Sécurité

Sécurisez vos données commerciales avec des outils intégrés et des bonnes pratiques qui vous permettent d'acquérir une visibilité, de simplifier les opérations et de sécuriser facilement votre boutique sous toutes ses facettes.


La totalité de vos données, en lieu sûr.

Les particuliers et les acheteurs B2B s’attendent à ce que vous en sachiez suffisamment sur eux pour rendre leurs expériences d’achat mémorables. Mais ils vous font également confiance pour protéger leurs données les plus sensibles. Or, du fait de l’omniprésence des cybermenaces, mettre vos données commerciales à l’abri du danger est plus facile à dire qu’à faire.

 

Adobe Commerce est certifié PCI en qualité de fournisseur de solutions de niveau 1. Concrètement, les commerçants qui exploitent notre solution peuvent se prévaloir de notre attestation de conformité PCI pour accélérer leur propre processus de certification PCI. Avec Adobe, exercez vos activités en ligne en toute confiance à l’aide d’outils d’analyse de sécurité qui vous permettent de surveiller vos sites et d’être averti des risques de sécurité, logiciels malveillants et accès non autorisés. Grâce à notre communauté de développeurs très active, vous êtes sûr que vos mécanismes de sécurité sont constamment actualisés pour contrer les menaces actuelles et futures.

Suivre la visite guidée d’Adobe Commerce

Découvrez comment notre technologie de dernière génération, notre réseau mondial de partenaires et notre marketplace d’extensions peuvent donner vie à votre site web de e-commerce.

Créez des sites web sécurisés.

Les usagers sont mieux protégés en utilisant le protocole HTTPS sur votre site. Avec le HTTPS, les pages comptes et règlement sont toujours sécurisées, c’est pourquoi nous vous recommandons de sécuriser l’ensemble des pages de votre site avec ce protocole (soit en utilisant un certificat SSL partagé, soit un certificat SSL propre pour un coût supplémentaire).

Fastly fournit un réseau CDN (Content Delivery Network) et une protection contre les attaques DDoS de la couche 3 à 7. Ce CDN permet d’isoler l'accès direct au serveur d'origine et le serveur DNS public ne communique qu’avec lui. La protection contre les attaques DDoS de Fastly bloque les attaques hautement disruptives sur les couches 3 et 4, tout comme les attaques plus complexes sur la couche 7. Les attaques sur la couche 7 sont stoppées grâce à des règles personnalisées en fonction de la requête HTTP/HTTPS globale et de critères basés sur les clients et les requêtes : en-têtes, cookies, chemin de requête, adresse IP du client ou d’autres indicateurs comme la géolocalisation.

Le pare-feu pour application web de Fastly apporte une protection supplémentaire. Ce pare-feu cloud utilise des règles de sources externes payantes ou open source, dont les règles de protection OWASP, et des règles spécifiques à Adobe Commerce. Les clients bénéficient d’une protection contre les principales attaques sur les différentes couches, notamment contre les failles d’injection, l’exécution de fichiers malicieux, les attaques multisites par scripts, l’exfiltration de données, les violations du protocole HTTP et d’autres vulnérabilités de sécurité parmi le top 10 de la communauté OWASP. Les règles du pare-feu sont mises à jour consécutivement à l’identification de vulnérabilités. Adobe Commerce peut ensuite « corriger virtuellement » les problèmes de sécurité avant l’application des correctifs logiciels.

L’environnement de production d’Adobe Commerce Cloud Pro est configuré comme un cloud privé virtuel où les trois serveurs de production sont isolés, avec une capacité limitée de connexion et de déconnexion à l’environnement cloud. Seules les connexions sécurisées au cloud sont autorisées. Des protocoles sécurisés tels que SFTP et rsync peuvent être utilisés pour le transfert de fichiers. Les clients peuvent aussi se servir de tunnels SSH pour sécuriser les communications avec l’application. Toutes les connexions à ces serveurs sont contrôlées par des groupes de sécurité cloud, un pare-feu virtuel qui limite les connexions à l’environnement. Les équipes techniques du client ont accès à ces serveurs via SSH.


Tester et crypter

Adobe réalise des tests d'intrusion réguliers de l’instance principale d’Adobe Commerce sur application cloud. Les commerçants et partenaires doivent effectuer leurs propres tests d'intrusion pour leurs applications et extensions personnalisées.

Adobe Commerce requiert des intégrations de passerelle permettant la transmission directe des informations de carte bancaire depuis le navigateur du client vers la passerelle. Avec ce type d’extension de paiement, les données de carte bancaire ne sont pas stockées dans l’environnement de production d’Adobe Commerce.

Adobe Commerce teste régulièrement le code principal des applications pour détecter d’éventuelles vulnérabilités. Des correctifs de sécurité sont fournis aux clients en cas de défauts et de problèmes détectés. L’équipe en charge de la sécurité produit d’Adobe Commerce valide les produits destinés à l’e-commerce conformément aux consignes de sécurité pour applications web OWASP. La conformité est testée et vérifiée au moyen de différents outils d’évaluation des vulnérabilités de sécurité et par plusieurs spécialistes externes. Toute la base de code est également analysée régulièrement à l’aide de ces outils.

La disponibilité des correctifs de sécurité est notifiée aux clients par e-mail, par notification dans l’application ou dans le Centre de sécurité Adobe Commerce. Ces correctifs doivent être lancés dans les applications personnalisées correspondantes dans les 30 jours suivant leur publication, conformément aux directives PCI. Adobe Commerce fournit également un outil d’analyse de la sécurité qui permet aux commerçants de surveiller leurs sites et d’être avertis des risques de sécurité, logiciels malveillants et accès non autorisés. Security Scan est un service gratuit et peut être exécuté dans toutes les versions d’Adobe Commerce.

Nous utilisons le service de stockage par bloc Amazon Elastic Block Store (EBS). Tous les volumes EBS sont cryptés à l'aide de l'algorithme AES 265. Ce qui signifie que l'ensemble de vos données stockées sera crypté. Le système crypte également les données pendant leur transfert entre le réseau de diffusion de contenu (CDN) et le point d'origine, ainsi qu'entre les serveurs d'origine. Les mots de passe des clients sont stockés sous forme hachée. Les identifiants confidentiels, notamment ceux utilisés pour la passerelle de paiement, sont cryptés à l'aide de l'algorithme SHA 256. L'application Adobe Commerce ne prend pas en charge le cryptage de niveau colonne ou ligne. Elle ne gère pas non plus le cryptage de données si ces dernières ne sont pas au repos ou ne sont pas en circulation entre des serveurs.


Créez des sites web sécurisés.

L'intégralité du code exécutable est déployée dans une image de système de fichiers en lecture seule (SquashFS), pour réduire les surfaces d'exposition aux attaques. Avec un système de fichiers en lecture seule, les possibilités d'injecter du code PHP ou JavaScript dans le système ou de modifier les fichiers d'application Adobe Commerce sont considérablement réduites.

L’unique moyen de déployer du code exécutable dans l’environnement de production d’Adobe Commerce est de suivre un processus de provisioning, qui consiste à transférer du code source de votre référentiel source vers un référentiel distant qui se charge de lancer le processus de déploiement. Vous contrôlez totalement les accès à cette cible de déploiement. Tous les déploiements de code applicatif au sein de l’environnement de production sont contrôlés par le client.

Appréhendez et instaurez les indicateurs de performance clés dans votre entreprise.

La totalité des activités cloud - Linux, serveur d’applications et journaux d’évènements - sont enregistrées sur les serveurs de production et les sauvegardes. Toutes les modifications du code source sont enregistrées dans un référentiel Git. L’historique des déploiements est accessible depuis l’interface utilisateur d'Adobe Commerce Cloud. Toutes les opérations du support sont consignées et les sessions d’assistance enregistrées.

Contenu associé

Voyons ensemble comment Adobe Commerce peut aider votre entreprise.