La sécurité de votre site de e-commerce est un sujet vaste qui mérite une attention toute particulière.
En effet, les récentes lois obligent chaque site enregistrant des données clients à se protéger des pirates. Il est donc primordial d’être au courant des risques et de s’en prémunir. Voici quelques conseils pour vous aider à faire le bon choix !
La sécurité, ça ne sert à rien
Faux ! C’est comme une sauvegarde, la sécurité, on en a besoin une fois que c’est trop tard. Nous allons détailler les risques (ils sont nombreux) et revenir sur notre malheureuse expérience en la matière… La sécurité, ça ne va certes pas vous rapporter de l’argent, mais ça va surtout vous éviter d’en perdre (beaucoup).
Quels sont les risques ?
Comme beaucoup de jeunes start-up, nous avons été victimes une fois d’une faille de sécurité liée à notre hébergeur de l’époque qui avait laissé une brèche énorme permettant d’accéder au serveur. Heureusement à l’époque, très peu de données clients avaient été compromises, mais c’était déjà trop. Le site avait été complètement effacé et le backup à moitié corrompu, il a donc fallu recréer le site et rentrer à nouveau les produits à la main. Sans parler du traitement des commandes passées dans l’intervalle qu’il a fallu retrouver à la main et ré-intégrer. Le site a porté les stigmates de cette attaque pendant de longs mois par la suite.
Il y a donc un risque important à la fois pour vos clients et pour votre business (perte de CA, ralentissement de l’activité, baisse référencement etc).
Le site avait complètement été défacé, c’est à dire qu’il n’y avait plus rien dessus à part ce gentil message !
Le fait d’avoir son site effacé par un pirate est sans doute la meilleure chose qui puisse vous arriver. En effet, de cette manière, vous êtes au courant qu’il y a un problème !
Le pire, c’est en fait lorsqu’un pirate s’infiltre, corrige éventuellement la faille de sécurité, et laisse une porte dérobée (backdoor) que lui-seul connait et qui lui permet de revenir plus tard afin d’effectuer à nouveau des opérations malicieuses sur votre site.
Quelles sont les solutions ?
Depuis le 1er Janvier 2015, il est donc obligatoire de se prémunir contre les hackers. Etant donné qu’il est impossible de faire un audit permanent de son site Internet, il est plus que recommandé d’utiliser un scanner de vulnérabilités Web.
Pour tous nos sites, nous faisons confiance au leader européen dans le domaine : HTTPCS.
HTTPCS est un robot, qui va en permanence scanner votre site à la recherche de failles de sécurité. Dès qu’il détecte une faille, il vous la remonte et vous propose un correctif que vous ou votre développeur pouvez appliquer en un rien de temps. En cas de faille non encore publique pour des CMS notamment (0-Day), l’outil est même capable de vous protéger sans vous inquiéter.
Pas d’installation à effectuer, il fonctionne en mode SAAS (Software As A Service) et ne nécessite aucune action après avoir été configuré une première fois.
HTTPCS est une solution française utilisée par le ministère de la Défense, c’est donc une solution très sérieuse !
Est-ce parfait ? Evidemment non… Certaines attaques ne sont pas décelables par un robot car elles nécessitent plusieurs opérations manuelles que seul un humain peut réaliser. Cependant, cela vous protégera contre la plupart des failles de sécurité connues, notamment si vous utilisez WordPress qui est très attaqué car c’est une des solutions les plus populaires au monde.
Alors que faire pour se protéger définitivement ?
Il n’y a malheureusement pas de solution miracle… Disons que le minimum vital est d’utiliser une solution automatisée pour se prémunir d’un maximum de failles et surtout se décharger légalement en cas de hack avéré. Nous recommandons également de faire appel à un expert du genre une fois de temps en temps pour tester plus en profondeur son site !
Au niveau développement, nous recommandons de limiter au maximum le nombre de modules que vous utilisez sur votre site, car si le core de vos applications est régulièrement mis à jour, ce n’est pas forcément le cas des extensions. Sur WordPress par exemple, les plugins Contact Form 7 et SuperCache sont régulièrement sources de hacking…
Je suis perdu, certificat SSL, 3D-Secure, scanner de vulnérabilité…
Attention en effet à ne pas tout confondre.
Le certificat SSL va crypter les informations échangées entre le client et vous, notamment pour ses données personnelles. Cela permet de garantir qu’aucun pirate ne pourra se placer entre vous deux pour intercepter les données. C’est la base de la sécurité et cela est bon pour votre image et rassure votre client. Un certificat SSL-(EV) (avec barre verte dans le navigateur) rassurera – à juste titre – votre client qui sera plus à-même de procéder à un achat. Vous augmenterez ainsi votre taux de conversion.
Le 3D Secure est un protocole permettant de valider l’identité du client lors du paiement.
Le scanner de vulnérabilités Web va fouiller votre site (code) à la recherche de failles. Certains détectent des failles et virus au niveau des serveurs, mais pas tous. Il convient donc d’ajouter d’autres scanners/outils permettant de détecter ces anomalies.
Quelques rappels de bon sens également :
- Prévoyez toujours une version pré-production et une version production de votre site. Utilisez des mots de passe différents dessus. Chaque version du site peut ainsi être scannée avant d’être mise en production.
- Changez l’adresse d’accès à votre back office et utilisez un identifiant/mot de passe complexes et non devinables (comme 123456 ou admin-admin etc). Cela peut paraître stupide, mais ce sont en effet les mots de passe les plus utilisés !
- Changez les ports de vos services comme MySQL ainsi que l’adresse de phpMyAdmin.
- Maintenez votre application et vos serveurs à jour.
- Limitez à un nombre minimum le nombre de personnes ayant des accès à vos outils d’administration et serveurs. Changez régulièrement les mots de passe.