Pourquoi sécuriser son site e-commerce ? Plus de 32 % des cyberattaques annuelles visent les boutiques en ligne. 6 mois après les attaques, 60 % d’entre elles mettent la clé sous la porte…

Fraude à la carte de crédit, phishing, attaques DDoS, piratage de données… Les sites e-commerce constituent une cible privilégiée pour les hackers, car ils rassemblent vos données personnelles et financières, ainsi que celles de vos clients.

En cas d’attaque, vous ne perdez pas seulement de l’argent, mais aussi la confiance des acheteurs. Ce qui entrave la pérennité de votre entreprise. Renforcer la sécurité de votre e-commerce est donc indispensable. Cap sur nos conseils pour sécuriser les paiements, les données et votre boutique en ligne de manière générale !

Sécuriser les paiements sur votre e-commerce

Impossible de se passer de technologies de paiement sur une boutique en ligne. Cependant, ils font souvent l’objet de cyberattaques ou de piratage. Le premier pôle où renforcer la sécurité de votre e-commerce concerne les solutions de paiement.

Voici comment faire :

Activer l’authentification multifactorielle

L’authentification multifactorielle permet de limiter l’accès des pirates aux informations sur les clients et leurs paiements. Elle exige que le client se connecte avec plus qu’un simple nom d’utilisateur/email et un mot de passe.

En général, l’acheteur doit saisir un code de vérification envoyé à son adresse email ou par SMS, ou répondre à une question de sécurité, comme ici avec Vinted :

Même si cette procédure ajoute une étape supplémentaire dans le processus d’achat, et une friction potentielle, elle vous permet de sécuriser vos transactions et protéger votre client.

La clé est de prévenir l’utilisateur, en l’informant que ce processus supplémentaire garantit la sécurité de ses données. Il sera d’autant plus rassuré et encouragé à poursuivre l’achat.

Limiter les fraudes à la carte de crédit

Les fraudes à la carte de crédit se produisent lorsqu’un cybercriminel utilise les données d’une carte volée pour acheter des produits sur votre boutique en ligne. Dans ce cas, les adresses de livraison et de facturation sont différentes. Vous pouvez détecter et limiter ces activités sur votre boutique en installant un système de vérification d’adresse (AVS).

L’AVS permet de s’assurer que l’adresse de facturation saisie par le client correspond à celle enregistrée auprès de la banque émettrice de la carte. Cette protection ne déclenche pas de procédure d’authentification, mais bloque la transaction en cas de fraude avérée, ou créer une alerte de surveillance s’il y a un doute.

Installer le protocole d’authentification 3D Secure

Développé par Visa et Mastercard, le système 3D Secure est un protocole d’authentification multifactorielle qui permet d’éviter les impayés et de protéger les données bancaires de vos clients.

Avant le paiement de son achat, le client est redirigé sur une page d’authentification de sa banque. Selon l’établissement, il devra soit renseigner un code à usage unique (reçu par SMS), soit se connecter à l’application mobile de sa banque pour valider la transaction, le tout dans un délai de 5 minutes.

Exemple de MX Stickers

En cas de code erroné, ou de non-connexion à l’appli, 3 fois d’affilée, la transaction est bloquée.

Avantage du 3D Secure : il reste personnalisable. Vous pouvez le paramétrer pour qu’il s’active à partir d’un certain montant d’achats. Cela vous permet de réduire la friction qu’il peut entraîner, notamment pour les commandes réduites.

Pour rassurer vos visiteurs, pensez à l’afficher clairement sur la page du panier d’achat, comme ici :

Sécuriser les informations personnelles

Les pirates sont toujours à la quête de la moindre faille pour voler les données personnelles de vos clients. Pour sécuriser votre e-commerce, notamment les informations des utilisateurs, voici quelques actions à prendre :

Passer au protocole HTTPS

Le protocole HTTPS permet de sécuriser les données sensibles de vos utilisateurs. Il vous donne droit au certificat SSL qui crypte les données échangées entre les serveurs et les appareils de vos clients, empêchant toute interception. Sans lui, les hackers peuvent facilement accéder aux mots de passe, noms d’utilisateur, numéros de carte de crédit et autres informations confidentielles.

En plus de fournir une couche de sécurité supplémentaire, le SSL contribue à renforcer la fiabilité de votre e-commerce. L’URL de votre site web affiche le symbole du cadenas, gage de sécurité auprès des navigateurs et des internautes. Un élément qui rassure les internautes les plus attentifs (et ils sont de plus en plus nombreux) !

Le HTTPS vous permet également de vous protéger des attaques Man In The Middle (MITM), durant lesquelles un hacker bloque la communication entre le client et le serveur. Il peut alors accéder aux données transmises sur le serveur, usurper l’identité IP et voler votre place auprès du serveur.

Trouvez un consultant expert en cybersécurité sur Codeur.com

Prévenir les attaques par injection SQL

Une attaque par injection SQL est utilisée par les pirates pour recueillir les données personnelles de vos clients, comme les identifiants ou les informations bancaires. Ils attaquent vos formulaires de soumission de requêtes pour accéder à votre base de données backend. Ensuite, ils la corrompent avec un code, collectent des données et effacent leur trace.

Il faut parfois plusieurs mois à une entreprise pour se rendre compte qu’elle a été victime d’une injection SQL.

Voici quelques bonnes pratiques pour sécuriser votre e-commerce contre les injections SQL malveillantes :

Éviter les cross-site scripting grâce au CSP

Le cross-site scripting consiste à installer un code JavaScript malveillant sur votre boutique en ligne pour cibler vos visiteurs et clients. Ces codes peuvent accéder aux cookies, modifier les pages visitées et voler des informations.

Pour vous prévenir de telles attaques, mettez en place une Content Security Policy (CSP), ou stratégie de sécurité du contenu en français, dans l’en-tête de votre site. Elle permet de détecter et d’atténuer des attaques comme le Cross Site Scripting (XSS) et les attaques par injection de données.

Implémenter une CSP pour sécuriser votre e-commerce consiste à vous rendre dans le fichier .htaccess et d’inclure la ligne de code suivante :

<IfModule mod_headers.c>

Header set Content-Security-Policy « default-src ‘none’ ; frame-src ‘self’ ; object-src ‘none’ ; img-src ‘self’ ; connect-src ‘self’ ; script-src * ; script-src-elem * ; style-src * ; style-src-elem * ;  »

</IfModule>

Sécuriser son site e-commerce contre le web skimming

Le web skimming est une forme d’attaque similaire au XSS, mais qui cible uniquement le protocole de traitement des cartes de paiement. Le code injecté, appelé « Magecart », subtilise de nombreuses données personnelles comme les identifiants de connexion, les informations sur les cartes de crédit, les numéros de compte….

Actuellement, il est impossible, pour les clients, de détecter si un site web est compromis, car le script malveillant se fond dans la page de paiement et ne présente aucun signe. Le site compromis semble normal aux yeux des internautes.

Pour protéger votre site e-commerce de cette attaque, il est conseillé de :

S’équiper des plugins de sécurité

Que ce soit pour analyser votre site e-commerce, détecter les attaques XSS, éviter le web skimming ou vous protéger contre des attaques par force brute, des plugins existent pour WordPress, Joomla ou Prestashop. Tour d’horizon des extensions indispensables pour sécuriser votre e-commerce !

RSFirewall, un pare-feu pour la sécurité de votre e-commerce

Si votre boutique en ligne tourne sous Joomla ou WordPress, RSFirewall est un plugin sur lequel vous pouvez compter. Il scanne votre e-commerce pour détecter la présence de tout malware, empêche les attaques par force brute, repère et supprime les fichiers dangereux en temps réel.

Chez Prestashop, vous trouverez le module Defender qui propose les mêmes fonctionnalités.

BadBot Protection, le plugin pour bloquer les mauvais bots

Certains hackers, travaillant parfois pour la concurrence, développent des bots spéciaux pour explorer votre site e-commerce à la recherche d’informations sur les stocks, les prix, le contenu… Ces robots peuvent aussi entraver, volontairement, les performances de votre site marchand, injecter des codes de spam automatique ou repérer les failles de sécurité.

Avec le plugin Joomla BadBot Protection, vous détectez et bloquez ces bots rapidement. Côté WordPress, il existe une extension équivalente nommée Stop Bad Bots.

Wordfence Security, le plugin tout-en-un pour sécuriser son site e-commerce

Wordfence Security est un plugin populaire auprès des utilisateurs de WordPress. Très complet, ce pare-feu scanne régulièrement votre boutique en ligne pour identifier et bloquer les logiciels malveillants. Il dispose également d’un filtre anti-spam et de fonction de protection contre les attaques par force brute.

Il existe une extension similaire chez Prestashop, nommée Security Pro.

Hide My WP Ghost contre les attaques par injection SQL et XSS

Hide My WP Ghost fonctionne comme un détecteur d’intrusion et vous notifie dès qu’une menace est repérée. Vous obtenez d’ailleurs l’adresse IP de l’attaquant, son nom d’utilisateur et la date de l’attaque.

Par ailleurs, le plugin ajoute des couches de sécurité à votre e-commerce pour prévenir l’injection de scripts malveillants et les attaques par force brute.

Sensibiliser vos clients au phishing

Un des moyens de sécuriser votre site e-commerce est de sensibiliser vos clients au phishing. Cette pratique, qui consiste à envoyer des emails frauduleux censés provenir de votre boutique, peut vite détériorer votre réputation et la confiance en votre site.

Dans la mesure du possible, lancez une campagne de sensibilisation et :

Demandez également à vos clients de renforcer la sécurité de leurs mots de passe en privilégiant des phrases à la place de termes simplistes ou de dates anniversaire.

Les banques sont régulièrement victimes de phishing. Pour sensibiliser leurs clients, elles n’hésitent pas à en parler ouvertement sur la page d’accueil de leur site internet :

Cette bonne pratique peut être reprise pour sécuriser votre site -e-commerce.

Créer des sauvegardes fréquentes

Enfin, veillez à sauvegarder fréquemment vos données essentielles. Si votre site e-commerce est piraté ou pris pour cible par des hackers, vous pourrez le remettre en ligne rapidement, sans perte de données

Sachez que la plupart des hébergeurs web proposent des sauvegardes automatiques et régulières. Vérifiez si le vôtre dispose de cette option. Vous pouvez aussi les réaliser manuellement, depuis le FTP, ou utiliser un plugin. Plusieurs sauvegardes valent toujours mieux qu’une !

Notre astuce pour sécuriser votre site e-commerce

Sécuriser son site e-commerce est indispensable pour rassurer vos clients et assurer la pérennité de votre activité. Si vous voulez renforcer les éléments de protection vus dans cet article, pensez à faire appel à un expert en cybersécurité sur Codeur.com ! Il pourra auditer votre boutique en ligne et optimiser sa sécurité.