Comment gérer la sécurité de son site de ecommerce

Digitalisation, E-commerce & Sécurité.

La digitalisation des entreprises, une coquille vide ou une réelle opportunité pour les entreprises ? D’après un rapport de la Commission Européenne, 62% des français achètent sur internet, mais seulement 16% des entreprises françaises ont une activité de vente en ligne (1). Cela souligne bien la réelle opportunité que représente le « digital » pour les entreprises françaises. Que ce soit à travers un site vitrine, une plateforme de e-commerce, ou du marketing local, chaque position est bonne à prendre et constitue un avantage comparatif sur des concurrents qui n’osent pas sauter le pas de la digitalisation.

Agences de marketing digital, freelances spécialisés en e-commerce, CMS, l’offre pour assister à la création de site web ne manque pas. La concurrence sur ce marché est féroce et l’argument prix est souvent un déterminant majeur pour les PME souhaitant lancer un site e-commerce. Et si le site réalisé est souvent fidèle aux attentes du client en termes de visuel et de fonctionnalités, il ne faut pas s’arrêter là pour autant, car les risques de piratage d’un site web sont élevés (y compris pour les « petits » sites).

Quelle place pour la sécurité ?

Pour les entreprises décidant de se faire accompagner par des professionnels du web, il va être nécessaire de bien se préparer au chantier que représente la construction d’un site internet digne de ce nom. A savoir se mettre d’accord sur le budget que vous êtes prêt à investir. Ce dernier sera conditionné par la « taille » désirée du site internet, ses fonctionnalités, son design, sa maintenance (comprendre : mises à jour du site internet) mais il devra également prendre en compte l’aspect cybersécurité. Ce dernier aspect est souvent ignoré afin de pouvoir proposer des prix plus abordables, mais il représente pourtant un enjeu majeur.

ecommerce hack

Il faut bien comprendre qu’un développeur web, aussi talentueux soit-il, n’est pas nécessairement expert en sécurité web. Il s’agit bien là de deux métiers distincts faisant appel à des compétences bien différentes. Il est important de comprendre cette distinction pour pouvoir questionner son prestataire sur cette problématique. Quelles garanties peut-il apporter ? A-t-il notamment prévu de conduire des tests de sécurité ? Qui aura la responsabilité en cas de piratage ? L’enjeu est bien là, et si rien n’est contractualisé, ou mentionné dans un cahier des charges, il y a de fortes chances pour que le client ne puisse rien faire valoir comme droit et qu’il doive assumer seul les conséquences d’un piratage.

Comment limiter les risques de piratage ?

Certaines lignes de conduite peuvent permettre de minimiser les risques de piratage :

  • Less is more : c’est une règle universelle en matière de cybersécurité, tout ce qui est superflu n’a pas lieu d’être. Il faut être sûr que toutes les fonctionnalités proposées sur un site soient nécessaires et valorisées par le client final. Il ne faut pas oublier que chaque page, ou chaque champ à remplir, est une vulnérabilité potentielle pour un attaquant.
  • L’importance de la maintenance : dans le cas de sites utilisant un CMS, comme par exemple WordPress, il est crucial de mettre à jour régulièrement ce dernier. Ce sont ces mises à jour qui permettent de corriger les dernières failles de sécurité, ou des problèmes de fonctionnement. Oublier les mises à jour aura pour conséquence de rendre le site obsolète et vulnérable. Il s’agit également d’un point à clarifier avec son prestataire de service pour savoir ce que comprend concrètement le budget maintenance proposé.
  • Attention aux développements spécifiques : ces derniers peuvent ne pas être compatibles avec des mises à jour futures. Il n’est donc pas rare de voir des entreprises ne procédant pas aux mises à jour d’un CMS pour pouvoir garder leur site en état de marche, malgré les risques que cela implique. Pour s’assurer que les nouvelles mises à jour n’ont pas d’impacts sur le fonctionnement du site, nous recommandons l’usage d’une plateforme de test.
  • Ne pas oublier les règles d’usage pour les mots de passe : s’imposer à soi-même, et aux usagers du site internet, d’utiliser des mots de passe adaptés. Ou même mieux : l’utilisation de « phrase de passe », à savoir une phrase courte inventée spécifiquement pour cet usage, bien plus compliquée à deviner pour un pirate.

Comment garantir la sécurité de mon site ?

Dans tous les cas, il sera moins cher de sécuriser un site web que de souffrir des conséquences d’un piratage qui entraine une perte sèche, une baisse de confiance des consommateurs, et des frais pour remettre le site en service.

Donc, si vous avez déjà sauté le pas de la création d’un site internet et que vous souhaitez désormais adopter une démarche proactive en termes de cybersécurité, il vous est possible d’effectuer un audit de sécurité. Ce type de service, également appelé « test d’intrusion », consiste à orchestrer une attaque sur votre plateforme en adoptant la perspective du hacker. Cela permet d’identifier puis de corriger les failles de sécurité présentes sur votre site, avant qu’une personne mal intentionnée ne les repère.

Autrement, pour les entreprises ayant un projet de création de site web, il peut être judicieux de faire appel aux conseils d’experts en sécurité. Ces derniers pourront guider le développement du site web d’un point de vue sécurité, à minima en vérifiant que la configuration du serveur et du CMS répond aux bonnes pratiques de sécurité.

Quel que soit votre situation, l’important est de bien accorder les mesures de sécurité à mettre en place avec le niveau de risque auxquels est exposé votre site.
N’hésitez pas à nous contacter si vous voulez échanger sur vos besoins en cybersécurité.
Source:
(1) The Digital Economy and Society Index, Commission européenne, février 2016.