Sécurité e-commerce : implications, menaces fréquentes et bonnes pratiques actuelles

An ecommerce security professional

Une stratégie de sécurité e-commerce efficace est primordiale à la réussite d’une activité en ligne. Les menaces peuvent émaner de diverses sources et 88 % des hackers professionnels sont capables d’infiltrer une entreprise en 12 heures seulement, d’après une étude DataProt. Face au spectre d’un accès non autorisé planant sur les données de votre entreprise, vous devez vous protéger de potentielles interruptions d’activité et de l'impact que cela pourrait avoir sur votre image.

Ecommerce security stat callout 1

Nombre d’acteurs du e-commerce recourent à certaines mesures de sécurité élémentaires mais ces dernières ne permettent pas de faire réellement face au risque parce que les hackers changent constamment leurs méthodes d’attaque. Espérer avoir mis en place les solutions correctes ne suffit pas.

Il est primordial, pour protéger vos données, de connaître et de mettre en œuvre les méthodes à disposition de votre e-commerce pour sécuriser sa boutique en ligne. Dans cet article, familiarisez-vous avec les thématiques suivantes :

Qu’est-ce que la sécurité e-commerce ?

La sécurité e-commerce est un ensemble d’orientations et d’actions assurant la sécurité des transactions en ligne. À l’instar des magasins physiques qui s’adjoignent les services de vigiles et d’agents de sécurité ou investissent dans des caméras pour lutter contre le vol de marchandises, les boutiques en ligne doivent se défendre contre les cyberattaques. D’après l’édition 2020 du Trustwave Global Security Report, le retail est le secteur le plus ciblé par les cyberattaques.

Pour être en mesure d’assurer une protection adéquate de votre entreprise contre ces attaques, il vous faut d’abord connaître quatre termes essentiels à la maîtrise des protocoles de sécurité e-commerce.

Confidentialité

Dans le contexte de la sécurité e-commerce, la confidentialité suppose d’empêcher des menaces non autorisées, internes et externes, d’accéder aux données client. Enfreindre la protection de la vie privée des clients constitue une atteinte à la confidentialité, aux conséquences potentiellement désastreuses pour le secret de leurs données et pour votre réputation en tant que retailer. Les mesures de confidentialité regroupent des logiciels antivirus, pare-feu, technologies de chiffrement et autres mesures de protection des données.

Intégrité

L’intégrité tient compte du degré d’exactitude des données client d’une entreprise. Il est indispensable de disposer d’une base de données client à jour, constituée avec soin, pour piloter une activité e-commerce performante. L’utilisation de données incorrectes (numéro de téléphone, adresse ou historique d’achats inexact) est source de défiance pour les clients, qui mettent alors en doute votre capacité à protéger leurs données en particulier et la fiabilité de votre entreprise en général.

Authentification

L’authentification prouve que votre entreprise exerce les activités dont elle se réclame et que les clients sont ceux qu’ils prétendent être. Votre site doit au minimum apporter la preuve qu’il commercialise effectivement les articles invoqués et que leur livraison est conforme aux attentes. En émaillant votre site web de témoignages client et en publiant des études de cas, vous adoptez deux stratégies qui renforcent la crédibilité de votre entreprise.

Il convient également de vérifier l’identité des clients avant de traiter leurs transactions en ligne. La mise en place d’un mécanisme d’authentification à deux facteurs ou l’utilisation de liens magiques assurant la connexion des clients à leurs comptes sont autant d’exemples d’authentification côté clients.

Ecommerce security: Two-step verification

Non-répudiation

La non-répudiation signifie que ni une entreprise, ni un client ne peuvent contester les transactions auxquelles ils ont participé. Relativement implicite dans les magasins physiques, la non-répudiation se rapporte également aux achats en ligne. Les mesures en ce sens, telles que les signatures numériques, font en sorte qu’aucune des parties ne puisse récuser un achat une fois celui-ci réalisé.

Principales menaces de sécurité du e-commerce

Une multitude de cyberattaques différentes peuvent mettre en péril votre activité en ligne. Il est crucial de connaître ces menaces et de savoir comment s'en prémunir. Le meilleur moyen, dans un premier temps, consiste à cerner les grands types de menaces de sécurité dans le e-commerce.

Hameçonnage

Le hameçonnage (phishing) est une technique de cyberattaque qui leurre les victimes pour les inciter à communiquer des informations confidentielles (mots de passe, numéros de sécurité sociale, etc.) par e-mail, SMS ou téléphone. Les messages en question jouent sur le caractère d’urgence de la prétendue situation et émanent d’adresses ou de numéros de téléphone analogues à ceux avec lesquels leurs cibles interagissent fréquemment. Les pirates n’hésiteront pas à prendre d’autres mesures pour donner l’impression d’être une entreprise digne de confiance, notamment en intégrant des liens renvoyant vers des pages imitant des sites que la victime connaît.

Or, le hameçonnage ne fonctionne que si les clients communiquent les informations personnelles demandées par les assaillants. En avertissant vos clients que vous ne leur adresserez jamais d’e-mails ou de SMS leur réclamant ce genre d’informations, vous les aiderez à faire preuve de vigilance.

Logiciels malveillants et rançonneurs

Les logiciels malveillants (malware) sont spécifiquement conçus pour perturber le fonctionnement d’un système informatique, l’endommager ou y accéder frauduleusement. Un logiciel rançonneur, ou rançongiciel (ransomware) est un type de logiciel malveillant qui chiffre les fichiers d’une victime jusqu’à ce que celle-ci paie une rançon au pirate pour les récupérer.

Les logiciels malveillants risquent de vous causer des torts considérables, ainsi qu’à vos collaborateurs et à vos clients. Leurs attaques peuvent mettre votre activité à l’arrêt et vous bloquer l’accès aux systèmes stratégiques. Et se débarrasser de ces logiciels malveillants est onéreux.

Certaines mesures préventives, comme l’installation d’antivirus et d’anti-logiciels espions, la mise à jour régulière de vos systèmes et l’utilisation d’un mécanisme d’authentification sécurisé peuvent contrecarrer ces attaques de logiciels malveillants.

Injection SQL

Si le stockage de données dans une base de données de serveur SQL est une pratique relativement normale, celle-ci n’est pas automatiquement sécurisée. Les serveurs SQL stockent les données dans une série de tables, que des applications peuvent interroger au moyen de requêtes. Dès lors que ces serveurs ne sont pas protégés, les pirates ont carte blanche pour programmer et injecter leurs propres requêtes, et ainsi consulter ou modifier les informations contenues dans une base de données SQL.

Pour éviter une injection SQL (faille SQLi), ces quelques mesures intéressantes peuvent être prises dans un premier temps : dispenser une formation sur la sécurité à vos développeurs, considérer comme non fiables les modifications apportées aux tables de données et adopter des technologies de développement web modernes.

Cross-site scripting (XSS)

Une attaque XSS se produit lorsqu’un assaillant insère du code malveillant sur une page web. Si elle n’impacte pas le reste du site, elle expose les clients consultant la page à des cyberattaques de type hameçonnage ou diffusion de logiciels malveillants.

L’analyse régulière du code de votre site web, ou de ses intégrations API, en vue de déceler d’éventuelles vulnérabilités que vous vous empresserez de corriger peut contribuer à contrecarrer les attaques XSS.

Attaque par force brute

Une attaque par force brute est une tentative d’accès à votre site consistant à cibler la console d’administration de votre boutique en ligne pour s’efforcer d’en craquer le mot de passe par « force brute ». Dès lors qu’un pirate établit une connexion avec votre site, il exécutera des programmes automatisés baptisés scripts pour essayer toutes les combinaisons possibles de lettres, nombres et caractères susceptibles de composer votre mot de passe.

Vous pouvez protéger votre site e-commerce en définissant un mot de passe complexe fort pour votre panneau d’administration et en le modifiant régulièrement. Invitez vos clients à faire de même pour les comptes de fidélité qu’ils créent.

Change your password for ecommerce security

E-skimming

Le e-skimming (ou copie électronique de carte bancaire) est une méthode consistant à dérober les informations des cartes bancaires et les données personnelles lors du traitement des paiements sur les sites e-commerce. Dans le cadre de cette attaque, les pirates accèdent aux pages de check-out et interceptent les informations de paiement en temps réel, au fur et à mesure de leur saisie par les clients. Le e-skimming peut être l’aboutissement d’attaques XSS, par hameçonnage ou par force brute.

Pour empêcher le e-skimming, vous devez installer régulièrement des correctifs sur votre serveur web, contrôler soigneusement le code de votre serveur de publicités, et tenir à jour vos API tierces. Si votre site est la cible de e-skimming, vérifiez si votre cyberassurance peut couvrir les pertes subies et coupez l’accès à la page du panier d’achat afin de rechercher et d’éradiquer la source du problème.

Courrier indésirable (spam)

Un spam est un message hors de propos qui invite l’utilisateur à cliquer sur des liens malveillants. Les expéditeurs de ces courriers, baptisés spammeurs ou arroseurs, recourent souvent à l’e-mail pour diffuser ces liens, mais il leur arrive également de déposer des liens infectés dans les commentaires d’un article de blog, une publication sur les réseaux sociaux ou un formulaire de contact. Les courriers indésirables ont des répercussions sur la sécurité d’un site web et ralentissent la navigation.

La suppression de commentaires inopportuns et l’activation du service reCAPTCHA sur les formulaires peuvent contrecarrer ces attaques de spam. Ce service invite les utilisateurs à saisir une série de chiffres et de lettres légèrement déformés, que les robots ne peuvent déchiffrer.

Captcha for ecommerce security

La suppression des commentaires indésirables et la réalisation d’une analyse des causes premières pour en identifier l’origine contribuent non seulement à ne pas fausser vos rapports sur les réponses apportées aux formulaires, mais vous aident également à définir une solution.

Bots

Les bots « moissonnent » les sites web afin d’extraire des données de tarif et de stock. Les pirates peuvent ensuite accéder à ces sites et utiliser les informations recueillies pour augmenter les prix ou ajouter tout le stock d’un produit populaire pour le mettre en rupture. Si les clients ne sont pas en mesure d’acheter ce qu’ils souhaitent ou ce dont ils ont besoin, les ventes baissent et les boutiques risquent de subir des avis négatifs et une contre-publicité.

L’adoption d’outils reCAPTCHA sur votre site, la vérification de vos connexions API et le blocage des anciennes versions de navigateurs sont d’excellents moyens de combattre les bots. Vous avez également la possibilité de définir des alertes en cas de trafic anormalement élevé, d’incapacité à valider une carte-cadeau et d’échecs de tentatives de connexion, lesquels peuvent être les signes de tentatives d’accès à votre site par des bots.

Chevaux de Troie

Un cheval de Troie est un type de logiciel malveillant prenant l’apparence d’un programme légitime. Ses dehors inoffensifs incitent les membres de votre équipe ou vos clients à le télécharger sur leurs ordinateurs, opération qui active alors le code malveillant qu’il dissimule, autorisant les pirates à dérober les informations personnelles.

Certains antivirus et pare-feu performants offrent certes une protection, mais il vous appartient de rappeler à vos équipes et à vos clients de se méfier des pièces jointes des e-mails et de bannir les téléchargements de programmes tiers non approuvés.

Bonnes pratiques de sécurité e-commerce

Les pirates n’ont de cesse d’inventer de nouvelles stratégies pour dérober les données. En marge de la protection contre les menaces connues, il existe certaines bonnes pratiques d’ordre général applicables à la sécurité e-commerce.

1. Recourez à la sécurité multicouche.

La sécurité multicouche est une pratique consistant à ajouter des couches de contrôle secondaire ou tertiaire via un système technologique. Si une couche est compromise, les pirates n’ont d’autre choix que d’en percer au moins une autre pour avoir accès aux informations recherchées. Ces différentes couches de sécurité ne font que multiplier les obstacles qu’ils sont tenus de franchir pour infiltrer votre site.

Le réseau CDN (Content Delivery Network) constitue une couche importante. Les meilleurs CDN font appel au machine learning pour bloquer les menaces et le trafic malveillant. Autre couche envisageable, l’authentification à plusieurs facteurs permet de valider la connexion des collaborateurs aux systèmes de l’entreprise et celle des clients à leurs comptes de fidélité. Lors de la saisie de leurs informations, ceux-ci devront entrer un autre code qui leur sera adressé par SMS, e-mail ou via une application d’authentification.

2. Sécurisez votre site web avec des certificats SSL.

Les certificats SSL (Secure Sockets Layer) vérifient l’identité d’un site web et assurent une connexion chiffrée. Ils protègent les informations relatives aux cartes bancaires et autres transactions potentiellement névralgiques réalisées sur votre site web e-commerce et empêchent les pirates d’utiliser votre site dans le cadre d’une attaque par hameçonnage.

3. Utilisez des pare-feu.

Les logiciels de pare-feu et les plug-ins autorisent le trafic légitime, mais excluent d’un site e-commerce les connexions non fiables. La régulation du volume du trafic facilite la détection des anomalies et y met obstacle avant qu’elles ne s’immiscent sur votre réseau. Les pare-feu se révèlent particulièrement utiles dans la protection contre les cybermenaces, comme les attaques XSS, le courrier indésirable et les injections SQL malveillantes.

4. Installez des antivirus et anti-logiciels malveillants.

Les pirates se servant souvent de données de cartes bancaires dérobées pour passer des commandes, votre boutique s’expose à abriter des activités frauduleuses. Les antivirus et anti-logiciels malveillants recourent à des algorithmes élaborés pour signaler des transactions malveillantes et déterminent si des transactions sont légitimes au moyen de scores de fraude. L’analyse régulière de votre site peut considérablement limiter les attaques de logiciels malveillants.

5. Formez votre personnel.

Aucun collaborateur n’est censé ignorer les règlementations qui protègent les informations relatives aux clients. L’actualisation des mots de passe, les restrictions d’accès aux informations confidentielles et les obligations de formation à la cybersécurité et à la confidentialité des collaborateurs sont autant de mesures que vous pouvez prendre pour limiter votre responsabilité. Pensez également à révoquer l’accès des collaborateurs à l’ensemble des systèmes lorsqu’ils quittent l’entreprise, de sorte qu’ils ne puissent revendre des données à des cybercriminels ou perpétrer eux-mêmes des cybercrimes.

6. Éduquez vos clients.

Certains manquements de sécurité découlent du comportement des clients. Ces derniers, qui ont créé des comptes sur plusieurs sites, réutilisent parfois encore et toujours le même mot de passe. Obliger ces clients à définir des mots de passe longs et complexes, tout en leur rappelant les risques induits par les attaques par hameçonnage, limite la probabilité de cyberattaques.

Importance de la sécurité e-commerce

D’après une étude de Juniper Research, 33 milliards de comptes devraient être piratés en 2023. Puisque les achats sur Internet ont le vent en poupe, les cyberpirates trouveront de nouveaux moyens de tirer avantage de la faiblesse des protocoles de sécurité et des vulnérabilités réseau.

Ecommerce security stat callout 2

Étouffer dans l’œuf la cybercriminalité est le meilleur moyen de combattre les attaques. En demeurant vigilant et en adhérant à de bonnes pratiques de sécurité e-commerce, vous contribuerez à défendre les données de votre entreprise et de vos clients. De leur côté, les clients apprécieront ces initiatives que vous prenez pour les protéger, qui les valorisent et renforcent leur affinité à votre marque.

Protégez votre site e-commerce.

La sécurité e-commerce se doit d’être prise au sérieux. Il s’agit là d’un critère essentiel, aussi bien pour vos clients que pour votre entreprise. La protection des données de cartes bancaires et informations personnelles de vos clients est primordiale pour asseoir votre réputation de marque digne de confiance. De même, la sécurisation de votre site atteste que vous disposez bien des capacités financières et opérationnelles pour distribuer les biens et services comme promis.

Pour autant, s’adapter aux bonnes pratiques de sécurité e-commerce représentera toujours un défi, d’autant que le retail en ligne ne cesse d’évoluer. C’est pourquoi certains outils e-commerce sont dotés de fonctionnalités de sécurité intégrées qui s’adaptent aux bonnes pratiques de cybersécurité, à mesure de leur apparition sur le marché.

Adobe Commerce a été conçu dans une optique de sécurité e-commerce. Son modèle d’architecture headless dans le cloud autorise son intégration avec d’autres systèmes essentiels dans votre pile technologique, tout en assurant le transfert de vos données en toute sécurité. Et côté back-end, Adobe Commerce effectue constamment des tests pour détecter d’éventuelles vulnérabilités, déploie des correctifs au niveau serveur, gère les configurations de pare-feu et hiérarchise les réponses aux incidents.

Regardez une vidéo de présentation pour en savoir plus sur la façon dont Adobe Commerce peut vous aider à protéger votre entreprise des cyberattaques.