Comment créer un site internet avec un paiement sécurisé pour une bonne expérience d'achat ?
Dans le domaine du commerce électronique, la sécurité d’un site e-commerce joue un rôle primordial. En effet, des failles de sécurité dans votre système ou sur votre serveur web peuvent coûter beaucoup d’argent et compromettre la réputation de votre entreprise. Mais il ne s’agit pas uniquement de protéger vos propres données. Vous devez avant tout garantir la sécurité des données de vos clients. Découvrez dans cet article comment sécuriser votre site e-commerce et proposer à vos acheteurs un parcours de vente en ligne sécurisé.
Pourquoi est-il important de sécuriser son site e-commerce ?
Lorsqu’un acheteur effectue des achats en ligne, il doit en permanence renseigner des données sensibles pour pouvoir finaliser sa commande. Dans la majorité des cas, il s’agit des données suivantes :
| Coordonnées | Données de paiement | Données en ligne |
|---|---|---|
| Nom | Données de la carte de crédit | Données de localisation |
| Adresse | Coordonnées bancaires | Adresse IP |
| Adresse e-mail | Date de naissance | Cookies d’identification |
Ce type de données personnelles, comme les mots de passe, font régulièrement l’objet d’attaques de phishing. Si des pirates accèdent à ces données, ils peuvent par exemple commander des articles aux frais des clients lésés ou exploiter illégalement leurs données. En tant qu’e-commerçant, vous devez donc vous préoccuper de la sécurité de votre site Internet pour permettre à vos clients d’acheter sur votre boutique en ligne en toute sécurité.
Comment sécuriser votre boutique en ligne : les bases de la sécurité e-commerce
En tant qu’e-commerçant, vous devez mettre en place des mesures de protection des données, et ce, dès la conception de votre site marchand. Pourquoi ? Une boutique en ligne n’a rien d’une plateforme autonome : toute transaction ou collecte de données est étroitement liée aux processus de l’ensemble de votre e-commerce. Prenons ainsi l’exemple d’une entreprise dont les différents départements ont accès à la même banque de données. Le fonctionnement est ici comparable : un site e-commerce, ce sont des interfaces qui peuvent représenter un risque de sécurité. Par conséquent, vous devrez dès le début élaborer un système comprenant des chemins d’accès et des autorisations les plus sûrs possibles.
Voici les principales mesures qui vous permettront de sécuriser les achats de votre site e-commerce :
- Chiffrer votre site web via HTTPS : le protocole SSL est la meilleure manière de protéger le canal de communication d’une boutique en ligne. Il vous permet de transférer en toute sécurité les données sensibles du domaine de votre client au domaine de votre serveur web.
- Utiliser un pare-feu : un pare-feu vise à restreindre la communication entrante et sortante aux protocoles essentiels, par exemple à SSH, HTTP et HTTPS.
- Instaurer des règles concernant les mots de passe des acheteurs : veillez avant tout à imposer une longueur minimale aux mots de passe et l’utilisation conjointe de majuscules, minuscules et caractères spéciaux. Ces règles réduisent le risque que des pirates aient accès aux comptes de vos clients et à leurs données sensibles.
- Effectuer des sauvegardes régulières : plus vous protégez régulièrement vos données, plus vos mesures de protection seront efficaces. Vous pouvez par exemple effectuer une sauvegarde sur le cloud au cas où le serveur ne serait plus accessible après une cyberattaque.
Chiffrement HTTPS : le b.a.-ba pour sécuriser votre boutique en ligne
De nos jours, les protocoles SSL et TSL font partie de l’équipement de base pour garantir la sécurité d’un site e-commerce. Le SSL (ou Secure Sockets Layer), également connu sous son appellation ultérieure Transport Layer Security (TLS), est un protocole réseau visant à sécuriser le transfert des données entre les clients et le site e-commerce. En outre, il garantit que le serveur du site soit le seul à avoir accès aux données sensibles. Sans ce chiffrement, des tiers non autorisés pourraient accéder à l’un des nombreux flux de données et le lire.
Pourquoi le chiffrement SSL est-il important pour les e-commerçants ?
Lorsqu’ils achètent en ligne, de nombreux consommateurs prêtent de plus en plus attention aux labels de qualité, à des méthodes de paiement sécurisées et à la protection des données. En sécurisant votre boutique en ligne par HTTPS, vous gagnez ainsi la confiance de vos clients et augmentez dans le même temps votre taux de conversion sur la page de paiement.
Il existe trois critères permettant aux clients de reconnaître facilement des sites e-commerce cryptés HTTPS :
- the extra “s” behind the standard HTTP communication protocol, i.e. HTTPS in the URL;
- le symbole du cadenas au début de la barre de l’URL ;
- la première partie de l’adresse du navigateur qui s’affiche en vert.
En outre, de nombreux organismes de certification exigent aujourd’hui que la boutique en ligne soit cryptée par SSL. Ainsi, Trusted Shops refusera de décerner un label si la transmission sécurisée des données n’est pas garantie par HTTPS. Mais ce ne sont pas les seuls. Google aussi privilégie les sites e-commerce cryptés : les pages affichant un protocole réseau sécurisé bénéficieront d’un meilleur référencement que celles qui ne sont pas protégées par un certificat SSL.
Comment obtenir un chiffrement HTTPS ?
Pour garantir la sécurité de votre site de vente en ligne, vous pouvez obtenir un certificat SSL auprès de l’un des organismes suivants :
- VeriSign
- GeoTrust
- GlobalSign
- RapidSSL
- Cacert
Dans ce cadre, l’autorité de certification va vérifier l’identité du e-commerçant, p. ex. la date de création de l’entreprise et l’identité du propriétaire du domaine. Elle attribuera ensuite le certificat contenant des informations uniques et authentifiées et attestera ainsi de la sécurité du site e-commerce.
Comment protéger les données dans une boutique en ligne ?
Pour que votre site marchand soit conforme aux règles du e-commerce et plus spécifiquement en matière de protection des données, vous devrez établir une politique de confidentialité. Ce document doit préciser dans quel but vous collectez les informations de vos clients et pour combien de temps. Mais l’objectif réel de la politique de confidentialité est la protection des consommateurs. Si vous garantissez à vos visiteurs que leurs données personnelles feront l’objet d’un traitement légal, ils se sentiront alors davantage en sécurité pour effectuer leurs achats.
Mais une politique de confidentialité présente également un grand intérêt pour vous. En effet, vous aurez à étudier de près l’ensemble des interfaces susceptibles de collecter des données, ce qui vous permettra d’identifier en amont les éventuels facteurs de risque et d’introduire des mesures de protection supplémentaires pour sécuriser votre site e-commerce. Ainsi, vous vous apercevrez souvent que vous pouvez encore optimiser certains aspects partout où les utilisateurs auront à saisir des données dans un formulaire.
Les failles de sécurité les plus courantes sur un site e-commerce
Si vous souhaitez garantir la sécurité de votre site e-commerce, il est important que vous connaissiez les failles typiques de la sécurité des sites web. Les trois failles de sécurité suivantes représentent les causes les plus fréquentes des pertes de données.
Formulaires
Les formulaires représentent des données particulièrement ciblées par les pirates. On retrouve, parmi les principaux :
- l’inscription des utilisateurs
- la connexion client
- le formulaire de contact
- l’inscription à la newsletter
Dès que des utilisateurs remplissent et soumettent un formulaire, leurs données sont envoyées au serveur web. La manière dont les données sont ensuite traitées est définie dans le code du programme. Si certains algorithmes n’ont pas été respectés lors du développement du site, des codes malveillants ou malware peuvent alors s’y infiltrer, ce qui ouvre alors la brèche à des accès non autorisés à la base de données ou au serveur web.
De plus, il arrive que les malfaiteurs utilisent votre système de boutique pour diffuser des logiciels malveillants aux acheteurs. Comment procèdent-ils ? Au moyen de piratages dits furtifs qui recherchent automatiquement des failles dans le navigateur ou le système d’exploitation de vos clients pour y introduire des virus. Ce n’est que par des mises à jour que vous pourrez remédier à ces failles de sécurité (qui surviennent en raison de l’absence d’algorithmes), et garantir la sécurité de votre site de vente en ligne. Voilà pourquoi il est crucial de maintenir votre système de boutique toujours à jour.
Logiciels obsolètes
Certains e-commerçants n’effectuent pas régulièrement les mises à jour de leur logiciel de base par manque de temps et d’argent. Par conséquent, les failles de sécurité du système ne sont corrigées que très tard, voire pas du tout, ce qui le rend beaucoup plus vulnérable aux cyberattaques. Avec un logiciel obsolète, vous compromettez la sécurité de votre boutique en ligne car celle-ci sera plus vulnérable aux attaques par déni de service (DoS) et le serveur recevra un grand nombre de demandes ciblées visant à le saturer. Les conséquences ne sont pas des moindres : le système de boutique associé devient alors temporairement indisponible, parfois même jusqu’à ce que la faille de sécurité soit résolue.
Systèmes open source
Pour créer une boutique e-commerce, nombre d’entre vous choisissent de recourir à une solution open source gratuite. Si ces solutions offrent de nombreux avantages, elles ne sont pas sans risque pour la sécurité de votre site. Car qui dit open source, dit mise à disposition du code source complet des applications boutique. Ainsi, les pirates, qui ont souvent de bonnes connaissances du langage de programmation utilisé, peuvent identifier et exploiter facilement les éventuelles failles.
Cela étant dit, les systèmes open source sont capables de vous offrir un bon niveau de sécurité informatique. Et ce, grâce à la grande communauté qui maintient les programmes open source, les développe et les met à jour en permanence. Leur démarche permet souvent de combler les failles de sécurité avant que les pirates ne les découvrent. En outre, les éditeurs open source offrent aux e-commerçants une assistance rapide en cas de problème.
9 conseils pour renforcer la sécurité de votre site e-commerce
Au-delà des directives fondamentales qui régissent la protection des données, vous pouvez effectuer d’autres paramétrages pour renforcer la sécurité de votre site de vente en ligne. Voici neuf conseils à suivre pour garantir une expérience d’achat sécurisée pour vos clients, mais aussi pour votre site e-commerce.
Conseil n°1 : intégrez des plugins de sauvegarde
Les différents systèmes de boutique proposent des plugins de sauvegarde qui assurent une sécurité supplémentaire à votre site. En font notamment partie :
- UpdraftPlus
- BackWPup
- BackupBuddy
- Duplicator
- Snapshot Pro
Ces extensions vous permettent d’effectuer une sauvegarde manuelle et automatisée, même sans aucune connaissance technique. Dans les cas les plus critiques, elles peuvent restaurer les données perdues, voire l’ensemble du système d’installation de la boutique.
Conseil n°2 : appliquez des règles strictes à vos mots de passe
Les mots de passe sécurisés sont des éléments clés de la sécurité informatique. Si vous souhaitez empêcher tout accès non autorisé à vos bases de données et à vos serveurs, mieux vaut donc ne pas faire l’impasse sur la sécurisation des mots de passe. En tant qu’e-commerçant, vous devrez prêter particulièrement attention aux mots de passe suivants :
- accès administrateur au système de la boutique
- identifiants d’accès au serveur web ou FTP
- identifiants d’accès aux bases de données
- identifiants d’accès à l’hébergeur et aux interfaces web
- identifiants d’accès aux places de marché (le cas échéant)
- identifiants d’accès à des services bancaires en ligne
Afin de garantir un accès sécurisé, il est important d’utiliser des lettres, des chiffres et des caractères spéciaux. Mieux vaut éviter les mots faciles à deviner. De même, une longueur minimale de huit caractères est recommandée afin que la protection par mot de passe puisse résister le plus longtemps possible aux attaques par force brute. Il s’agit là d’une méthode qui consiste à deviner les mots de passe en testant au hasard chaque combinaison possible.
Conseil n°3 : limitez le nombre d’échecs d’authentification
Même si vous utilisez des mots de passe complexes, un pirate peut réussir à attaquer votre site par force brute. Voilà pourquoi il est préférable de limiter le nombre de tentatives de connexion possibles. Pour ce faire, vous pouvez paramétrer votre système pour qu’il bloque l’adresse IP du pirate après un nombre important d’échecs d’authentification que vous aurez déterminé. Vous pourrez ainsi continuer à vendre vos produits à vos clients en toute sécurité.
Conseil n°4 : limitez les droits d’écriture des fichiers sur le serveur
Une autre mesure efficace est de limiter les droits d’écriture des fichiers et des répertoires sur votre serveur web. Vous pourrez ainsi configurer ces fonctions fichier par fichier, par exemple via le File Transfer Protocol (FTP). Il existe trois modes possibles :
- lecture
- écriture
- exécution
Attribuez l’accès en écriture uniquement aux documents que vous devrez régulièrement modifier. Pour tous les autres dossiers, mieux vaut n’attribuer que les permissions de lecture et d’exécution. En effet, plus vous aurez de dossiers en mode d’écriture, plus vous risquez que des cybercriminels diffusent des codes malveillants dans votre système et accèdent illégalement à vos données ou à celles de vos clients.
Conseil n°5 : utilisez les programmes d’antivirus et de pare-feu les plus récents
Les hackers ont recours à de nombreuses techniques pour introduire des virus incognito dans votre système. Afin d’offrir à vos clients une expérience d’achat en toute sécurité, il est donc essentiel que vous installiez des programmes pour prévenir les menaces informatiques. Outre un bon antivirus, vous aurez donc aussi besoin d’un pare-feu. Voici leurs principales différences :
| Logiciel anti-virus | Pare-feu |
|---|---|
| Mesure de sécurité contre les menaces internes | Mesure de sécurité contre les menaces externes |
| Se compose exclusivement d’un logiciel | Comprend souvent une solution matérielle et logicielle |
| Analyse les fichiers du serveur à la recherche de logiciels malveillants | Protège le réseau informatique des accès non autorisés |
| Identifie et bloque les virus et les chevaux de Troie les plus récents | Restreint la communication à certains protocoles ou selon d’autres critères définis, comme certaines adresses IP |
| Effectue en principe des mises à jour automatiques à intervalles réguliers | D’autres configurations sont disponibles, p. ex. refuser l’installation de programmes sans autorisation expresse de l’administrateur |
Conseil n°6 : intégrez des captchas
En ajoutant des « captchas », vous renforcez la sécurité de votre site web au niveau des formulaires, tels que les pages de contact et d’inscription. Ils sont en effet capables de distinguer les ordinateurs des humains et vous permettent ainsi d’éviter les requêtes abusives de spam. Incorporer une telle mesure est heureusement facile puisque la plupart des systèmes de boutique comprennent des plug-ins intégrés.
Conseil n°7 : évitez les réseaux wifi publics
S’agissant de cybersécurité, ce qui vaut pour les consommateurs vaut aussi pour vous. En tant qu’e-commerçant vous pouvez en principe travailler d’où bon vous semble, tant que vous disposez d’un accès à Internet. Toutefois, nous vous déconseillons d’accéder à vos systèmes de boutique et à d’autres données sensibles depuis un réseau wifi public. Généralement, ces réseaux offrent une connexion non sécurisée, à laquelle les pirates peuvent facilement accéder. Si vous êtes malgré tout obligé de travailler depuis un espace complètement ouvert au public, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande l’utilisation d’un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN). Celui-ci garantit la transmission cryptée des données entre votre appareil (mobile) et le serveur VPN utilisé.
Conseil n°8 : recourez au failover
Preventing data abuse is unquestionably a priority. But it’s just as important to take steps to deal with unexpected system failures, such as:
- des opérations de maintenance
- des problèmes techniques sur le serveur
- des coupures de courant
Les mécanismes de failover (basculement) sont ici particulièrement adaptés, car ils garantissent l’accessibilité de votre boutique en ligne. Un failover fonctionne de la manière suivante : si l’environnement principal de votre site marchand n’est pas disponible, le système bascule alors automatiquement sur les installations de secours.
Conseil n°9 : incorporez un label de qualité
Une autre façon d’assurer la sécurité de votre site e-commerce est d’y intégrer des labels de qualité et des certifications. Vous gagnerez non seulement la confiance de vos acheteurs potentiels, mais vous protégerez également votre site contre des risques éventuels, puisque des experts informatiques qualifiés vérifient la sécurité de votre processus de vente en ligne. Les organismes décernant des labels et des certificats de chiffrement évaluent votre site sur les critères suivants :
- sécurité des paiements
- sécurité du site Internet
- respect de la protection des données
Ainsi, vous êtes certains de respecter l’ensemble des réglementations et offrez à vos clients une expérience d’achat en toute sécurité : une vraie mesure gagnant-gagnant.
Sécuriser son site e-commerce en bref
Les sites de vente en ligne représentent une cible privilégiée des cybercriminels. Car en parvenant à leurs fins, ils font d’une pierre deux coups : ils accèdent non seulement aux données sensibles de vos clients, mais aussi aux vôtres. Pour garantir la sécurité de votre site e-commerce et celle de vos acheteurs, il est donc essentiel de prendre des mesures de sécurité appropriées. L’une des plus importantes est le chiffrement SSL, qui garantit un transfert sécurisé des données entre les clients et votre site e-commerce. De plus, pensez à mettre régulièrement à jour vos systèmes de boutique et vos autres logiciels. Cette mesure permettra de combler les éventuelles failles de sécurité avant que les pirates ne s’en saisissent, offrant ainsi à vos clients une expérience d’achat sécurisée.