Huit outils pour sécuriser votre site e-commerce

Les huit outils indispensables à la sécurité d’un site e-commerce.

1

L’e-commerce est en constante progression avec environ 180 000 de sites marchands actifs répertoriés et on compte aujourd’hui en France 38.8 millions de personnes réalisant des achats sur le web. Il est dès lors devenu impossible d’ignorer la place majeure qu’entretiennent les sites web marchands pour une entreprise. Si l’importance du e-commerce dans le tissu économique actuel n’est plus à prouver, il est alors capital d’étudier les menaces qui pourraient entraver au bon fonctionnement du site et quels sont les outils qui serviraient à protéger votre site internet.

1. Le protocole HTTPS

protocole HTTPS

La toute première chose dont il faut s’assurer lorsqu’il s’agit d’un site web est qu’il soit sécurisé et que les internautes peuvent y naviguer sans crainte. Pour cela, il existe un moyen très simple pour s’assurer de la sécurité de son site, à savoir le passage en HTTPS. C’est même devenu une obligation en Octobre 2017 par Google. Le HTTPS (Hyper Text Transfer Protocol Secure) est un protocole qui chiffre les informations échangées et sécurise le transfert de données. Le HTTPS protège donc les informations de vos clients telles que leurs emails ou mots de passe et permet une navigation plus sécurisée en limitant la propagation de logiciel malveillant.

Vous pouvez passer au HTTPS en vous procurant un certificat SSL. Il en existe de différentes sortes qui sont adaptés au type de site que vous possédez et aux informations que vous voulez voir protéger. Vous pouvez vous en procurer aisément chez HTTPCS, un expert pourra également vous conseiller sur le certificat le plus adapté à vos besoins. 

2. Les mises à jour

Mise à jour

Si vous avez conçu votre site avec un CMS (Content Management System), il est primordial de télécharger de manière systématique les dernières mises à jour. En effet, la plupart des CMS sont révisés régulièrement afin de corriger les possibles failles et ainsi, vous assurer une protection continue. Concevoir son site internet marchand sur ce type de plateforme comporte quelques avantages, à savoir que vous ne devez pas forcément être un expert en informatique pour vous assurer un minimum de protection. Il faut tout de même rester attentif, bien que les mises à jour soient absolument nécessaires pour éviter certaines failles, elles ne stoppent en rien le risque d’attaques sur votre site.

Les mises à jour sont donc essentielles notamment lorsqu’il s’agit de plugins et de scripts. En effet, beaucoup d’entre eux sont en open-source, les rendant ainsi lisibles par tous. Par conséquent, tout le monde peut les analyser et découvrir leurs failles. C’est la manière la plus courante pour un pirate pour attaquer un site internet.

La procédure de mise à jour est le B.A.-BA d’un détenteur de site mais l’informatique n’étant pas fait pour tous et peut être réellement intimidant quand on s’y lance sans vraiment avoir reçu de formation au préalable. C’est pourquoi il existe des formations auxquelles vous pouvez participer afin de vous familiariser avec les gestes simples à adopter qui vous aideront à lutter contre les attaques. Vous pouvez alors vous former chez Ziwit Academy qui offre une formation pour tous les niveaux.

3. L’hébergeur

hébergeur

Une autre manière de sécuriser davantage votre site web est d’utiliser le bon hébergeur. Il existe une multitude d’hébergeurs, certains moins chers que d’autres, mais afin de vous assurer la bonne sécurité de votre site, il est important de choisir un hébergeur adapté et qui soit sécurisé afin d’éviter tout type d’attaques. Il est également à prendre en compte l’emplacement du serveur de votre hébergeur. En effet, il est recommandé qu’il se trouve en Europe en raison des lois toujours plus strictes sur la protection des données personnelles. Un hébergeur de qualité situé en France ou dans un pays voisin, minimise le risque de fuite de données.

4. Les passerelles de paiement

passerelles de paiement

Pour un site marchand, les paiements par carte bancaire sont inévitables. Vous avez alors la possibilité de proposer à vos clients de sauvegarder leurs données de carte bancaire. Cette option n’est pas recommandée dans la mesure où vous serez responsable dans le cas d’une fuite de données. C’est pourquoi il existe des passerelles de paiement vers qui vous pouvez vous tourner pour gérer les transactions financières. Ces passerelles de paiements emploient des mesures drastiques pour protéger ces données et rendent le paiement pour vos clients sécurisé. Vous pouvez donc viser une passerelle de paiement accréditée PCI-DSS  (Payment Card Industry Data Security Standard). Cette norme oblige votre site web à garantir l’intégrité des données financières et réalise des contrôles d’accès renforcés sur votre site. Si vous venez tout juste de lancer votre site marchand et que votre budget est serré, vous pouvez toujours vous tourner vers une plateforme telle que PayPal dont le paiement est sécurisé et connu du plus grand nombre.

5. Logiciel anti-fraude

Anti-fraude

Il faut savoir que lorsqu’une personne se fait voler ses données de carte bancaire et qu’elle en réfère à sa banque, cette dernière demande au site marchand de reverser le montant du prélèvement fait à l’insu de la victime en guise de dédommagement. C’est une vente à perte que l’entreprise aura réalisé avec une transaction frauduleuse. C’est donc pourquoi il est utile de se munir d’un logiciel anti-fraude qui évaluera le taux de risque d’une transaction. Le logiciel se base sur les adresses IP d’où provient la vente et étudie les facteurs tels que les proxies afin de déterminer si la transaction comporte un haut risque de fraude.

L’utilisation d’un tel logiciel pourrait vous éviter de perdre de l’argent en étant contraint de restituer l’argent aux banques et vous permet également d’être une cible moins facile pour les pirates.

6. Le scanner de vulnérabilité

Vulnérabilité

Il existe plusieurs niveaux de sécurité pour sécuriser votre site web et en première ligne on peut mentionner un pare-feu qui vous sera très utile pour éviter les attaques les plus connues telles que le Cross-site Scripting. Cependant, un site marchand ne peut se contenter d’une sécurité minimum car une grande partie, voire la totalité pour certains, de son chiffre d’affaire réside dans les transactions réalisées à travers le site. C’est pourquoi, il est important de connaître les failles de votre site web et d’agir en conséquence. C’est donc là qu’entre en jeu le scanner de vulnérabilité. Il passera votre site web au peigne fin afin de détecter toutes les failles qu’il comporte. Vous pouvez trouver un tel outil chez HTTPCS qui vous fournit un rapport détaillé des faiblesses de votre après le criblage.

7. L’intégrité du site

HTTPCS Integrity virus

La plus grande menace d’un site web est le risque de piratage informatique et de voir un tiers contrôler, modifier ou altérer de quelque manière que ce soit son site web. Le danger étant d’autant plus grand dans la mesure où on ne se rend pas toujours compte immédiatement qu’un hacker s’est introduit dans notre système et a accès à toutes nos informations. Il est donc très important d’effectuer des contrôles réguliers afin d’être tenu au courant de la moindre intrusion. Heureusement pour nous, il existe des outils qui analyse la cartographie complète du site web à une fréquence régulière afin de détecter toute activité suspecte. Par exemple, le robot Integrity d’HTTPCS vérifiera dans la plus grande minutie, fichier par fichier, image par image, si un document malveillant s’est introduit un document.

8. Le Monitoring

Monitoring

L’indisponibilité – ou plus connu sous le mot anglais downtime -, dans notre contexte bien précis, concerne l’indisponibilité d’un site web. Cela peut vouloir dire que le site est entièrement indisponible aux utilisateurs finaux, ou alors pour un site marchand, qu’il est impossible au client d’ajouter un article dans le panier, de procéder au paiement ou encore de charger les pages du site correctement. Avouons-le, cela est très gênant et peut faire perdre énormément d’argent car de nos jours, personne n’attendra que le site revienne à la normale. Au contraire, ils se précipiteront vers la concurrence.

Les causes d’indisponibilité sont multiples. En effet, cela peut être causé par une simple erreur de code, une panne d’équipements, ou dans le cas le plus grave, une attaque malveillante. Ces indisponibilités peuvent être évitées en surveillant le temps de disponibilité (monitoring uptime). C’est un type de surveillance qui utilise des points de contrôle afin d’envoyer des requêtes et de se connecter à des sites ou encore des serveurs. Si le temps de réponse est trop long ou qu’une erreur survient, une alarme peut être déclenchée. Il existe d’autres types de monitoring tels que la surveillance avancée de la disponibilité visant avant tout à vérifier la disponibilité, les téléchargements, les bases de données ou encore le contenu des certificats TLS et SSL ou encore le monitoring de la performance où le point de contrôle charge la réponse dans un navigateur et où la performance de tous les éléments de la page est vérifiée. Cela permet donc de signaler les soucis de performance à la fois du côté du client et du côté du serveur. Vous procurer un outil de monitoring est décidément un indispensable pour assurer la continuité de performance de votre site.

La sécurité d’un site web marchand est primordiale compte tenu des informations précieuses qu’il contient. Un site web peut contenir des emails, mots de passe, adresses postales et données bancaires de ses clients, et c’est pourquoi il en va de votre devoir de sécuriser au maximum votre site. Il existe plusieurs gestes à adopter, plusieurs outils dont il faut se munir afin de prévenir toute attaque qui vont du plus simple et économes au plus complexe et couteux. Que vous soyez une PME ou un grand groupe, vous avez désormais peu d’excuses pour ne pas avoir un site entièrement sécurisé. Par ailleurs, la sécurité de votre site web est étroitement liée à votre business car il va sans dire qu’un site web qui n’est pas totalement de confiance perdra de ses clients, et donc de l’argent. C’est pourquoi il est donc plus intelligent d’investir dans des outils de qualité afin de sécuriser votre site et ainsi rassurer vos clients.

Il n’existe malheureusement pas de risque zéro et tous les sites sont exposés à la cyber criminalité, c’est donc pour cela qu’il faut sans cesse réaliser les mises à jour et surtout connaître les failles de son site afin d’y remédier le plus rapidement possible.

More
1 Comment
  1. Eric Bouttier says

    Bonjour,

    Merci pour votre article détaillé. Pour ma part ça commence mal puisque je ne suis pas encore passé au HTTPS par manque de temps ( #1 ). En revanche je mets à jour mes sites chaque semaine ( #2 ) et j’ai choisi un hébergeur réputé et situé en France ( #3 ).
    De plus utiliser une plateforme de paiement sécurisée ( #4 ) et un logiciel anti-fraude ( #5 ) c’est le b-a-ba d’un site marchand.
    Quant au scanner de vulnérabilité, j’ai parfois plusieurs centaines de tentatives de piratage en 10 minutes sur mon site ( #6 ). Par ailleurs vérifier l’intégrité du site fait aussi partie de mes préoccupations ( #7 ). Enfin j’ai mis en place le monitoring il y a peu ( #8 ).

    Bonne journée

Comment

Your email address will not be published.