E-commerce & sécurité : ce que vous devez savoir
Paiement en ligne, un acte sensible
Pour acheter un service en ligne, les internautes qui choisissent de payer par carte de crédit doivent saisir les numéros de leur carte bancaire, sa date de fin de validité et les 3 chiffres inscrits au dos de la carte. Précieuses, ces données hautement sensibles permettent d’effectuer des transactions à qui les détient. C’est exactement le type d’informations recherché par les hackeurs !
Une certification désormais obligatoire
Conçue pour protéger les transactions et prévenir les fraudes, la certification PCI DSS (Payment Card Industry Data Security) est obligatoire depuis février 2014. Elle concerne désormais l’ensemble des sites web redirigeant l’internaute vers une page de paiement, y compris ceux des entreprises qui ont choisi d’externaliser le paiement en ligne.
Cette obligation de mise en conformité comporte quatre niveaux de classement établis en fonction du nombre de transactions effectuées sur un site chaque année. Ces niveaux déterminent une liste d’actions à réaliser pour assurer la sécurité des sites de e-commerce.
A la clé, une fréquence plus élevée des procédures d’auto-évaluation et la nécessité de segmenter son réseau. Des mesures à compléter par l’adoption d’un développement sécurisé et la mise en place de tests d’intrusion et relatifs à la robustesse des mots de passe.
Qu’est-ce qu’un déni de service ?
Soudainement, votre site de e-commerce n’est plus accessible, avez-vous pensé au déni de service ? Organisé dans le but de nuire à l’e-réputation d’une entreprise et/ou à sa santé financière, ce type d’attaque vise l’indisponibilité de vos services.
Comment ?
La procédure d’attaque peut se dérouler selon deux schémas. Le premier mise sur la propagation aléatoire d’un programme malveillant (virus) à plusieurs ordinateurs. Objectif : prendre le contrôle sur les postes concernés afin de coordonner les actions malveillantes le jour J. Un deuxième scénario consiste à identifier une faille protocolaire (DNS, NTP) afin de déployer l’attaque.
Des conséquences multiples…
Côté matériel, les ordinateurs infectés subissent généralement une baisse significative de leurs performances, sans parler du risque de pertes de données. Pour ce qui concerne les entreprises en charge de l’hébergement du site web de leurs clients, elles sont tenues d’assumer leur responsabilité juridique et doivent prouver l’état de déni de service. Le site impacté, quant à lui souffre de pertes financières et d’une dégradation de son image auprès des consommateurs.
Qui est concerné ?
Tous les sites d’e-commerce sont plus ou moins exposés en fonction de leur activité et du type d’hébergement choisi. Plusieurs réflexes doivent être adoptés, notamment la sensibilisation des utilisateurs des postes informatiques de l’entreprise et l’installation de technologies ciblées (firewall, anti-virus…) sur votre système informatique.
Conseils et solutions Certilience
Une faille de sécurité informatique et c’est la fuite de données ! Entre le coût lié à la détection de la faille et la perte de confiance de vos clients, les conséquences sont multiples. Découvrez les réflexes à adopter pour une prévention efficace.
Côté hébergement
Le choix d’un hébergement adapté dépend du niveau de sensibilité de vos données.
A faire :
1. vérifier le niveau de sécurité de l’hébergement proposé (infrastructure et configuration) : firewall, segmentation, protection contre les attaques de déni de service, sécurité physique, sécurité électronique, sécurité informatique…
2. mesurer les conséquences d’une attaque pour l’entreprise.
3. Vérifier les engagements de service du fournisseur : disponibilité des ressources, accès au support technique, engagement de réponse du support technique
Côté technologies
Le déni de service peut être évité à condition d’opter pour les bonnes solutions.
A faire :
1. Intégrer des solutions matérielles et des outils adaptés à la lutte contre les attaques.
2. Sensibiliser les collaborateurs de l’entreprise aux bonnes pratiques.
Nos offres Certilience Intégration et campagne de sensibilisation (lien sur notre catalogue)
Audit et télésurveillance de vos SI : la sécurité maîtrisée
Connaissez-vous vraiment le niveau de sécurité de votre entreprise ?
Seul moyen de mesurer la pertinence de la configuration de vos serveurs, un audit de sécurité doit être programmé chaque année. Objectif : vérifier que l’intégration de nouvelles applications, le téléchargement de fichiers… ne soient pas venus perturber le bon fonctionnement de votre système d’information.
Qu’arriverait-il en cas d’attaque ?
Pour éviter que votre site Internet ne soit mis hors ligne, une seule solution : la télésurveillance de vos SI 24h/24 et 7j/7. A la clé, une réactivité maximale avec une alerte instantanée couplée d’une prise en charge technique immédiate. Une garantie précieuse pour limiter les conséquences financières d’une attaque et ses effets négatifs sur la e-réputation de votre site web.
Besoin d’un renseignement ?