoyer un e-mail lui demandant de produire une ou deux pièces d’identité.

À vous de trouver la solution la mieux adaptée à votre situation.

Vous pouvez également étendre vos procédures aux mots de passe et aux règles de sécurité physique (en cas de perte ou de vol d’équipements comme les ordinateurs portables utilisés pour accéder à votre système).

Sécurité multiniveaux

En l’absence de recette miracle pour sécuriser votre site, nous vous invitons à étudier plusieurs niveaux de sécurité.

Vous pourriez commencer avec un pare-feu. Suivant votre budget, vous pourriez utiliser un pare-feu physique ou un pare-feu d’applications Web. Ces pare-feu offrent au moins une première ligne de défense contre les attaques les plus connues, comme l’injection de SQL ou le cross-site scripting.

Vous pouvez également optimiser votre site à l’aide d’un réseau de diffusion de contenus (CDN). Un CDN regroupe plusieurs serveurs géographiquement dispersés et stocke plusieurs copies des pages de votre site Web.

Sur le plan de la sécurité, l’un des avantages du CDN est « d’apprendre » à reconnaître le trafic malveillant pour l’empêcher de nuire sur votre site.

Autre avantage : le CDN peut également prévenir les attaques de déni de service distribué (DDoS).

Pour empêcher les DDoS sur un serveur, vous pouvez également utiliser un logiciel Open source gratuit.

Conclusion

La sécurité a un prix qui reste néanmoins inférieur au coût à payer en cas de piratage.

Si en définitive, il n’existe aucune solution unifiée pour sécuriser entièrement un site marchand, la meilleure solution est celle qui tient compte de plusieurs paramètres : le choix du bon logiciel et de la bonne plateforme d’hébergement, mais aussi la régularité des mises à jour et des correctifs de sécurité.

Tenez-vous prêt à faire face en cas de mauvaises nouvelles. Effectuez des sauvegardes automatiques de votre site.

Envisagez une approche multiniveaux basée sur plusieurs outils. Et n’oubliez pas le rôle stratégique des bonnes vieilles procédures écrites pour maintenir la sécurité sur votre site.

Partager ce blog