Le blog ecommerce

By WiziShop

Créer ma boutique

25 novembre 2015 • Ressources et Formations

Comment sécuriser son site et améliorer sa sécurité pour éviter les attaques

Malgré un secteur en pleine croissance, la sécurité des boutiques en ligne reste encore à améliorer.

Au fur et à mesure du développement d’Internet et notamment du e-commerce, la sécurité et sûreté des sites sont devenues un enjeu majeur quand vous allez créer un site internet.

D’une part, la cybercriminalité s’est beaucoup développée et menace la confiance, pilier essentiel du e-commerce mais d’autre part, les failles de sécurité de sites e-commerce ont réellement causé des dommages financiers.

Par ailleurs, les lois se sont adaptées à l’Internet et il existe un cadre légal pour protéger internautes et e-commerçants, à condition que ces derniers le respectent.

La protection est donc devenue un élément essentiel à prendre en compte lorsque vous allez créer une boutique en ligne.

Voyons en quelques points comment créer un site internet sécurisé. Mais aussi comment protéger efficacement un site e-commerce en commençant par définir ce qui est malveillant, dangereux et donc ce à quoi il faut veiller au niveau technique, puis au niveau juridique pour disposer d'un site professionnel.

En fin d'article, découvrez l'infographie de Runiso, spécialiste français de la sécurité et de l’hébergement, qui relaie les chiffres clés et informe sur les méthodes de sécurisation de son site e-commerce.

La mobilité devient une norme

La bonne santé du e-commerce n’est plus à prouver. Après une croissance de 13,7% au 1er trimestre, le chiffre d’affaires généré en ligne est estimé à 147 milliards d’euros en 2022. Avec 14 500 nouvelles boutiques en ligne créées au cours de l’année écoulée, on recense désormais plus de 164 200 sites e-commerce.

Avec les acteurs principaux qui assurent une présence sur le mobile, la mobilité est, aujourd’hui, devenue une norme. Le marché du m-commerce est estimé à 4 milliards d’euros avec une majorité de sites mobiles qui prennent le dessus sur les applications.

La fréquence d’achat en hausse compense un panier d’achat en baisse de 3 euros, qui s’élève désormais à 79 euros. Au 1er trimestre 2015, les internautes ont réalisé 6,8 achats en moyenne. La conséquence directe, c’est le nombre de transactions en ligne qui augmente. On en compte 650 millions par an. Celles-ci sont réalisées essentiellement par carte bancaire. En effet, ce moyen de paiement est plébiscité pour 80% des transactions en ligne.

Sécurité son site e-commerce : des efforts à poursuivre

Les actions entreprises contre la fraude à la carte bancaire portent leurs fruits. Le taux de fraude était en baisse en 2013 et représentait 0,251% du montant des transactions. Malgré ce constat, cela demeure tout de même plus de 20 fois supérieur au taux de fraude constaté sur les paiements de proximité.

Les internautes français restent toutefois sensibles à la sécurité des sites. 85% d’entre eux estiment que la sécurité a une importance dans le choix d’un site sur lequel ils commandent.

La sécurité pourrait être améliorée. 70% des e-commerçants se montreraient imprudents quant à la protection des mots de passe des internautes. Seulement 14% d’entre eux ont mis en place des processus obligeant les utilisateurs à complexifier leurs identifiants de connexion. Cependant, 45% des sites continuent d’envoyer en clair les identifiants et les mots de passe sur les boites mails des clients.

Les sites e-commerce sont des cibles de choix pour les hackers

Dans le retail, 31% des attaques sont des Directory Traversal, des techniques de navigation qui ont pour objectif d’accéder à un contenu protégé. Plus de 11% des sites web utilisant HTTPS présentent une vulnérabilité : les contenus mixtes, lorsque, dans une page HTTPS, des ressources sont chargées dans la version non sécurisée du protocole.

Selon l’OWASP, en 2013, 97% des applications Web restent exposées à des vulnérabilités connues qui seront exploitées dans 80% des attaques réussies en 2015.

Fait important, il faut 197 jours à un site e-commerce pour détecter une attaque profonde sur son système d’information alors qu’il en faut 98 dans le secteur financier. Enfin, seulement 34% des sites e-commerce ont mis en place des procédures de réponse aux incidents.

Les recommandations de Google en ce qui concerne la sécurité d’un site web

Le e-commerce dépendant fortement du principal moteur de recherche, Google. Ce dernier précise l’importance de la sécurité d’un site web dans ses nombreuses recommandations et y consacre même une partie du menu de « Search Console », outil gratuit indispensable et nécessaire pour tout propriétaire de site e-commerce.

Pour le leader des moteurs de recherche, des messageries et des navigateurs, avoir un site non sécurisé est un site où un pirate informatique peut installer un code malveillant. Celui-ci peut enregistrer les actions des ordinateurs des visiteurs, voler les identifiants qu’ils utilisent pour se connecter à leurs services bancaires en ligne, effectuer des transactions financières ou même les détourner vers d’autres sites.

Notons aussi au passage que Google considère comme dangereuse et non sécurisée toute page web proposant d’installer un système trompeur (les avantages promis ne sont pas respectés), qui incite les utilisateurs à faire quelque chose de non naturel, qui n’énonce pas tous les détails de l’offre, qui déstabilise le système de l’utilisateur, qui collecte ou transmet des informations privées sans en informer l’utilisateur, qui est associé à un autre programme, sans que l’utilisateur n’en soit informé (voir le règlement relatif aux logiciels indésirables).

Dans certains cas, certains systèmes de publicité sont aussi considérés comme « malveillants », notamment depuis que certains pirates ont réussi à infiltrer des plate-formes de publicité display, comme certains systèmes de tracking ou de statistiques.

Google a aussi mis en place un outil de rapport de transparence (voir aussi le rapport de transparence global pour des informations plus générales ).

Notons par ailleurs, que ceci veut dire que toute personne qui va faire un site (site vitrine et site e-commerce) susceptible de présenter des problèmes de sécurité sera signalé par Google et probablement « dévalué » au niveau du SEO (référencement naturel) tant qu’il n’aura pas à nouveau montré « patte blanche ». Google force ainsi les propriétaires de sites contaminés à mettre ceux-ci en quarantaine tant que les problèmes ne sont pas résolus.

Comment protéger son site e-commerce ?

Plusieurs actions peuvent être entreprises pour protéger son site e-commerce.

Le b.a.-ba reste l’instauration d’un certificat SSL / TLS sur l’ensemble des pages de son site e-commerce. Souvenez-vous, WiziShop proposait à l’ensemble de ses e-commerçants de bénéficier de ce certificat SSL pour sécuriser leur site, rassurer leurs visiteurs et même améliorer leur référencement.

Aujourd'hui le certificat SSL est intégré nativement dans votre formule à 40 euros/mois et 1 euro le premier mois pour assurer la sécurité de votre site e-commerce.

Créer une boutique en ligne sécurisée - Test gratuit 7 jours

Même si votre site est sécurisé, il faut tout de même continuer à faire attention. Pensez donc à :

  • Respecter les bonnes pratiques dès la phase de développement du site.
  • Détecter et protéger le site en temps réel (WAF, IDS/IPS…).
  • Analyser régulièrement votre site grâce à des scans de vulnérabilité.
  • Héberger l’application dans un environnement certifié (PSI DSS, HADS, ISO…).
  • Mettre en place une politique de gestion des mots de passe et des accès.

Voici maintenant en détails la mise en place d'une sécurité technique et juridique sur votre site e-commerce.

Comment sécuriser techniquement votre site internet ?

Outre les recommandations précédentes, la sécurité d’un e-commerce relève du bon sens.

1. HTTPS

En premier lieu, un site e-commerce doit avoir un certificat SSL. Le protocole https désigne simplement la version sécurisée de l’habituel http. Réservé jusqu’à présent aux systèmes sécurisés des transactions, il est devenu un standard pour tout site, notamment e-commerce car il permet d’être certain que le trafic et les échanges d’informations entre les internautes et le site le sont bien entre eux sans tierce partie ou détournement. Sur WiziShop, lorsque vous allez créer un site web de vente en ligne, votre nom de domaine sera nativement en https. Le certificat SSL sera directement hébergé sur le serveur. Vous n'avez besoin d'aucune connaissance.

2. Mises à jour

En 2017, très peu de sites e-commerce sont faits à partir de code artisanal. La plupart sont basés sur des systèmes comme WiziShop, des hébergeurs à infrastructure solide, un serveur dédié, sécurisé et des systèmes de bases de données résistants (MySQL, Oracle, DB2, etc..).

Notamment pour garder un faible niveau d’insécurité, ces systèmes sont régulièrement mis à jour et la maintenance du site est bien gérée mais sur certains cms e-commerce, il se peut que ces mises à jour ne soient pas automatiques.

Je vous invite donc à vérifier ceci régulièrement, notamment au niveau du paramétrage ou du contrat d’hébergement web, exactement de la même façon qu’on le vérifie sur son propre ordinateur par rapport à l’OS ou aux programmes principaux qu’on utilise régulièrement.

3. Accès inutiles fermés

Un site e-commerce est d’abord un système informatique qui par nature a de nombreux passages ouverts et donc une certaine vulnérabilité.

Outre le back-office avec la gestion de contenu, on peut y accéder par la base de données, par le ftp, par ssh ou d’autres moyens. Il faut bien sûr les connaître, savoir si ces possibilités sont ouvertes ou fermées et le cas échéant qui y a accès.

Par ailleurs, le back-office du site doit être sécurisé. Vérifiez que le login et le mot de passe, ainsi que l’url de connexion ne sont pas trop simples et sachez là aussi qui y a accès.

A l’heure actuelle, sans passer par des systèmes trop compliqués, on peut limiter tous ces accès au coeur du site, par l’adresse IP avec le htaccess par exemple selon la techno utilisé (afin d’éviter que n’importe qui puisse y avoir accès) ou au moins mettre en place des outils spécifiques permettant de savoir quand quelqu’un s’y connecte.

4. Changez vos mots de passe régulièrement

Très souvent, les faiblesses d’un site viennent des mots de passe utilisés pour les accès à son back-office, pour l’accès à l’hébergeur ou au prestataire qui gère le nom de domaine. Evitez les mots de passe trop faciles, changez les tous les 3 ou 6 mois et ne les gardez pas dans votre téléphone ou votre ordinateur. Un bon vieux carnet est bien meilleur.

5. Antivirus

La plupart des hébergeurs scannent en permanence les sites qu’ils hébergent avec des antivirus afin de sauvegarder leur infrastructure.

Soyez au courant de la fréquence de ces scans et des mesures qui sont prises en cas d’ennuis.

Dans certains cas, l’anti-virus pourra bloquer tout le site ou simplement une partie, mettre le fichier en quarantaine ou le supprimer.

Quelle que soit la méthode, l’important est d’être averti(e) dès qu’il y a un problème car sinon, votre site peut être déclassé et même banni, non seulement sur les moteurs de recherche mais aussi par les fournisseurs d’accès, ce qui vous enlèvera du chiffre d’affaire, mais pourra même permettre à un concurrent ou à des cybercriminels de vous remplacer.

6. Sauvegarde et réinstallation de votre site

En cas de problème de sécurité sur son site internet, le meilleur moyen d’assurer le service est de pouvoir mettre rapidement en ligne une version sécurisée. Pour ceci, il faut très régulièrement sauvegarder votre site et avoir une procédure sûre de réinstallation rapide.

Certains hébergeurs proposent tout ceci en option mais il est conseillé aussi de doubler ces services par un système externe, au cas où..

Comment sécuriser juridiquement un site e-commerce ?

Quand on parle de sécurité en e-commerce, on pense principalement à la technique mais pourtant, cet aspect est loin d’être le seul. La sécurité juridique est elle aussi très importante.

1. Nom de domaine

On doit tout d’abord s’assurer que le nom de domaine est bien la propriété de l’entreprise. Parfois, c’est en effet un prestataire qui est le réel propriétaire du nom de domaine. Via le service Whois, pensez toujours à vérifier quel est le réel propriétaire et n’hésitez pas par ailleurs à masquer les informations du Whois si le nom de domaine est relié à une adresse mail particulière et à un numéro de téléphone mobile.

Si le nom de domaine est une marque, alors il est prudent de sécuriser la marque par un dépôt à l’INPI, notamment quand s’y rattache un logo.

Quand le site de e-commerce est présent sur plusieurs marchés internationaux, alors, il est parfois bon d’acheter les noms de domaines avec les terminaisons locales. Même si cet investissement peut se révéler coûteux quand on est présent dans plusieurs zones, ceci peut empêcher des cybersquatteurs de profiter du nom du e-commerce et au fil du temps de dévaloriser la marque ou de récupérer des clients.

Qui dit nom de domaine dit site web mais aussi emails pour votre stratégie emailing. Pour sécuriser l’ensemble, il est préférable de déposer le nom de domaine chez un autre prestataire que l’hébergeur. Ainsi, les mails seront gérés par un prestataire différent de celui qui gère le site et on ne dépendra pas de l’hébergeur si jamais il faut vite changer le site d’hébergement.

Le nom de domaine est un élément important de la propriété intellectuelle relative au site, mais il n’est pas le seul.

2. Propriété ou droit d’utilisation du contenu du site

Le propriétaire du site est responsable de son contenu ou tout du moins autorisé à l’utiliser. Ceci signifie notamment que les textes et images doivent pouvoir être utilisés dans le site e-commerce sans qu’un tiers puisse le contester.

Si vous êtes propriétaire des textes et images, déclarez en la propriété et assurez-vous qu’ils ne sont pas utilisés ailleurs.Si vous utilisez des textes et images d’une marque, assurez-vous que vous avez un contrat le permettant.

3. Propriété ou droit d’utilisation du contenant

Le contenant, c’est à dire l’arborescence du site, les développement spécifiques tant structurels qu’ergonomiques et « design » doivent aussi être sécurisés en ce qui concerne leur propriété ou droit d’utilisation. Les licences des logiciels qui peuvent servir à l’existence du site doivent avoir été acquises si elles n’entrent pas dans le domaine des logiciels libres et s’il y a eu des développements spécifiques faits par une société ou des freelances, le transfert de propriété doit avoir eu lieu afin que l’exploitant du site e-commerce ait non seulement le droit de les utiliser mais ne se voit pas dupliqué ou obligé de payer une redevance pour avoir le droit de continuer son activité.

Si des développements techniques très spécifiques à haute valeur ajoutée ont été réalisés, il est possible de les déposer à l’INPI, chez un notaire ou une société spécialisée et même de les valoriser dans les comptes de la société.

4. Mentions légales et CGV

Tout site doit avoir des mentions légales, qui permettent principalement d’identifier le propriétaire du site, le responsable de la publication ainsi que l’hébergeur, tout en donnant le moyen de contacter les responsables du site.

Par ailleurs, si le site e-commerce s’adresse à des particuliers, il doit comporter des CGV (Conditions Générales de Vente) adaptées aux spécificités de la vente sur internet, les CGV e-commerce. Ces Conditions générales spécifiques indiquent les conditions de vente proprement dites (conditions relatives au transfert de propriété, à la logistique, etc.), la manière dont une vente se déroule via le site, le barème des prix unitaires, les frais de livraison, les conditions de paiement, les engagements et garanties du site, les cas de force majeure, les droits des clients, le délai de rétractation, les conditions et l’adresse de retours éventuels (s’il s’agit d’e-commerce physique).

Les CGV e-commerce sont un véritable règlement du site et contrairement à une idée reçue, elles protègent autant le e-commerçant que le client car elles permettent en cas de litige, de savoir ce qui était prévu et ce que devait savoir le client (qui doit valider les CGV avant tout achat). La rédaction des CGV doit donc faire l’objet d’une attention spécifique et il n’est pas recommandé d’utiliser des modèles (qui par définition sont généraux) ou de copier/coller les CGV e-commerce d’un autre site, ce qui par ailleurs, peut être l’objet d’une amende.

Il est à noter qu’un site sans CGV e-commerce ou mentions légales peut aussi être condamné à payer une amende importante.

5. CGU

Cousines des CGV, les conditions générales d’utilisation ou CGU encadrent juridiquement les rapports et les conflits pouvant naître entre l’éditeur du site et le visiteur. Rien n’oblige à en avoir mais leur présence est recommandée car elles fixent :

  • les mentions légales relatives à la société ou à son siège social,
  • les conditions d’accès au site,
  • les différents services et les produits qu’offre le site,
  • les modalités relatives à la création d’un compte visiteur ou client,
  • la propriété intellectuelle,
  • la protection des données personnelles (très importante avec la mise en place du RGPD ou Règlement général de la protection des données,
  • la responsabilité de l’éditeur et ses limites,
  • la responsabilité du visiteur,
  • la durée et l’évolution du contrat,
  • la juridiction compétente et le droit applicable en cas de litige.

Elles concourent donc aussi à la protection juridique du site.

6. Système de paiement

Dans l’immense majorité des cas, la solution de paiement en ligne est géré par une banque ou un organisme financier qui fournit ou indique une solution technique qui permettra de sécuriser juridiquement et techniquement le paiement. Concrètement, lors de l’action de paiement, l’internaute quitte souvent le site pour celui du système de paiement.

La banque ou l’organisme financier ne se limitent pas à fournir ce système de paiement. Dans l’immense majorité des cas, il va de pair avec un contrat de VAD (Vente à Distance) qui permet légalement au commerçant de faire de la Vente à Distance, domaine qui englobe juridiquement les activités marchandes des sites de e-commerce.

Cet aspect souvent passé sous silence est très important car ce contrat de VAD précise clairement les responsabilités, droits, devoirs et recours du cybermarchand.

En conclusion, la protection d’un site en ligne est bien sûr technique mais comporte aussi des aspects juridiques pour assurer la propriété intellectuelle de ses exploitants et le protéger des aléas inévitables du commerce quel que soit son type. Avec le pouvoir et l’expertise grandissants des organismes de contrôles, des associations de consommateurs, la concurrence (qui bien souvent se sert des premiers pour dénigrer et ennuyer) et les menaces de la cybercriminalité, un site e-commerce ne peut plus se permettre en 2017 d’ignorer les précautions élémentaires qui garantissent sa pérennité.

Et vous ? Quelles sont les actions que vous avez entreprises pour protéger votre boutique en ligne ? Dites-nous tout dans les commentaires !

Je vous invite à consulter ces informations sur l’infographie ci-dessous

Hébergeur web ? le 14 août 2023 à 19:37

Merci pour cet article ! et quel hébergeur web choisir pour un site wordpress ou site e-commerce ?

Anatole le 10 juillet 2024 à 08:16

Je tiens à vous remercier pour cet article utile.

Cet article souligne de manière l'importance de la sécurité dans le secteur en plein essor des boutiques en ligne. Avec l'expansion rapide du commerce électronique, la protection des sites web devient un enjeu majeur pour préserver la confiance des consommateurs, un pilier fondamental du succès du e-commerce. L'article met en lumière plusieurs aspects pour sécuriser efficacement une boutique en ligne. Il souligne la nécessité d'adopter des pratiques techniques telles que la protection des mots de passe, l'envoi sécurisé d'informations sensibles, et la mise en œuvre de processus de connexion renforcés. La sécurisation des boutiques en ligne est essentielle dans le contexte actuel de cybercriminalité croissante. Protéger les données sensibles des clients et des commerçants contre les cyberattaque https://www.univirtual.ch/fr/business-core/hosting-network-cybersecurity/network-cybersecurity/sos-cyberattaque est une priorité absolue pour maintenir la confiance et assurer la pérennité des activités e-commerce. La digitalisation univirtual accrue du commerce nécessite une transformation digitale adaptative des pratiques de sécurité. Les entreprises doivent intégrer des solutions modernes et évolutives pour répondre aux défis de sécurité posés par l'évolution rapide du paysage numérique. Le recours au cloud computing univirtual offre des avantages significatifs aux boutiques en ligne en termes de flexibilité, d'évolutivité et d'accès à des solutions de sécurité avancées. L'hébergement sécurisé des données et des applications dans le cloud permet aux entreprises de se concentrer sur leur activité principale tout en bénéficiant d'une protection renforcée contre les cybermenaces.

Les articles populaires

Ressources et Formations

E-commerce : 20 avantages et inconvénients des sites de commerce en ligne [2024]

Ressources et Formations

21 Objets faits main & DIY à fabriquer facilement pour vendre en ligne : bois, verre...

Ressources et Formations

Formation e-commerce gratuite en ligne : +40 vidéos offertes pour se lancer [2024]

Ressources et Formations

Top 9 des meilleures plateformes Open Source en e-commerce [+conseils]