Blog GlobalSign

07 janv. 2020

Site e-commerce : 5 mesures de cybersécurité à prendre dès la création

La création d’un site e-commerce devrait être une expérience agréable et passionnante, mais pour garantir la sécurité de l’entreprise — et de ses clients — certains points importants doivent être pris en compte. Qui souhaiterait la ruine de sa boutique en ligne flambant neuve et de sa marque d’entreprise — tout ça, à cause de pirates informatiques, de failles de sécurité ou de pertes de données ?

La création d’une boutique en ligne sécurisée commence dès l’instant où vous choisissez votre fournisseur d’hébergement, et se poursuit au quotidien lorsque vous utilisez votre site Web. Venons-en aux cinq points qu’il faut impérativement avoir en tête pour créer un magasin en ligne en toute sécurité :

1. SSL et service d’hébergement sécurisé

Le choix de l’hébergeur est l’un des aspects les plus importants dans la construction d’un site Web. C’est d’autant plus crucial lorsque l’on crée une boutique en ligne, puisque les clients passeront par votre site pour effectuer leurs paiements. En résumé : la sécurité est une priorité absolue.

Un hébergeur stocke les fichiers de votre site sur ses serveurs. Sans lui, il serait impossible de mettre votre site sur Internet. Mais les hébergeurs ne font pas « qu’héberger » un site Web : ils sont responsables de le maintenir opérationnel, de gérer les pics de trafic, de maintenir la vitesse du site, etc.

Même si vous ne pouvez vous en remettre entièrement aux hébergeurs pour assurer la sécurité de votre boutique en ligne, mettez toutes les chances de votre côté en choisissant un prestataire sérieux qui mettra tout en œuvre pour assurer sa protection. Les meilleurs fournisseurs d’hébergement proposent très souvent des certificats SSL (Secure Sockets Layer) avec tous leurs abonnements, tandis que d’autres incluent des dispositifs de sécurité et de défense supplémentaires comme ce qui suit :

  • Pare-feu
  • Sauvegardes automatiques
  • Protection contre le piratage
  • Protection contre les attaques DDoS (Distributed Denial of Service)
  • Détection et suppression des logiciels malveillants

Important : une boutique en ligne doit se doter à tout prix d’un niveau de sécurité SSL.

Les certificats SSL chiffrent toutes les données qui transitent par le site Web, y compris les détails de connexion et les informations de paiement. Sans SSL, les données privées sont vulnérables aux pirates et aux fuites. Vérifiez toujours le type de certificat SSL proposé avec votre plan d’hébergement. La plupart fournissent une version SSL de base, mais pour une activité de vente en ligne, cela vaut la peine d’investir dans les options plus évoluées. Pensez au SSL à validation étendue (Extended Validation, EV), qui correspond au niveau de protection maximum qu’un certificat SSL peut offrir grâce à une vérification approfondie de l’entreprise.

2. Chiffrement TLS et préparation de la DSP2 pour des transactions financières protégées

En matière de sécurité sur Internet, vos clients méritent ce qu’il se fait de mieux. C’est là que le protocole TLS (Transport Layer Security) entre en jeu. Le TLS est une version similaire, mais améliorée, du protocole de sécurité SSL. Les termes sont souvent employés l’un pour l’autre, car le TLS sécurise le transfert de données entre les clients et un magasin — plus ou moins comme le SSL.

Pour dire les choses simplement, le TLS fait trois choses : il s’assure que les deux parties sont bien qui elles prétendent être, il vérifie que les données partagées ne sont pas corrompues, et il chiffre les informations pour que leur transfert entre les parties soit protégé. Mais alors, de quoi avez-vous besoin pour installer le TLS ? Bonne nouvelle : il est généralement installé avec le certificat SSL, vous n’avez donc rien à faire de plus.

L’éventuel travail supplémentaire à réaliser est lié au nouveau règlement européen PSD2 entré en vigueur en septembre dernier. Cette directive révisée des services de paiement a été conçue pour favoriser les consommateurs, réduire la fraude, ouvrir la voie à de nouveaux modes de paiement et les rendre plus sûrs. Devant l’augmentation de la fraude aux paiements chaque année, la directive PSD2 pourrait être une bénédiction pour votre boutique en ligne. Mais si vous n’êtes pas prêt, le rêve pourrait virer au cauchemar.

On retiendra avant toute chose qu’il s’agit de mieux protéger les transactions financières par une authentification forte du client (Strong Customer Authentication, SCA). Le traitement des paiements sera adossé au protocole 3D Secure 2.0 et offrira en prime un système d’identification en plusieurs étapes pour les clients qui dépensent de l’argent dans l’Espace économique européen. En plus de renforcer la sécurité des paiements, la SCA sera gérée par la banque du client. En d’autres termes, la question de la conformité SCA ne concerne pas les magasins — vous n’avez donc pas à vous en préoccuper.

Qu’avez-vous à faire de votre côté ? Assurez-vous que votre caisse est prête à gérer ce nouveau système d’authentification en plusieurs étapes. Préparez-vous au 3D Secure 2.0 en confirmant que les champs appropriés sont prêts à être remplis par vos clients. Vous devriez ainsi renforcer la sécurité des transactions pour votre petite entreprise, sans trop de tensions avec vos clients. Guettez la sortie des certificats PSD2 de GlobalSign dans nos prochaines annonces !

3. Protection contre les attaques DDoS

Le DDoS (Distributed Denial of Service) est une forme d’attaque utilisée par des pirates informatiques pour inonder un site d’informations afin de faire planter le serveur et le rendre indisponible à ses visiteurs. Après une attaque par déni de service, les tentatives contrariées de vos clients pour se connecter à votre site nuisent à votre marque et votre réputation, avec des conséquences financières du fait du manque à gagner. Il faut également savoir que les attaques par DDoS servent souvent de diversion, pendant que d’autres zones sont également ciblées.

Quelques hébergeurs proposent une protection contre les DDoS dans le cadre de leurs forfaits. Si ce n’est pas le cas de votre fournisseur, nous vous invitons à vous tourner vers une solution externe, basée dans le cloud. Une telle solution permet de filtrer le trafic, de détecter les menaces et de réagir aux attaques DDoS. Ce service est certes payant, mais présente un véritable intérêt face à la réalité criante de la menace posée par les attaques DDoS pour les boutiques en ligne.

4. Minimisation des données pour protéger la vie privée des utilisateurs

En 2018, l’introduction du RGPD (règlement général sur la protection des données) a été un bouleversement pour les entreprises de l’Union européenne. Point phare de ce règlement, la minimisation des données répondait à une volonté de réduction du risque d’atteintes à la sécurité et de fuites de données personnelles.

La minimisation des données consiste simplement à limiter la quantité de données personnelles recueillies et à ne les conserver que pendant la durée nécessaire. Que l’on s’inscrive dans une démarche de mise en conformité au RGPD dans l’UE ou aux règles de la Federal Trade Commission aux États-Unis, la minimisation des données est un élément incontournable pour tout professionnel qui souhaite gérer son activité en toute sécurité. L’accumulation des données et l’allongement de leur durée de conservation au-delà du nécessaire augmentent les risques de vulnérabilités pour ces données. Votre entreprise s’expose par ailleurs au risque de voir la qualité de ses bases de données altérées par un afflux de données frauduleuses.

En ne collectant que des données pertinentes et essentielles, vous protégez vos activités et vos clients. Lors du traitement de vos données, posez-vous les questions suivantes :

  • Ces données sont-elles nécessaires à une finalité précise ? Par exemple, est-il vraiment nécessaire de recueillir la date de naissance d’un visiteur lorsqu’il souhaite acheter un produit ?
  • Ai-je suffisamment de données pour mener à bien telle action ? Par exemple, l’adresse d’un client peut être nécessaire pour lui expédier sa commande ou son adresse électronique pour lui envoyer un reçu de confirmation.
  • Les données non critiques sont-elles conservées ? Passez en revue les données contenues dans votre système. Certaines données sont-elles périmées ou obsolètes ? Si c’est le cas, supprimez-les !

Partant de ces principes, ne conservez jamais les données de paiement de vos clients. Généralement, les données de paiement sont traitées par un prestataire de services de paiement externe — vous n’avez donc pas à les demander. Si ces informations sont nécessaires à la réalisation de la transaction, ne les conservez pas au risque de les exposer à un risque majeur.

Beaucoup de personnes différentes vont visiter votre boutique en ligne. Respectez la vie privée de vos clients en ne recueillant leurs données qu’avec leur permission et en ne leur demandant que les renseignements nécessaires. Vérifiez les informations quand vous le pouvez et n’accumulez pas de données.

5. Sécurité interne et utilisateurs

Vous pouvez faire tout votre possible pour sécuriser votre boutique en ligne, mais s’il y a des erreurs à l’intérieur, vous exposez votre entreprise à des menaces qui viennent de l’extérieur. Première chose à faire : vérifiez que tous les mots de passe sont forts et sécurisés. N’ayez jamais aucun mot de passe partagé. S’il y a plusieurs administrateurs, chacun doit avoir des mots de passe uniques. Les gestionnaires de mots de passe offrent une solution intéressante, car ils facilitent les vérifications des niveaux de sécurité des mots de passe. Changez régulièrement vos mots de passe et configurez l’authentification en deux étapes chaque fois que possible.

Il n’en reste pas moins que le mot de passe le plus fort ne vous sera d’aucune utilité s’il appartient à la personne qui commet la violation de sécurité. Vos collaborateurs peuvent être votre plus grande faiblesse — ainsi, 20% des incidents de cybersécurité et 15% des attaques de données trouveraient leur origine au sein même de l'entreprise. Si certains employés nuisent délibérément à leurs employeurs, la plupart du temps, ces événements sont accidentels (chaque fois que l’on clique sur un e-mail d’hameçonnage, que l’on partage ses identifiants de connexion ou que l’on perd son ordinateur portable de travail). Pour se prémunir contre ces menaces internes, le mieux est d’éduquer le personnel, d’organiser régulièrement des formations et de mettre en place des plans d’action lorsqu’une fuite a manifestement eu lieu.

Le mot de la fin

Les cybermenaces ne vont pas disparaître — elles vont continuer à évoluer, croître et se transformer. Mais on peut minimiser les risques. Dans un magasin de centre ville, on peut voir venir les voleurs à l’étalage. Il suffit de garder un œil sur la vidéosurveillance et d’appeler la police si un individu glisse quelques produits sous sa veste. Mais avec une boutique en ligne, les voleurs sont beaucoup plus fins et plus discrets ; lorsqu’ils sont à nouveau visibles, il est généralement trop tard. En étant conscient des risques, vous pouvez prendre les mesures nécessaires afin de prévenir et de gérer ces risques. Vous pouvez ainsi créer une boutique en ligne qui fera votre bonheur… plutôt que celui des escrocs.

Il est temps de passer à l’étape suivante. Découvrez comment veiller sur la sécurité de votre entreprise dans un monde cyber en pleine évolution. Pour commencer, suivez les liens de ressources ci-dessous ou contactez GlobalSign pour plus d’informations :

https://www.globalsign.fr/fr/blog/guide-pour-choisir-votre-certificat-ssl/

https://www.globalsign.com/en/blog/business-risks-of-not-switching-to-always-on-ssl/

https://www.globalsign.fr/fr/blog/pourquoi-utiliser-l-authentification-multi-facteur/

https://www.globalsign.fr/fr/blog/7-avantages-de-la-biometrie-pour-la-securite/

À propos de l’auteur

Lucy Carney est l’une des principales rédactrices de WebsiteBuilderExpert, une ressource en ligne de premier plan pour celles et ceux qui veulent créer et gérer efficacement leurs sites Web.

Partager ce blog

Guide pas-à-pas pour choisir votre certificat SSL

Les 7 Avantages de la biométrie pour la sécurité