Pourquoi sécuriser son site e-commerce ? Plus de 32% des cyberattaques annuelles visent les boutiques en ligne. 6 mois après les attaques, 60% d’entre elles mettent la clé sous la porte…
Fraude à la carte de crédit, phishing, attaques DDoS, piratage de données… Les sites e-commerce constituent une cible privilégiée pour les hackers, car ils rassemblent vos données personnelles et financières, ainsi que celles de vos clients.
En cas d’attaque, vous ne perdez pas seulement de l’argent, mais aussi la confiance des acheteurs. Ce qui entrave la pérennité de votre entreprise. Renforcer la sécurité de votre e-commerce est donc indispensable. Cap sur nos conseils pour sécuriser les paiements, les données et votre boutique en ligne de manière générale !
Sécuriser les paiements sur votre e-commerce
Impossible de se passer de technologies de paiement sur une boutique en ligne. Cependant, ils font souvent l’objet de cyberattaques ou de piratage. Le premier pôle où renforcer la sécurité de votre e-commerce concerne les solutions de paiement.
Voici comment faire :
Activer l’authentification multifactorielle
L’authentification multifactorielle permet de limiter l’accès des pirates aux informations sur les clients et leurs paiements. Elle exige que le client se connecte avec plus qu’un simple nom d’utilisateur/email et un mot de passe.
En général, l’acheteur doit saisir un code de vérification envoyé à son adresse email ou par SMS, ou répondre à une question de sécurité, comme ici avec Vinted :
Même si cette procédure ajoute une étape supplémentaire dans le processus d’achat, et une friction potentielle, elle vous permet de sécuriser vos transactions et protéger votre client.
La clé est de prévenir l’utilisateur, en l’informant que ce processus supplémentaire garantit la sécurité de ses données. Il sera d’autant plus rassuré et encouragé à poursuivre l’achat.
Limiter les fraudes à la carte de crédit
Les fraudes à la carte de crédit se produisent lorsqu’un cybercriminel utilise les données d’une carte volée pour acheter des produits sur votre boutique en ligne. Dans ce cas, les adresses de livraison et de facturation sont différentes. Vous pouvez détecter et limiter ces activités sur votre boutique en installant un système de vérification d’adresse (AVS).
L’AVS permet de s’assurer que l’adresse de facturation saisie par le client correspond à celle enregistrée auprès de la banque émettrice de la carte. Cette protection ne déclenche pas de procédure d’authentification, mais bloque la transaction en cas de fraude avérée, ou créer une alerte de surveillance s’il y a un doute.
Installer le protocole d’authentification 3D Secure
Développé par Visa et Mastercard, le système 3D Secure est un protocole d’authentification multifactorielle qui permet d’éviter les impayés et de protéger les données bancaires de vos clients.
Avant le paiement de son achat, le client est redirigé sur une page d’authentification de sa banque. Selon l’établissement, il devra soit renseigner un code à usage unique (reçu par SMS), soit se connecter à l’application mobile de sa banque pour valider la transaction, le tout dans un délai de 5 minutes.
Exemple de MX Stickers
En cas de code erroné, ou de non-connexion à l’appli, 3 fois d’affilée, la transaction est bloquée.
Avantage du 3D Secure : il reste personnalisable. Vous pouvez le paramétrer pour qu’il s’active à partir d’un certain montant d’achats. Cela vous permet de réduire la friction qu’il peut entraîner, notamment pour les commandes réduites.
Pour rassurer vos visiteurs, pensez à l’afficher clairement sur la page du panier d’achat, comme ici :
Sécuriser les informations personnelles
Vous êtes e-commerçant et vous vous souciez de la sécurité des données personnelles et bancaires de vos clients ?
Vous avez bien raison : la sécurité de votre site d’e-commerce est primordiale pour protéger vos clients mais aussi pour montrer que vous êtes une entreprise digne de confiance aux yeux de vos visiteurs.
Les pirates sont toujours à la quête de la moindre faille pour voler les données personnelles de vos clients. Pour sécuriser votre e-commerce, notamment les informations des utilisateurs, voici quelques actions à prendre :
Passer au protocole HTTPS
Le protocole HTTPS permet de sécuriser les données sensibles de vos utilisateurs. Il vous donne droit au certificat SSL qui crypte les données échangées entre les serveurs et les appareils de vos clients, empêchant toute interception. Sans lui, les hackers peuvent facilement accéder aux mots de passe, noms d’utilisateur, numéros de carte de crédit et autres informations confidentielles.
En plus de fournir une couche de sécurité supplémentaire, le SSL contribue à renforcer la fiabilité de votre e-commerce. L’URL de votre site web affiche le symbole du cadenas, gage de sécurité auprès des navigateurs et des internautes. Un élément qui rassure les internautes les plus attentifs (et ils sont de plus en plus nombreux) !
Le HTTPS vous permet également de vous protéger des attaques Man In The Middle (MITM), durant lesquelles un hacker bloque la communication entre le client et le serveur. Il peut alors accéder aux données transmises sur le serveur, usurper l’identité IP et voler votre place auprès du serveur.
Trouvez un consultant expert en cybersécurité sur Codeur.com
Exigez des mots de passe forts
Imposer à vos clients la création d’un mot de passe fort pour accéder à leur compte est une action simple mais efficace pour rendre leurs données moins vulnérables.
En effet, plus un mot de passe est fort, plus il est difficile à décrypter par un individu mal intentionné.
Qu’est-ce qu’un mot de passe fort ?
Les facteurs suivants influencent la résistance d’un mot de passe :
- Sa longueur (au moins 12 caractères recommandés) ;
- La présence de minuscules et de majuscules ;
- La présence de chiffres ;
- La présence de caractères spéciaux comme des signes de ponctuation, des parenthèses, etc.
Prévenir les attaques par injection SQL
Une attaque par injection SQL est utilisée par les pirates pour recueillir les données personnelles de vos clients, comme les identifiants ou les informations bancaires. Ils attaquent vos formulaires de soumission de requêtes pour accéder à votre base de données backend. Ensuite, ils la corrompent avec un code, collectent des données et effacent leur trace.
Il faut parfois plusieurs mois à une entreprise pour se rendre compte qu’elle a été victime d’une injection SQL.
Voici quelques bonnes pratiques pour sécuriser votre e-commerce contre les injections SQL malveillantes :
- Utilisez les requêtes paramétrables
- Créez des whitelists de vos données
- Optez pour une plateforme e-commerce qui cache les informations sensibles des utilisateurs derrière de multiples couches de code
- Activez les logs et incluez des agents d’Intelligence Artificielle pour détecter les intrusions
Éviter les cross-site scripting grâce au CSP
Le cross-site scripting consiste à installer un code JavaScript malveillant sur votre boutique en ligne pour cibler vos visiteurs et clients. Ces codes peuvent accéder aux cookies, modifier les pages visitées et voler des informations.
Pour vous prévenir de telles attaques, mettez en place une Content Security Policy (CSP), ou stratégie de sécurité du contenu en français, dans l’en-tête de votre site. Elle permet de détecter et d’atténuer des attaques comme le Cross Site Scripting (XSS) et les attaques par injection de données.
Implémenter une CSP pour sécuriser votre e-commerce consiste à vous rendre dans le fichier .htaccess et d’inclure la ligne de code suivante :
<IfModule mod_headers.c>
Header set Content-Security-Policy “default-src ‘none’; frame-src ‘self’; object-src ‘none’ ; img-src ‘self’; connect-src ‘self’; script-src * ; script-src-elem * ; style-src * ; style-src-elem * ; ”
</IfModule>
Sécuriser son site e-commerce contre le web skimming
Le web skimming est une forme d’attaque similaire au XSS, mais qui cible uniquement le protocole de traitement des cartes de paiement. Le code injecté, appelé “Magecart”, subtilise de nombreuses données personnelles comme les identifiants de connexion, les informations sur les cartes de crédit, les numéros de compte….
Actuellement, il est impossible, pour les clients, de détecter si un site web est compromis, car le script malveillant se fond dans la page de paiement et ne présente aucun signe. Le site compromis semble normal aux yeux des internautes.
Pour protéger votre site e-commerce de cette attaque, il est conseillé de :
- Mettre à jour régulièrement vos outils, plugins et logiciels de sécurité.
- Déployer des logiciels anti-malware.
- Modifier les identifiants de connexion par défaut sur tous les systèmes (le fameux « admin » de WordPress, par exemple).
- Séparer et segmenter les systèmes de réseau pour limiter les possibilités de passage de l’un à l’autre.
- Vérifier régulièrement le code JavaScript sur les pages sensibles de l’e-commerce pour détecter les modifications.
Mettez à jour votre site et vos logiciels
Tous les logiciels et applications sont régulièrement mis à jour, notamment pour combler des failles de sécurité.
Si votre site et les outils que vous utilisez sont dépassés, vous courrez donc un vrai risque de piratage et vous menacez les données personnelles de vos clients.
À ce sujet, nous vous recommandons de consulter nos conseils pour bien mettre à jour son site WordPress.
Soyez conforme au standard PCI DSS
Le standard PCI DSS a été créé par les principales entreprises de cartes de paiement (Visa, Mastercard, etc.) pour sécuriser les paiements en ligne et les données bancaires. La norme insiste sur différents points :
- Assurer la sécurité du réseau ;
- Protéger les données relatives aux cartes bancaires ;
- Gérer les vulnérabilités ;
- Mettre en place des mesure de contrôle d’accès strictes ;
- Surveiller et tester les réseaux ;
- Mettre en œuvre une politique de sécurité de l’information.
Toute société qui traite ou conserve des données de cartes de paiement doit s’y conforter.
En appliquant ces 7 conseils, vous serez en mesure de mieux vous prémunir contre les dangers du web et de protéger les données de vos clients.
S’équiper des plugins de sécurité
Que ce soit pour analyser votre site e-commerce, détecter les attaques XSS, éviter le web skimming ou vous protéger contre des attaques par force brute, des plugins existent pour WordPress, Joomla ou Prestashop. Tour d’horizon des extensions indispensables pour sécuriser votre e-commerce !
RSFirewall, un pare-feu pour la sécurité de votre e-commerce
Si votre boutique en ligne tourne sous Joomla ou WordPress, RSFirewall est un plugin sur lequel vous pouvez compter. Il scanne votre e-commerce pour détecter la présence de tout malware, empêche les attaques par force brute, repère et supprime les fichiers dangereux en temps réel.
Chez Prestashop, vous trouverez le module Defender qui propose les mêmes fonctionnalités.
BadBot Protection, le plugin pour bloquer les mauvais bots
Certains hackers, travaillant parfois pour la concurrence, développent des bots spéciaux pour explorer votre site e-commerce à la recherche d’informations sur les stocks, les prix, le contenu… Ces robots peuvent aussi entraver, volontairement, les performances de votre site marchand, injecter des codes de spam automatique ou repérer les failles de sécurité.
Avec le plugin Joomla BadBot Protection, vous détectez et bloquez ces bots rapidement. Côté WordPress, il existe une extension équivalente nommée Stop Bad Bots.
Wordfence Security, le plugin tout-en-un pour sécuriser son site e-commerce
Wordfence Security est un plugin populaire auprès des utilisateurs de WordPress. Très complet, ce pare-feu scanne régulièrement votre boutique en ligne pour identifier et bloquer les logiciels malveillants. Il dispose également d’un filtre anti-spam et de fonction de protection contre les attaques par force brute.
Il existe une extension similaire chez Prestashop, nommée Security Pro.
Hide My WP Ghost contre les attaques par injection SQL et XSS
Hide My WP Ghost fonctionne comme un détecteur d’intrusion et vous notifie dès qu’une menace est repérée. Vous obtenez d’ailleurs l’adresse IP de l’attaquant, son nom d’utilisateur et la date de l’attaque.
Par ailleurs, le plugin ajoute des couches de sécurité à votre e-commerce pour prévenir l’injection de scripts malveillants et les attaques par force brute.
Sensibiliser vos clients au phishing
Un des moyens de sécuriser votre site e-commerce est de sensibiliser vos clients au phishing. Cette pratique, qui consiste à envoyer des emails frauduleux censés provenir de votre boutique, peut vite détériorer votre réputation et la confiance en votre site.
Dans la mesure du possible, lancez une campagne de sensibilisation et :
- Informez vos clients du ton et du style utilisé dans vos emails
- Rappelez-leur les situations dans lesquelles vous envoyez des emails
- Sensibilisez sur le type de liens sur lesquels ne pas cliquer et sur le genre d’informations que vous ne demandez jamais
- Mettez à disposition une adresse à contacter en cas de doute
Demandez également à vos clients de renforcer la sécurité de leurs mots de passe en privilégiant des phrases à la place de termes simplistes ou de dates anniversaire.
Les banques sont régulièrement victimes de phishing. Pour sensibiliser leurs clients, elles n’hésitent pas à en parler ouvertement sur la page d’accueil de leur site internet :
Cette bonne pratique peut être reprise pour sécuriser votre site -e-commerce.
Créer des sauvegardes fréquentes
Enfin, veillez à sauvegarder fréquemment vos données essentielles. Si votre site e-commerce est piraté ou pris pour cible par des hackers, vous pourrez le remettre en ligne rapidement, sans perte de données
Sachez que la plupart des hébergeurs web proposent des sauvegardes automatiques et régulières. Vérifiez si le vôtre dispose de cette option. Vous pouvez aussi les réaliser manuellement, depuis le FTP, ou utiliser un plugin. Plusieurs sauvegardes valent toujours mieux qu’une !
Notre astuce pour sécuriser votre site e-commerce
Sécuriser son site e-commerce est indispensable pour rassurer vos clients et assurer la pérennité de votre activité. Si vous voulez renforcer les éléments de protection vus dans cet article, pensez à faire appel à un expert en cybersécurité sur Codeur.com ! Il pourra auditer votre boutique en ligne et optimiser sa sécurité.