Sécurité du site de commerce électronique : audit en 10 étapes pour les magasins de commerce électronique
Publié: 2022-07-05Les magasins de brique et de mortier ont des caméras de sécurité, des alarmes, des dispositifs antivol et même des gardes. Lorsque vous êtes dans l'espace de commerce électronique, il y a une autre couche de protection à laquelle vous devez penser : la sécurité du site de commerce électronique.
Les clients sont censés vous fournir une quantité importante de leurs données afin qu'ils puissent effectuer des achats - noms, adresses, numéros de carte de crédit et parfois mots de passe. Avec toutes ces données sensibles, il est important d'apprendre à protéger votre boutique en ligne, et il ne s'agit pas seulement des informations de vos clients.
Dans cet article, nous vous poserons dix questions auxquelles vous voudrez répondre si vous souhaitez protéger votre boutique en ligne. Continuez à lire pour savoir comment sécuriser votre site de commerce électronique.
Quel est le pire qui puisse arriver ?
Des mesures de sécurité du commerce électronique doivent être en place pour diverses raisons. Qu'il s'agisse de rester en conformité ou de faire face à des pirates informatiques, il y a beaucoup à garder à l'esprit. Surtout avec le passage croissant au commerce électronique à la suite de la pandémie, le commerce de détail est une cible principale des cyberattaques.
Les violations de données peuvent entraîner le vol d'informations, la devinette de mots de passe, le phishing ou même des infections par des logiciels malveillants. Faire l'expérience d'une violation vous coûte non seulement du temps, de l'argent et de la réputation, mais cela érode également la confiance des consommateurs.
Un autre problème de sécurité courant dans le commerce électronique est une attaque de ransomware. Les acteurs malveillants peuvent effectivement empêcher la capacité de votre magasin de fonctionner à moins que vous ne déboursiez une grosse somme. En raison des revenus potentiels qui pourraient être perdus, en particulier pendant les vacances, de nombreuses entreprises finissent par payer.
Cela peut être un cauchemar à gérer, mais tout cela pourrait être évité en suivant les meilleures pratiques de sécurité du commerce électronique.
10 considérations pour la sécurité des sites de commerce électronique
Il y a beaucoup de choses que vous pouvez faire pour verrouiller votre site comme Fort Knox. Passer en revue ces dix questions vous aidera à protéger votre site et vous permettra de devenir un expert de la sécurité des sites de commerce électronique.
Les premiers regards ont besoin d'un deuxième coup d'œil
1. À quelle fréquence consultez-vous votre page d'accueil ?
Cela semble évident, mais quand avez-vous consulté votre page d'accueil pour la dernière fois ? Nous nous connectons généralement au backend, sauf si nous recherchons quelque chose de spécifique. Cet oubli peut conduire à des drapeaux rouges manquants. Il y en a trois principaux : les petits changements, les pop-ups et les redirections.
Petits changements
De petits changements comme changer un logo ou un texte pour afficher la carte de visite d'un pirate sont étonnamment courants. Certains hackers veulent planter leur drapeau et gagner en notoriété.
Popups
Les pop-ups publicitaires de produits que vous ne vendez pas sont un autre signe d'avertissement. Vous pouvez certainement ajouter des pop-ups à votre site pour vendre vos propres produits, mais garder un œil sur eux pour vous assurer qu'ils sont bien les vôtres est toujours une bonne idée. N'oubliez pas de désactiver vos bloqueurs de publicités lorsque vous vérifiez : vous pouvez facilement manquer un pop-up malveillant !
Redirections
Les redirections inattendues vers d'autres sites qui sont probablement malveillants sont une autre raison de prendre des précautions. Vous voulez que le trafic reste sur votre site et augmentez vos chances de convertir les visiteurs. Le fait d'éloigner les clients vous affecte non seulement, mais cela peut mettre leurs informations en danger et nuire à votre réputation à leurs yeux.
Faire preuve de diligence dans la vérification prend du temps maintenant, mais évite un mal de tête plus tard.
Sécuriser votre clientèle
2. De quelle quantité de données client avez-vous vraiment besoin ?
Les infractions arrivent même aux meilleurs d'entre nous. Qu'est-ce qui est vraiment en danger lorsque cela se produit ? Vos données clients sont exposées. Le stockage de données telles que des noms, des adresses ou des mots de passe n'est pas nécessaire lorsque vous utilisez des passerelles de paiement comme Stripe.
Cependant, conserver ces données dans un dossier est plus que suffisant pour créer des prêts frauduleux en cas de violation. De plus, l'utilisation d'une passerelle de paiement comme Stripe vous aide à devenir conforme à la norme PCI DSS.
Un moyen simple d'atténuer les risques si cela se produit est de ne pas collecter plus de données que nécessaire. Conservez le moins de données possible pour vous assurer que vos clients ne courent aucun risque. Vous ne pouvez pas compromettre des données que vous n'avez jamais eues en premier lieu.
3. Dans quelle mesure les comptes de vos clients sont-ils sécurisés ?
Vous pouvez tout faire correctement… et toujours avoir des comptes clients compromis. Vous souvenez-vous du film Hackers de 1995 ? Leur responsable de la sécurité informatique souligne que quelqu'un n'a pas pris la peine de lire leur mémo soigneusement préparé sur les mots de passe couramment utilisés. Il s'avère que plus de 20 ans plus tard, c'est toujours vrai.
Une manière courante de pirater les comptes clients consiste à utiliser des attaques par force brute, où un pirate informatique utilisera des crackers de mot de passe facilement disponibles (oui, vous pouvez les rechercher sur Google) et continuera à deviner jusqu'à ce qu'il obtienne le bon.
Personne n'aime les mots de passe compliqués avec des caractères spéciaux dont ils ne se souviendront jamais, mais c'est certainement plus sûr, surtout lorsque votre argent durement gagné est en danger. L'authentification à deux facteurs est une autre grande aide, mais surprise, surprise : cela nécessite que les gens prennent le temps de le faire.
Certes, c'est l'utilisateur qui choisit finalement d'être paresseux sur la sécurité des mots de passe. Et si vous, en tant que propriétaire de magasin, ne l'appliquez pas, ils n'auront pas à le faire. Regardez ce qui s'est passé avec la sécurité Ring. Même s'il s'agissait d'une erreur de l'utilisateur, le tribunal de l'opinion publique reproche à Amazon et non à une mauvaise hygiène des mots de passe.
Faire en sorte que vos clients utilisent des mots de passe forts relève de la responsabilité du propriétaire du magasin - et ne pas le faire peut coûter très cher aux clients. Cela peut également vous coûter des points de réputation, car les clients mécontents peuvent se tourner vers les médias sociaux pour parler de leurs mauvaises expériences.
La Technique Viande et Pommes de terre
4. Êtes-vous sur la bonne plateforme ?
Les plateformes de commerce électronique les plus connues sont Shopify, Magento et WordPress/WooCommerce. L'une des raisons pour lesquelles ils sont si populaires est qu'il s'agit de solutions très sécurisées.
Lecture connexe : 10 raisons de choisir WooCommerce >>
Vous voudrez construire votre magasin sur une plate-forme qui parvient à garder une longueur d'avance. Des mises à jour régulières qui corrigent les vulnérabilités de sécurité sont indispensables sur la plateforme que vous choisissez. Votre premier choix a-t-il eu des violations de données ? Est-il connu pour les vulnérabilités laissées ouvertes ? Assurez-vous d'examiner cela avant de vous engager.
Il y a aussi d'autres considérations impliquées au-delà de la sécurité des sites de commerce électronique, mais c'est une autre conversation.
Vous recherchez l'une des plateformes de commerce électronique les plus sécurisées ? Nexcess répond à l'appel.
5. Utilisez-vous le bon hébergeur ?
Nous savons que les hôtes ne sont pas tous faits de la même manière. Le prix n'est pas le seul facteur qui devrait vous préoccuper. Certaines options d'hébergement peuvent affecter la sécurité du site de commerce électronique. Faire le bon choix pour votre magasin est crucial.
Lecture connexe : Top 10 des questions à poser à un fournisseur d'hébergement cloud >>
Lorsque vous utilisez un hébergement mutualisé, vous payez moins mais vous risquez potentiellement plus. Si les comptes d'utilisateurs ne sont pas correctement séparés - et que l'un d'entre eux est compromis - cela met tout le monde sur ce serveur en danger. S'assurer que votre hôte applique régulièrement des correctifs de sécurité et suit les protocoles de sécurité critiques vous aide à éviter les maux de tête plus tard.
Vous voudrez également demander, comment surveillent-ils leurs réseaux ? Quel est leur protocole pour informer les clients des failles de sécurité ? Fournissent-ils des sauvegardes automatiques ?
La sécurité physique des centres de données et de l'emplacement de leurs serveurs est tout aussi importante que la sécurité des sites de commerce électronique. Renseignez-vous sur leurs plans pour les serveurs en cas de panne de courant.
Vous pouvez certainement opter pour un hébergement moins cher où vous gérez vous-même toutes ces choses. Vous pouvez également opter pour des services d'hébergement gérés qui gèrent les mises à jour et les sauvegardes tout en vous offrant un support d'hébergement, des suggestions et une sécurité de premier ordre.
6. Le logiciel de votre boutique est-il à jour ?
Les mises à jour et les correctifs sont publiés assez fréquemment, et avec raison. Les vulnérabilités d'exploitation qui peuvent vous exposer aux attaques apparaissent de plus en plus vite, vous laissant la tâche de vous assurer que vous êtes protégé. Lorsque vous ne le faites pas, vous ouvrez votre site aux pirates qui passent devant le buffet à volonté d'accès aux données.
Que faut-il mettre à jour ? Systèmes de gestion de contenu, thèmes, plugins, extensions — et bien sûr votre serveur. Au-delà du simple fait de garder votre site de commerce électronique sécurisé et protégé contre les vulnérabilités, cela peut également empêcher votre site de perdre des fonctionnalités.
Un excellent moyen de garder un œil sur tout est d'utiliser un fournisseur d'hébergement qui fournit des mises à jour automatiques. C'est une solution simple qui garantit que votre site est toujours prêt.
La sécurité n'est pas une affaire unique - tous vos efforts s'additionnent. Vous ne pouvez pas compter uniquement sur la mise à jour automatisée pour assurer votre sécurité, mais cela aide beaucoup. Cependant, même les sites les plus sécurisés peuvent être victimes d'une cyberattaque. C'est pourquoi il y a dix points dans cet audit de sécurité, pas un seul.
Établir une excellente connexion
7. Votre hôte est-il conforme à la norme PCI DSS ?
Si vous acceptez les paiements par carte de crédit, ce que pratiquent pratiquement tous les magasins en ligne, vous devez respecter les normes établies par l'industrie des cartes de paiement. Un aperçu de la conformité peut être trouvé ici, mais il y a plus de 300 exigences de sécurité impliquées.
La conformité PCI DSS peut faire la différence entre une vente et un rebond. Vous pouvez également être condamné à une amende pour non-conformité - et les coûts sont souvent à la charge des commerçants. Être un hôte conforme vous permet d'économiser de l'argent et garantit que vos clients utilisent une passerelle de paiement sécurisée.
Voici quelques éléments de base que vous devrez inclure :
- Vous avez besoin d'un réseau sécurisé, ce qui signifie l'installation d'un pare-feu.
- Assurez-vous de changer vos mots de passe — les valeurs par défaut du fournisseur ne sont pas sécurisées.
- Crypter la transmission des données.
- Assurez la gestion des vulnérabilités en mettant régulièrement à jour les programmes antivirus et leurs versions.
- Instaurer des mesures strictes de contrôle d'accès et restreindre l'accès aux données des titulaires de carte.
- Utilisez des identifiants uniques pour toute personne ayant accès aux données afin de surveiller l'utilisation.
- Surveillez et testez régulièrement les réseaux.
La conformité PCI est l'un des moyens les plus importants de protéger votre boutique en ligne, car si vous souhaitez réaliser des ventes, vos clients doivent se sentir en sécurité en saisissant leurs informations de paiement. S'assurer que vous répondez à toutes les différentes exigences est une excellente raison d'utiliser l'hébergement géré : c'est une chose de moins pour laquelle vous consacrez du temps et de l'énergie.
8. Utilisez-vous le cryptage SSL ?
Soyons clairs. Un énorme 85% des consommateurs éviteront un site Web non sécurisé. Si vous êtes comme nous, vous remarquez ce petit verrou dans les navigateurs comme Chrome qui confirme que le site que vous naviguez est sécurisé et possède un certificat valide. De quel certificat parle-t-on ? C'est votre certificat Secure Sockets Layer.
Pourquoi cela fait-il une différence ? Parce que si vous êtes sur le point de renoncer à des données au cours de ce siècle, vous ne voulez pas être victime d'un vol d'identité, découvrir que vos cartes de débit ont été piégées ou que d'autres problèmes liés à l'utilisation de vos données personnelles sans votre consentement .
De plus, il est en fait plus difficile de trouver des sites Web non sécurisés. Google, pour sa part, pénalise les sites non sécurisés, ce qui signifie qu'ils sont moins bien classés dans les SERP. Combinez le fait d'être plus difficile à trouver en premier lieu avec les clients qui remarquent que votre site n'est pas sécurisé et cela peut se traduire par moins de conversions.
9. Utilisez-vous un CDN ?
Si vous êtes nouveau dans l'espace de commerce électronique, vous vous demandez peut-être pourquoi cela figure sur la liste. N'est-ce pas un CDN que vous utilisez pour que les images et le contenu se chargent plus rapidement ? Hé bien oui. Mais cela peut également ajouter des fonctionnalités de sécurité à votre site.
Les fournisseurs de CDN fournissent généralement des fonctionnalités de sécurité supplémentaires telles que l'analyse des logiciels malveillants, le blocage des spambots, etc. Bien qu'un CDN n'empêche pas complètement une attaque DDoS, il peut certainement aider à en atténuer une. Considérez-le comme un garde de sécurité - l'une de ses caractéristiques est qu'il surveille et identifie le trafic inhabituel. Une fois qu'il identifie les adresses IP qu'ils reconnaissent comme malveillantes, il bloque les demandes.
Un autre bonus ? Ces processus ne sont pas hébergés sur votre serveur - ils sont hébergés via le serveur CDN, ce qui signifie que la vitesse de votre site ne diminue pas pendant que cela se produit.
Il existe des CDN gratuits et payants. De nombreux hébergeurs donnent également accès aux leurs. Assurez-vous d'en utiliser un qui met à jour et corrige souvent - cela n'a aucun sens de faire tout le travail juste pour utiliser un CDN avec une sécurité médiocre.
10. Protégez-vous votre connexion dans les espaces publics ?
Une grande partie du bon travail que vous faites pour protéger votre boutique en ligne peut être annulée par une erreur de débutant : utiliser une connexion non sécurisée. De nos jours, vous pouvez travailler de n'importe où. Le Wi-Fi gratuit est la norme dans les espaces physiques. Les gens aiment la liberté de sortir du bureau (même du bureau à domicile) et de prendre leur tasse de café préférée ou dans une bibliothèque tranquille.
Vous pourriez être tenté de vous connecter et de profiter de l'accès gratuit, mais n'oubliez pas que la gratuité n'est pas toujours meilleure. Si vous utilisez une connexion cryptée, via un VPN, vous pouvez accéder au net sans vous soucier de qui a accès à vos données.
Trouver un VPN sécurisé est facile avec un peu de recherche, et de nombreux hébergeurs les proposent également.
Nexcess facilite la sécurité des sites de commerce électronique
En ce qui concerne la sécurité des sites de commerce électronique, vous avez beaucoup à penser. À moins que vous ne soyez une grande entreprise avec la capacité de payer une équipe pour garder un œil vigilant, il y a de fortes chances que vous fassiez vous-même une grande partie de cette surveillance.
Vous pouvez absolument gérer tout cela, mais si vous cherchez à consacrer votre temps à des choses plus importantes comme la vente et la mise à jour du contenu qui attire les gens vers votre site, il existe une meilleure option.
L'hébergement WooCommerce entièrement géré de Nexcess "se verrouille" pour vous avec des mises à jour et des sauvegardes automatiques, un CDN ultrarapide et le maintien de la conformité et des certificats. Nous le rendons rapide, facile et sécurisé afin que vous puissiez faire ce que vous faites le mieux : vendre.