Un des points clés de la réussite d’un site e-commerce réside dans la confiance qu’il inspire à ses utilisateurs. Alors qu’aujourd’hui on considère que 80% des internautes ont déjà utilisés leur carte bancaire sur Internet, la recrudescence des cyber-attaques et des arnaques en tout genre sur le web accélère la méfiance des internautes. Tout cela implique que la sécurité et la confidentialité des données joue un rôle important dans la décision d’achat.
Pourquoi la confiance est un élément important pour votre e-commerce ?
Il parait évident qu’un internaute qui n’a pas confiance en votre site internet ne communiquera pas ses coordonnées de carte bleue. Il ne tentera pas de le faire et en cas de mauvaise expérience, il ne reviendra pas sur votre site. Au contraire, un site e-commerce sécurisé renvoie une bonne image et inspire confiance aux visiteurs. La confiance est donc un point essentiel dans le processus d’achat de votre client.
Quels éléments permettent de rassurer un internaute ?
Un des premiers éléments que l’on peut relever, c’est la présence de normes ou de certifications pour mettre en avant l’organisation et la sécurité du site. On peut noter :
- La mise en place d’un certificat SSL obtenu par une autorité de certification permettant de valider votre organisation (authentification du propriétaire) pouvant également offrir une validation étendue (particulièrement adapté aux sites qui collectent des données confidentielles et/ou des informations bancaires)
- La présence de badges de confiance pour la sécurité des paiements (Visa, MasterCard, PayPal…) ou des solutions antivirus (Norton Secured, McAfee Secure…)
- Les informations relatives au propriétaire du site. Votre client sera rassuré d’en apprendre plus sur la société qui se trouve derrière le site notamment pour savoir contre qui il peut se retourner en cas de problème. L’internaute pourra consulter les conditions générales d’utilisation et les conditions générales de vente. Ces éléments doivent décrire les conditions de vos services et notamment expliciter le processus permettant l’achat. On identifiera les éléments suivants Politique d’envoi et de retour, garanties de remboursement, de livraison, etc…
Quelques éléments indispensables pour sécuriser votre site
1- Utiliser le protocole HTTPS
Les sites web utilisant le protocole standard non sécurisé HTTP « protocole de transfert hypertexte », pour le transfert de données entre le serveur et le navigateur du client, sont susceptibles de se faire intercepter les données pour être utilisées de façon malveillante.
Le protocole sécurisé https « protocole de transfert hypertexte sécurisé » permet des échanges d’informations via votre site web de manière sécurisé empêchant les pirates d’accéder aux informations. Il s’agit d’un des premiers points de vérification pour votre site web.
2- Les mots de passe
Les mots de passe sont la première protection d’un site internet. Il est donc préférable d’utiliser des mots de passe toujours plus complexes, incluant des lettres minuscules, majuscules, chiffres, et caractères spéciaux pour tous vos comptes et en priorité pour le compte administrateur de votre site.
3– Gérer les comptes utilisateurs
Chaque utilisateur doit avoir des droits spécifiques et restreints à un dossier personnel. Assurez-vous également que tous ceux qui ont accès à votre site web utilisent un mot de passe sécurisé et impossible à deviner. Un mot de passe faible défini par un utilisateur pourrait mettre en danger l’ensemble de votre site Internet et tous les comptes visiteurs.
4- Plugin de sécurité
En fonction de votre système de gestion de contenu (CMS), il est primordial d’utiliser des plugins de sécurité pour lui garantir une sécurité maximale. Il existe de nombreux plugins de sécurité, gratuits ou payants, pour garder votre site sécurisé et ainsi réduire les risques de piratage.
5- Vérifier les logs
Les logs contiennent beaucoup d’informations sur les problèmes et accès infructueux. En cas d’attaques ou d’incident, les logs sont votre unique moyen de porter votre investigation. Assurez-vous de les avoir activés et de savoir comment y accéder.
Il existe aussi des utilitaires comme Fail2Ban pour les scanner et bannir automatiquement les attaquants potentiels ou vérifier les logs manuellement.
6- Effectuer des mises à jour régulières et des sauvegardes
Des failles de sécurité sont découvertes tous les jours, il est important et indispensable de faire des mises à jour dès que possible. Cela peut sembler assez évident, mais pour sécuriser son site internet c’est l’une des étapes les plus fondamentales et les plus importantes.
Pour sécuriser votre site, il est vivement recommandé de mettre à jour vos plugin, scripts et plateformes (CMS).
Attention cependant, avant toutes mises à jour importantes, il est fortement conseillé de faire une sauvegarde. En cas de problème il est toujours plus agréable de se remettre sur pied en deux clics que de repartir de zéro. Sauvegardez donc régulièrement vos fichiers, vos informations utiles, vos bases de données, etc…
Voir une liste des logiciels spécialisés dans la sauvegarde (en anglais) : https://en.wikipedia.org/wiki/List_of_backup_software
Tester les vulnérabilités de votre site avec un test d’intrusion
Depuis plusieurs années, on constate une augmentation du nombre des cyberattaques. Ces attaques cachent diverses motivations et peuvent être d’ordre économique, politique ou il peut s’agir simplement d’un défi technique pour le cyberattaquant. Le pentest est alors très utile pour identifier les failles de sécurité de votre site e-commerce.
Parmi les objectifs du test d’intrusion, nous pouvons distinguer :
- l’identification des vulnérabilités de votre site,
- l’évaluation du degré de risque de chaque faille identifiée,
- la proposition des correctifs en les priorisant.
Grâce à un pentest, il est possible de qualifier :
- la sévérité de la vulnérabilité,
- la complexité de la correction,
- la priorisation concernant les corrections à apporter.
Le test d’intrusion est une étape supplémentaire pour renforcer le niveau de sécurité de votre site. En testant la résistance de votre plateforme avec la simulation d’attaques réelles, le pentest permet d’identifier concrètement les risques et d’apporter des réponses opérationnelles.
Conclusion
Pour sécuriser un site e-commerce, il existe plusieurs méthodes qui dépendent de votre plateforme. D’autres techniques permettent d’améliorer la confiance comme la configuration des éléments indispensables à l’identification de votre société ou encore les badges de sécurité.
Pour compléter ces démarches, nous conseillons d’effectuer un test d’intrusion par an pour vous assurer que votre site ne contient aucune faille de sécurité et de les corriger si nécessaire. C’est une garantie supplémentaire pour avoir confiance en votre solution et permettre à vos clients d’avoir confiance en votre plateforme e-commerce.