La sécurité et la confiance de la clientèle ont toujours été au cœur des priorités d’Adobe. Chaque jour, les cybermenaces se complexifient et les pirates cherchent de nouveaux moyens d’exploiter les défauts non corrigés de certaines applications.

Pour aider les entreprises qui utilisent Adobe Commerce à réduire ces risques, nous avons mis en place une série de mesures proactives qui accélèrent et optimisent le déploiement des correctifs de sécurité critiques. Cela témoigne de notre volonté de protéger l’environnement digital de nos utilisateurs et de nos utilisatrices.

Correctifs isolés pour les vulnérabilités critiques

Adobe publie désormais des correctifs de sécurité pour chaque version prise en charge de l’application PHP principale d’Adobe Commerce. Ces publications sont l’occasion de mettre à jour la base de code principale en vue de préserver la sécurité, la fiabilité et les performances de votre plateforme.

Depuis juin 2024, Adobe Commerce publie des correctifs isolés pour remédier aux failles de sécurité prioritaires. Ils permettent de parer aux urgences en apportant une solution rapide, qui évite de devoir appliquer une mise à jour de sécurité complète.

Pour savoir si un correctif isolé est nécessaire, Adobe tient compte de trois critères :

1. Criticité de la vulnérabilité. Les correctifs isolés ciblent les vulnérabilités critiques, c’est-à-dire celles dont le score CVSS (Common Vulnerability Scoring System) est supérieur ou égal à 9.
2. Impact sur le point de vente digital. Des correctifs sont également publiés en cas de vulnérabilité susceptibles de toucher des fonctionnalités essentielles, autrement dit, d’avoir un impact direct sur les transactions client et l’intégrité globale du site.
3. Risque élevé. Dans certains cas, un correctif isolé peut être publié si nos outils de sécurité et nos procédures d’évaluation des risques considèrent que la vulnérabilité présente un risque élevé.

Nous réduisons ainsi l’intervalle pendant lequel des vulnérabilités critiques pourraient être exploitées par des individus malveillants. Pour plus d’informations sur les versions prises en charge par nos correctifs isolés, consultez la politique sur le cycle de vie d’Adobe Commerce.

Dans tous les cas, Adobe recommande d’appliquer les correctifs de sécurité complets dès leur publication. Outre les vulnérabilités critiques, ils résolvent un plus grand nombre de problèmes de sécurité et de conformité susceptibles de nuire à l’intégrité globale du système.

Déploiement rapide et efficace des correctifs avec Cloud Patches for Commerce

Avec Cloud Patches for Commerce, les correctifs de sécurité sont déployés directement depuis notre infrastructure cloud pour accélérer la résolution des problèmes critiques. Pour en savoir plus, consultez le guide d’application de correctifs pour Commerce on Cloud.

Protection de Commerce on Cloud par pare-feu pour application web

Pour Adobe Commerce on Cloud, nous déployons des règles de pare-feu, en complément de la publication des correctifs isolés, afin d’offrir un niveau de protection supplémentaire avant la mise à jour de l’instance par l’entreprise cliente. Ces règles sont conçues pour empêcher les pirates d’exploiter les vulnérabilités concernées par le correctif isolé au niveau de l’infrastructure ou de la couche applicative.

Correctifs de sécurité pour Adobe Commerce Managed Services

Pour Adobe Commerce Managed Services, nous allons plus loin en offrant une assistance personnalisée pendant le processus de déploiement des correctifs. Chaque entreprise cliente de Managed Services se voit attribuer un ou une spécialiste CSE (Customer Success Engineer) qui l’aide à choisir le meilleur moment et la meilleure méthode pour appliquer les correctifs isolés. Pour limiter les perturbations, cette personne valide les correctifs dans des environnements d’évaluation dédiés, en concertation avec la clientèle, avant de les déployer en production. Ces tests évitent que les correctifs n’interfèrent avec les workflows et confirment leur bonne application.

Grâce à l’expertise de l’équipe Adobe Commerce Managed Services, la clientèle bénéficie d’un processus de déploiement des correctifs plus efficace et plus fluide, qui contribue à réduire le risque de faille de sécurité et d’indisponibilité du système.

Communication proactive

Chez Adobe, nous savons que la communication est essentielle pour anticiper les cybermenaces. Communiquer de manière claire et proactive est vital, car les pirates ciblent souvent les systèmes présentant des défauts non corrigés.

Nous avertissons donc directement nos entreprises clientes et nos partenaires des mises à jour de sécurité imminentes par e-mail et via des messagesdans Adobe Commerce. Toutes les personnes concernées peuvent ainsi prendre les dispositions nécessaires pour protéger leur point de vente digital.

Voici les supports utilisés pour communiquer sur la sécurité d’Adobe Commerce :

• Alertes e-mail. La clientèle est avertie des correctifs de sécurité et isolés imminents, et reçoit notamment des informations importantes sur les vulnérabilités traitées ainsi que des notes de mise à jour. Chaque e-mail est envoyé le jour de la publication des correctifs selon notre calendrier de publication.

• Notifications in-app. Les équipes d’administration sont informées des mises à jour de sécurité dans le panneau dédié d’Adobe Commerce et sont ainsi certaines de n’en manquer aucune.

• Bulletins de sécurité. Chaque notification contient un lien vers un bulletin de sécurité et des notes de mise à jour qui fournissent tous les renseignements sur les vulnérabilités traitées. La clientèle peut s’abonner à un service permettant de recevoir des notifications directement dans sa boîte de réception lors de la mise à jour et de la publication des bulletins de sécurité. Ces derniers incluent généralement les informations suivantes :

  • Versions concernées et corrigées d’Adobe Commerce
  • Références sur les vulnérabilités et les expositions communes (CVE, Common Vulnerabilities and Exposures) concernant les problèmes de sécurité traités
  • Synthèse de chaque vulnérabilité précisant sa gravité et son impact potentiel sur les systèmes de la clientèle

Les informations CVE d’Adobe Commerce sont publiées dans des bases de données publiques, comme MITRE et la National Vulnerability Database (NVD), ce qui permet aux équipes de recherche ainsi qu’aux utilisateurs et aux utilisatrices de procéder à des vérifications externes et de bénéficier d’une certaine transparence.

Nous nous engageons à fournir les outils, les ressources, l’assistance et les communications nécessaires à la maîtrise des cybermenaces. En prenant des mesures proactives, nous voulons créer un écosystème de sécurité complet qui permet à notre clientèle de protéger ses points de vente digitaux contre les menaces et les vulnérabilités.

Senior Product Manager en charge d’Adobe Commerce, Smita Verma est spécialisée dans la cybersécurité et la conformité. Passionnée par la sensibilisation à ces sujets et le développement communautaire, elle s’appuie également sur ses compétences en gestion stratégique des produits pour mettre au point des fonctionnalités efficaces et intuitives, qui renforcent la sécurité des entreprises sans nuire à l’expérience utilisateur.

https://business.adobe.com/fragments/resources/cards/thank-you-collections/commerce