L’univers de l’e-commerce est le 3ème secteur le plus vulnérable face aux attaques et aux intrusions sur le web. Dans certains secteurs de ce corps de métier, des sites web subissent des tentatives de hacking toutes les 26 minutes ! La sécurité d’un e-commerce est donc un enjeu crucial pour la pérennisation de votre entreprise. Ce guide passe en revue les solutions qui marchent si vous vous demandez vous aussi “comment renforcer la sécurité de mon e-commerce” ?
Trouvez des solutions de protection dès le lancement du site web
Nombre d’entrepreneurs attendent de se faire attaquer pour protéger leur site e-commerce. Malheureusement, ces initiatives sont tardives et coûtent plus cher. Si vous n’avez encore jamais subi d’attaques, adoptez des solutions drastiques dès maintenant. Pour cela, vous devez bien identifier les menaces. Les sites e-commerce doivent notamment faire face aux skiddy et aux hackers proprement dits. Les skiddys sont des pirates qui se servent de scripts pour trouver les failles du système de sécurité de votre site internet. Les hackers envoient plutôt des spams cachant des chevaux de Troie, créent leurs propres scripts pour prendre le contrôle du site internet, ou interceptent les identifiants et mots de passe utilisés pour procéder aux paiements sur la page dédiée à cet effet. Dès la création du site internet, vous devez donc lui adjoindre un WAF (Web Application Firewall). Il s’agit d’un pare-feu doté de 2 fonctionnalités principales : d’abord, il inclut des mises à jour, ainsi qu’un système de veille qui vous renseigne constamment sur la situation de sécurité de votre site web. Le WAF est une disposition minimale, mais incontournable pour vous prémunir contre les attaques. Mais ce n’est pas tout.
Équipez-vous de gages renforçant la sécurité
Certains outils numériques sont cruciaux pour renforcer la confiance de vos clients. Mais ils permettent aussi de compliquer la tâche aux hackers. 2 outils en particulier sortent du lot et sont essentiels :
Une URL sécurisée
Vous devez notamment obtenir un certificat SSL qui vous donne droit à une URL de type HTTPS. Cet outil est utile à plus d’un titre : d’abord, il améliore indirectement votre référencement en ligne. En effet, Google incite depuis quelques mois les propriétaires de sites à passer au HTTPS. Même si l’incidence n’est pas directe sur le SEO, vous ne souhaitez surement pas que vos clients voient un message indiquant que votre site n’est pas sécurisé ? Aussi, les sites web sécurisés (HTTPS) présentent moins de failles, car ils incluent souvent un ou plusieurs gages de sécurité supplémentaires : des badges.
Les badges de sécurité
Les badges de sécurité sont des boucliers qui protègent et cryptent les transactions financières sur votre site internet. La présence de badges de sécurité est un plus pour les usagers qui savent que leurs données confidentielles ne sont pas volées. Ils sont fabriqués par des entreprises spécialisées dans la conception d’antivirus et de solutions de protection pour les sites web. Les solutions sécurisées usuelles sont entre autres le Norton Security ; le VeriSign et le McAfee Secure. Ces badges de sécurité incluent aussi des certificats obligatoires. Depuis février 2014, votre site e-commerce doit intégrer la certification PCI DSS (Payment Card Industry Data Security). Ce certificat numérique protège les transactions financières et prévient les fraudes sur le site e-commerce.
Des mesures particulières pour les sites e-commerce sous CMS
Si votre site internet est conçu avec un CMS de type Joomla ou WordPress, les mesures de sécurité seront plus drastiques, car ces CMS peuvent présenter des failles quand vous les utilisez mal. Voici les mesures à prendre pour sécuriser un site e-commerce sous CMS :
- Téléchargez systématiquement la mise à jour la plus récente de votre CMS. En effet, nombre d’entre eux sont révisés à cause de failles et d’attaques massives et visent avant tout à vous protéger.
- Configurez vos noms d’utilisateurs et mots de passe en les modifiant et en les rendant plus complexes. En aucun cas, vous ne devriez utiliser les identifiants attribués par défaut lors de la création du site internet. Exemple : « admin ou administrateur »
- Intégrez des outils de scans réguliers. Ils ont pour but de surveiller le site et détecter rapidement des anomalies et intrusions suspectes. Pour un site sous WordPress par exemple, la solution Code Guard fait office d’excellent outil de scan.
- Sauvegardez régulièrement une version « propre » de votre site sous CMS. Ainsi, même après une attaque, vous pouvez réinstaller un site avec l’ensemble de vos données précédentes. Des outils comme Updraft Plus, Dropbox ou BackUpBuddy sont autant d’outils permettant de sauvegarder un site e-commerce sous CMS.
Des règles simples qui vous faciliteront la vie
Quelles que soient l’ossature et l’architecture de votre site e-commerce, prenez l’habitude d’utiliser des astuces qui améliorent et renforcent l’efficacité de votre plateforme web. Pour que la tâche des hackers soit plus complexe, appliquez les points suivants :
- Choisissez des mots de passe complexes, incluant des chiffres, des lettres, des majuscules et au moins 8 caractères.
- Tous les mots de passe doivent être stockés en md5 (c’est-à-dire de manière cryptée) en base de données.
- Intégrez des outils qui bloquent le nombre de tentatives de connexion lors de la saisie d’un mot de passe erroné, ainsi qu’un outil de réactivation par mail. Ainsi, vous serez protégé des attaques par force-brute visant à essayer plusieurs mots de passe pour deviner le bon. Vous avez aussi la possibilité de bloquer l’adresse IP qui tente d’attaquer votre site web par force-brute.
- Ne fournissez jamais vos accès FTP, vos bases de données et vos back-office à un prestataire.
- Collaborez avec votre hébergeur et assurez-vous que les solutions de protection qu’il préconise sont optimales et conviennent bien à votre site internet.
Si les solutions préconisées sont appliquées avec soin, vous ne vous demanderez plus « comment renforcer la sécurité de mon e-commerce ?». Évidemment, tous les outils préconisés ici ont un coût. Mais lorsque le site internet e-commerce est sécurisé, vous augmentez le nombre de vos clients qui sont plus confiants. La protection est donc un atout marketing non-négligeable ! Pour aller plus loin dans la sécurisation de votre site web, n’hésitez pas à effectuer des blocages depuis votre fichier htaccess.
