Skip to main content
Join our Community
Add as a preferred source on Google Opens new window Join our Community Join our Community

8 menaces pour la sécurité du commerce électronique et comment sécuriser votre site

Preetam Kaushik
By
Preetam Kaushik
Preetam Kaushik

More about Preetam

Avec au moins 50 % de toutes les entreprises déclarant chaque année avoir été victimes d'une attaque en ligne selon les enquêtes annuelles, la question n'est pas de savoir si, mais quand votre plateforme de commerce électronique sera attaquée. Dans cet article, je présente huit des menaces de sécurité les plus critiques pour votre entreprise de commerce électronique ainsi que des solutions pour vous protéger.

On dit que peu de choses sont garanties dans la vie, sauf la mort et les impôts. Si vous possédez un site web professionnel, vous pouvez ajouter autre chose à cette liste : les menaces de sécurité pour l’ecommerce.

L’essor de l’ecommerce s’est accompagné d’une énorme augmentation du taux de cybercriminalité — allant d’une hausse relativement modérée de 20 % des attaques par rançongiciel à une augmentation terrifiante de 660 % des arnaques par e-mail de hameçonnage.

Avec au moins 50 % des entreprises qui signalent une attaque en ligne chaque année dans les enquêtes annuelles, la question n’est pas de savoir si mais quand votre plateforme ecommerce sera attaquée.

Want more from The Retail Exec?

Sign up for a free membership to complete reading this article:

Have an account? Log In

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

Et savoir, c’est déjà la moitié du chemin. 

Dans cet article, je vais passer en revue huit des menaces de sécurité les plus critiques pour votre entreprise ecommerce, ainsi que les solutions pour vous protéger.

Menaces de sécurité et comment sécuriser votre site

Poursuivez votre lecture pour découvrir les huit menaces de sécurité les plus courantes, ainsi que la meilleure façon de protéger votre site ecommerce contre chacune d’elles.

1. Fraude de paiement

Ce type de menace pour la sécurité des sites ecommerce est aussi ancien que le commerce lui-même. Les pirates et criminels utilisent des cartes bancaires volées ou des informations de carte volées pour effectuer des transactions non autorisées. La fraude à la carte bancaire est généralement difficile à tracer et peut causer d’importantes pertes pour les entreprises de commerce électronique.

Les faux remboursements sont une autre ruse couramment utilisée par les cybercriminels, occasionnant des pertes de plusieurs milliards de dollars pour l’industrie du commerce en ligne. Au lieu de retourner les articles originaux, les fraudeurs renvoient aux commerçants des articles endommagés, jetés ou volés.

Vous pouvez utiliser un logiciel de prévention de fraude pour l’ecommerce afin d’aider à détecter et prévenir les transactions en ligne frauduleuses ou les stratagèmes de rétrofacturation.

Solution : conformité PCI DSS

Maintenez la conformité PCI DSS sur vos pages de paiement. Tous les commerçants en ligne sont encouragés à suivre ces normes de sécurité, maintenues par le PCI Security Standards Council — un organisme indépendant créé par de grandes sociétés de cartes telles que VISA, MasterCard et American Express.

Cartes bancaires avec normes PCI DSS Image
Les principales sociétés de cartes bancaires ont mis en place les normes PCI DSS pour réduire le risque de fraude sur les paiements en ligne. (Source : Republica sur Pixabay)

2. Hameçonnage

Forme d’usurpation d’identité en ligne, l’hameçonnage (phishing) est un fléau croissant dans le secteur de la cybersécurité. Les criminels tentent d’obtenir des identifiants de connexion, des informations de carte bancaire et d’autres données sensibles de leurs cibles sans méfiance, souvent à l’aide d’e-mails trompeurs.

Les courriels sont déguisés en communications provenant de sources légitimes telles que des banques, des organismes gouvernementaux, des partenaires commerciaux ou d’autres commerçants. Ces messages contiennent généralement de faux liens vers des pages de connexion d’un véritable site web — en saisissant vos identifiants, les cybercriminels obtiennent un accès non autorisé à vos comptes.

Join our Community

Sign up and stay in the loop with fresh content, podcasts, how-to guides, tool reviews, and product exclusives.

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

Solution : formation et vigilance

Sensibilisez vos employés et clients à l’importance de la prudence et d’une vigilance constante. Comme les attaques de phishing ciblent les personnes plutôt que les systèmes informatiques et logiciels, c’est la seule solution véritablement efficace.

Vous pouvez également tester la vulnérabilité de votre entreprise grâce à des exercices pratiques — envoyez de faux e-mails de phishing à vos employés — si quelqu’un répond, accompagnez-le pour qu’il soit mieux préparé à faire face à de vraies attaques à l’avenir.

Une passerelle email sécurisée peut bloquer 99 % de tous les courriels indésirables et tentatives de phishing grâce à des filtres. Ajoutez à cela des politiques telles que l’authentification à deux facteurs, des audits de sécurité fréquents et des mises à jour régulières des logiciels pour minimiser le risque d’hameçonnage.

Des entreprises de premier plan comme Google et Microsoft organisent régulièrement des campagnes de formation et de vigilance sur le phishing.

Exemple d’e-mail de phishing Capture d’écran
Exemple d’e-mail de phishing que pourrait recevoir un utilisateur. (Source : Wikipedia)

La détection de la fraude n’est pas optionnelle—surtout lorsque ces certifications de détection de la fraude sont à portée de clic.

3. Ingénierie sociale

L’ingénierie sociale utilise les mêmes techniques d’imitation que le phishing—la principale différence étant que l’ingénierie sociale peut prendre de nombreuses formes autres que l’email. Le criminel peut utiliser des appels téléphoniques, des messages et des profils sur les réseaux sociaux, et d’autres moyens pour vous contacter, vous ou vos employés.

Ils manipulent ensuite ces personnes afin qu’elles révèlent accidentellement des données personnelles sensibles. Alors que le phishing cible un grand nombre de personnes dans l’espoir de piéger quelques victimes, l’ingénierie sociale est plus sophistiquée et vise des individus spécifiques, comme des administrateurs de haut niveau dans les entreprises d’e-commerce.

Solution : Formation et vigilance

La solution ici est la même qu’avec le phishing—rappeler à votre personnel les menaces potentielles qui peuvent émerger des réseaux sociaux et les former à repérer les messages ou appels suspects. Effectuer de temps à autre des simulations et des contrôles de sécurité réguliers aidera à garder tout le monde en alerte.

4. Spam

Vous associez peut-être ce terme à votre messagerie électronique, mais il représente aussi une menace pour tout site e-commerce permettant aux visiteurs de laisser des commentaires ou avis. Les spammeurs peuvent exploiter ces systèmes pour laisser des liens dangereux ou simplement inonder vos pages de publicités.

Solution : Filtrage anti-spam

Utilisez des outils antivirus et de filtrage anti-spam sur votre boutique en ligne. Formez vos employés aux techniques et tactiques anti-spam.

5. Injections SQL & XSS 

Une menace particulièrement dangereuse ici est le cross-site scripting (XSS)—l’attaquant va injecter du code malveillant sur vos sites de commerce en ligne, exploitant souvent les faiblesses de JavaScript.

Ce code attaquera ensuite d’autres clients qui visitent votre boutique en ligne. Aussi appelée « attaque par injection », la XSS peut gravement nuire à votre classement et à votre réputation sur les moteurs de recherche.

Les injections SQL sont similaires à la XSS dans la façon dont elles sont déployées contre vos sites. Mais contrairement à la XSS, les attaques SQL ciblent votre base de données système, cherchant à voler des données sensibles plutôt qu’à attaquer les visiteurs de votre site e-commerce.

Solution : Filtres SQL et scans XSS

Utilisez des pare-feu applicatifs Web, des filtres SQL et des scans fréquents pour détecter les vulnérabilités XSS afin de prévenir ce type de failles. Tout membre du personnel impliqué dans la création ou la maintenance du site doit être formé à la détection et à la prévention des vulnérabilités courantes dans le HTML, le JavaScript, et les autres plugins ou widgets de votre site.

A Graph Showing the Most Common Vulnerabilities When it Comes to Ecommerce Security Threats Screenshot
Les injections SQL et XSS sont deux des menaces et vulnérabilités de sécurité e-commerce les plus fréquentes. (Source : Mozilla)

6. Attaques DDoS

Les attaques par déni de service distribué (DDoS) placent vos sites web et serveurs de boutique en ligne sous siège. En utilisant de multiples ordinateurs piratés, appareils IoT ou bots malveillants, les criminels lancent des attaques coordonnées qui saturent votre site e-commerce et en empêchent le fonctionnement normal.

En plus de bloquer vos ventes, ces attaques coûtent également à votre entreprise d’autres manières, en utilisant la bande passante de votre site. La bonne nouvelle, c’est que les attaques DDoS sont moins fréquentes que d’autres types de menaces, en particulier pour les petites entreprises.

Solution : Service de protection DDoS

Si vous pensez que votre site est vulnérable à ce type de menace, utilisez un service de protection DDoS. Il surveillera tout le trafic entrant et bloquera de manière préventive toute requête qui semble frauduleuse.

DDoS Graphics Screenshot
Les attaques DDoS peuvent paralyser l’ensemble de votre site e-commerce, en utilisant des milliers de bots pour saturer vos réseaux. (Source: Wikimedia Commons)

7. Mots de passe faibles

Par souci de commodité, de nombreux employés dans les entreprises de commerce électronique ont tendance à utiliser des mots de passe simples et faciles à retenir. Malheureusement, c’est également une bonne nouvelle pour les cybercriminels ingénieux qui pratiquent la fraude multi-comptes et d’autres stratagèmes, disposant alors d’une multitude d’options à leur portée.

Certains mots de passe plus simples peuvent être découverts en se contentant de deviner et de faire une recherche sur la personne qui les a choisis.

Ainsi, n’utilisez pas votre date de naissance ou le nom de votre animal comme mot de passe, s’il vous plaît.

D’autres mots de passe plus robustes peuvent tout de même être forcés par attaque par force brute — des programmes spécialement conçus peuvent tester des milliers de combinaisons très rapidement jusqu’à trouver la bonne (cette technique s’appelle l’attaque par force brute).

Solution : Utilisez des mots de passe plus forts !

Imposez une politique stricte concernant la robustesse des mots de passe au sein de votre organisation. Utilisez l’authentification multifacteur sur les comptes administrateur et les profils clients pour toutes les modifications importantes.

Page de connexion LinkedIn Capture d'écran
De nombreux sites obligent les utilisateurs à créer des mots de passe forts en imposant des critères qui les rendent difficiles à deviner et moins vulnérables aux attaques par force brute.

8. Malwares et ransomwares

Voici des menaces qui n’ont probablement plus besoin d’être présentées. Toute personne ayant utilisé un ordinateur au cours des deux dernières décennies est bien consciente des problèmes de sécurité posés par les virus, les chevaux de Troie, et plus récemment les ransomwares.

Elles arrivent sous forme de pièces jointes à des emails, cachées dans des fichiers .exe ou des applications téléchargées, ou via des widgets ou des extensions sur WordPress. Les malwares sont extrêmement variés et polyvalents : ils peuvent tout faire, du vol de données à la corruption d’information, en passant par la surveillance en temps réel, et bien plus encore.

Solution : Logiciels anti-malwares & bonnes pratiques

Installer et utiliser un logiciel antivirus dédié ainsi que d’autres outils de détection de malwares représente une bonne première étape. Mais pour une protection maximale, il faut combiner cela à d’autres mesures de sécurité, telles que les certificats SSL sur toutes vos pages, l’utilisation du HTTPS, des serveurs sécurisés, des pare-feux, et des sauvegardes régulières.

Image ransomware Capture d'écran
Les attaques par ransomware peuvent causer des dégâts importants aux entreprises de commerce électronique en bloquant l'accès à vos systèmes critiques. (Source : Wikimedia Commons)

Protégez votre boutique en ligne

Comme vous pouvez le constater, il n’existe pas de solution miracle ni de potion magique qui puisse résoudre en une seule fois tous vos problèmes de sécurité e-commerce. Protéger efficacement votre entreprise contre les menaces cybernétiques nécessite des solutions adaptées, de la sensibilisation, de la formation et une vigilance constante.

Puisque les menaces informatiques et les risques de sécurité pour les sites évoluent en permanence, vous devez rester à jour. Abonnez-vous à la newsletter The Retail Exec pour recevoir les dernières actualités e-commerce et tendances en cybersécurité.  

Votre entreprise ou vous-même avez-vous déjà été victime d’une de ces cyberattaques ? Si oui, quel a été l’impact pour votre activité, et quelles mesures avez-vous prises pour y remédier et aller de l’avant ? N’hésitez pas à partager vos retours d’expérience dans les commentaires ci-dessous !

D’autres contenus ECM à découvrir :