Commencez par mettre la sécurité de votre site dans la liste des tâches.
Démarrer une entreprise en ligne et créer un site Web de commerce électronique peut être un défi amusant et passionnant. Après tout, le marché est porteur et si cela se passe bien, vous pourrez peut-être, envisager de changer de vie.
Mais une chose que de nombreux nouveaux e-commerçants négligent, voire oublient, est la sécurité de leur site Web de e-Commerce.
Près de 40% des e-commerçants français ont déclaré qu’au moins un compte client sur dix a été victime de piratage l’année dernière en France. C’est ce que révèle une enquête auprès de 100 commerçants et 1 000 consommateurs français. Ceci était en 2019 !
1 – Sécurité sur internet, mieux prévenir que guérir.
Il existe de nombreuses mesures préventives simples que vous pouvez prendre pour sécuriser votre site Web. Vous n’avez pas non plus besoin d’être un génie de l’informatique pour les mettre en œuvre. Nous allons voir ici les principales mesures que vous pouvez prendre pour votre Site Web à l’abri des menaces extérieures et surtout éviter de divulguer les données des utilisateurs ou de causer d’autres dommages à votre entreprise.
Les mesures adoptées par ceux qui tentent de se protéger augmente certaines contraintes et nuisent à l’expérience client et la moitié de ces clients reconnaissent utiliser le même mot de passe pour plusieurs de leurs comptes en ligne…
Sans une sécurité adéquate, les propriétaires d’entreprises en ligne s’exposent, ainsi que leur marque et leurs clients, au risque de fraude ou d’usurpation d’identité, et les petites entreprises sont en réalité plus souvent ciblées que les plus grandes. Les cybercriminels s’attendent à ce que la sécurité soit faible ou inexistante sur les sites Web de petites entreprises.
2 – Choisissez un hébergeur pour qui la sécurité est une priorité.
Mais pas seulement, vous devez avoir accès à un maximum de fonctionnalités au niveau du tableau de bord (cPanel est l’idéal) de votre hébergeur, sans forcément avoir besoin d’avoir accès a l’administration de votre serveur (Un métier à part entière, ceux qui s’y improvisent risquent bien des surprises).
Un hébergement mutualisé, de qualité, peut sans problème convenir pour des boutiques de petite et moyenne fréquentation, par exemple :10 000 produits, 200 à 300 visites / jour.
Autre point vital, la réactivité de la hotline, en cas de problème devant un site qui a « tombé », vous devez très rapidement pouvoir échanger avec votre hébergeur, qui devra vous indiquer si le problème vient de son côté, dans ce cas inutile de bricoler des solutions hasardeuses en mode panique.
Certains hébergeurs ont des temps de réponses totalement inadaptés aux besoins actuels, renseignez-vous bien.
3 – Prenez soin d’externaliser le paiement en ligne.
Le meilleur moyen de ne perdre aucune donnée client est de ne pas en avoir ! Ne collectez ni ne conservez aucune des données de paiement de vos clients sur votre site Web, sauf en cas d’absolue nécessité.
Pour les paiements, utilisez un tunnel de paiement crypté tiers pour traiter les paiements – il s’agit d’une procédure standard pour les sites de commerce électronique. Les passerelles de paiement les plus populaires sont entièrement sécurisées et ne sont pas connues pour divulguer des données sensibles.
4 – Gardez votre site Web à jour.
Alors que les pirates trouvent des vulnérabilités, les développeurs d’applications trouvent des moyens de les corriger… toujours la même course entre le glaive et l’épée. De nouvelles mises à jour sur les modules, sur le thème de votre site sortent en permanence – et bien souvent, elles incluent des correctifs de sécurité.
Par conséquent, vous devez porter une attention particulière aux mises à jour au fur et à mesure de leur introduction. Si vos mises à jour ne sont pas automatiques (du moins pour la sécurité), vous devez faire très attention pour les mettre à jour manuellement.
Un point également important à surveiller, les anciens modules abandonnés ou sans mise a jour depuis des mois. Que cela soit Prestashop, WordPress avec sa plateforme Woo commerce, ces CMS commencent à avoir de l’âge et certains de leurs modules avec, des modules sont abandonnés par leurs auteurs et par conséquent ils peuvent représenter une porte d’entrée pour vos données, voir un risque pour le fonctionnement de votre site.
5 – Surveillez ce que vous téléchargez et intégrez à votre site Web.
Pouvoir télécharger et intégrer des plugins, des outils, des applications et plus directement sur votre site Web est une bonne chose ! Mais soyez toujours conscient de ce que vous téléchargez et utilisez. Certains pirates utiliseront ces modules complémentaires pour implanter des protocoles malveillants.
Parfois, ce n’est même pas intentionnel. Divers plugins peuvent ne pas être entièrement optimisés avec votre logiciel et rendre votre site Web vulnérable aux attaques. Certains modules coutent de l’argent (Car cela représente du travail) il peut être tentant de penser trouver ce module sur des sites de téléchargements… Vous ouvrez la porte de service aux pirates.
Les mêmes mesures de sécurité que vous prenez pour votre site Web peuvent généralement être utilisées pour protéger également l’ensemble de votre ordinateur. Assurez-vous d’utiliser une protection de confiance pour les utilisations professionnelles et commerciales. Bien souvent il suffit d’une minute d’inattention et c’est de votre machine que viendra la fuite de données.
6 – Suivre et surveiller les interventions techniques.
A un moment ou un autre, vous aurez besoin de donner des accès aux ficher (FTP/SFTP) ou un accès à l’administration de votre boutique, à un hébergement pour des questions de maintenance. Bien trop rarement les propriétaires des sites dédient un accès dit technique et très souvent ils ne referment pas ces accès une fois l’intervention terminée.
Vous devez tenir une liste des accès a votre administration la plus réduite possible et devez en modifier les mots de passe à minima une fois par an.
7 – Mettre en place un pare-feu d’application pour votre Web.
Un pare-feu d’application de site Web, aidera à faire passer la sécurité de votre site Web de commerce électronique a un niveau supérieur. Il protégera votre site Web contre les injections XSS, SQL et les demandes de falsification.
Il devrait également protéger votre site Web de toute tentative de piratage, y compris les tentatives de force brute. En outre, cela devrait aider à réduire le risque de subir une attaque DoS ou DDoS.
8 – Faites des sauvegardes régulières
La sauvegarde de votre site Web de commerce électronique n’empêchera pas les menaces de sécurité auxquelles vous pourriez être confronté, mais cela aidera à minimiser ou à réduire les dommages causés. Vraiment, c’est une stratégie qui aidera à protéger les informations contre la perte, la corruption de données ou un ransomware.
Chaque fois que vous effectuez une mise à jour, sauvegardez le site Web. Au minimum, vous devez sauvegarder le site Web E-Commerce une fois tous les trois jours, mais il est recommandé de le sauvegarder une fois par jour.
Vous pouvez, bien sûr, configurer des sauvegardes automatiques afin que vous n’ayez pas à démarrer manuellement le processus. La plupart des hébergeurs Web proposent des sauvegardes en tant que fonctionnalité intégrée – assurez-vous de choisir la plate-forme qui peut vous garantir cela.
Et comme nous ne sommes jamais trop prudent: faites manuellement des sauvegardes externes à votre hébergement ! (Des outils automatiques existent là aussi -)
9 – Sécurité, attention au mélange des genres
Certaines personnes afin de très logiquement rentabiliser leur hébergement ou leur « gros serveur qui ne sert pas beaucoup », mettent d’autres sites, voir leur système de caisse ou de comptabilité sur le même serveur. Ce qui revient à mettre du WordPress, du Prestashop et autres outils au même niveau de protection, si l’un laisse l’accès aux fichiers tous les autres tombent et l’ensemble de votre hébergement avec.
Pour conclure.
Malgré les outils automatiques ou pas, gratuits ou payants, vous ne pouvez pas confier aveuglément votre sécurité sur de simples clics et annonces de pub, car n’oubliez pas le RGPD vous impose de prendre les mesures pour tout cela n’arrive pas !
Vous devez faire des contrôles de vos logs (Site et Hébergement) afin de vérifier tout ce qui vous parait suspect. Souvent les gros problèmes, viennent de tous petits riens.
Pascal Bazzea – 12-12-2022
