Sécurité : Protégez votre e-commerce avec ces 10 bonnes pratiques

De plus en plus de commandes en ligne sont frauduleuses et de sites sont attaqués. Comment lutter et sécuriser son activité e-commerce ?

Depuis la crise du Covid-19 particulièrement, le nombre de sites e-commerce ne cesse de croître, et logiquement, les cyberattaques aussi. En particulier pour les business en ligne prospères qui sont souvent la cible des cybercriminels, mais aussi les e-commerçants plus modestes n’ayant pas suffisamment protégé leur site et leurs données. Sans oublier les nombreuses fraudes.

Souvent ces entreprises ne prévoient pas de sécurité suffisante pour leur activité de vente en ligne pour l’une ou plusieurs de ces raisons :

  • Elles ne pensent pas pouvoir être une cible ;
  • Elles n’ont pas conscience de la menace que représentent ces attaques ;
  • Elles ont pas envie d’investir ou ont peur des dépenses que la sécurité représente.

Protégez votre business en ligne avec ces 10 conseils afin de prévenir les fraudes et attaques potentielles :

1- Sélectionnez une plateforme e-commerce fiable et un hébergement sécurisé

Magento, osCommerce, Shopify… Choisissez une plateforme e-commerce qui tient la route pour vous éviter les failles éventuelles. De plus, en particulier pour les CMS open-source, vous pouvez compter sur une communauté avec laquelle vous pouvez communiquer sur des problèmes déjà constatés.

Les CMS comme Magento et les SAAS comme Shopify ou Wizishop sont à priori plus sécurisés.

Si vous hébergez votre site vous-même, pensez à choisir un hébergeur sécurisé, qui protège votre site des attaques et permet un backup de votre site pour restaurer vos données en cas de piratage. N’oubliez pas le protocole HTTPS qui est plus qu’indispensable.

2- Gardez votre site à jour

Les mises à jour de CMS, d’extensions et d’outils e-commerce sont indispensables à la sécurité de votre site. Les hackers sauront trouver les imperfections dans le code, surtout si vous utilisez un système ouvert et très répandu comme WordPress ou WooCommerce. En installant régulièrement les dernières mises à jour et correctifs, vous vous assurez de supprimer les vulnérabilités de votre boutique en ligne.

Part de sites web infectés par plateforme en 2017 – Source : kinsta.com

Une série d’exigences est définie pour assurer que toutes les entreprises qui utilisent les données de cartes bancaires maintiennent un environnement sécurisé. Soyez toujours au courant de ces évolutions.

3- Testez vous-même la sécurité de votre site

Une fois que vous avez choisi votre module de paiement et que vous êtes à jour sur les exigences des données de paiement, vous pouvez aller plus loin en vérifiant le processus de paiement :

  • Est-ce que le site reste en HTTPS tout le long ?
  • Que se passe-t-il quand vous sortez de l’espace de paiement et vous y revenez plus tard ?
  • Est-ce que les mots de passe pour accéder à toutes les informations sensibles sont régulièrement changés ?

N’hésitez pas à faire des audits de sécurité réguliers pour réparer les vulnérabilités de votre site.

4- Mettez en place un système d’alertes et de surveillance

Selon la plateforme que vous utilisez, vous pouvez paramétrer des alertes automatiques si une activité suspicieuse est en cours. Par exemple, plusieurs commandes par la même personne utilisant différentes cartes bancaires, les clients qui achètent en quantité le même produit ou qui payent des frais de livraison supplémentaires pour être vite livrés (pour les revendre au plus vite).

Google Analytics est aussi un bon outil pour suivre d’éventuels pics de trafic et de connexion inexpliqués (sûrement des attaques DDoS), mais il existe de nombreux outils qui scannent votre sites contre ces attaques, des malwares et bien d’autres encore. WordPress bénéficie par exemple d’extensions réputées, comme Wordfence.

5- Faites attention à ce que vous téléchargez et intégrez à votre site

Les plateformes de création de sites web modernes vous permettent de télécharger de nouvelles extensions à installer sur votre site. Le problème est que les pirates peuvent les utiliser comme appât pour implanter un script malveillants sur votre site ou votre ordinateur.

Les logiciels malveillants présents sur votre appareil peuvent espionner vos frappes de clavier et obtenir le mot de passe de votre site de commerce électronique par exemple. Pour éviter cette menace :

  • Ne téléchargez jamais une pièce jointe ou un fichier d’un utilisateur ou d’un site qui n’inspire pas confiance ;
  • Vérifiez toujours l’identité des développeurs de plugins ;
  • Consultez les avis avant l’installation.

6- Débarrassez-vous des données clients sensibles

Il est généralement interdit de stocker les données sensibles des consommateurs, comme les numéros de carte bancaire, les dates d’expiration et les codes de sécurité. Si vous en avez, supprimez-le sur le champ !

Si votre système requiert le chargement de CB, vous pouvez stocker les informations du moment où les exigences des données de paiement sont respectées. Restreignez fortement les accès, cryptez les données et faites des audits réguliers.

Si vous n’avez pas de données à voler, les pirates ne viendront pas chez vous…

7- Utilisez des numéros de tracking pour toutes les commandes

Tracker les transactions vous aidera à protéger votre business des fraudes de remboursement. Vous savez, quand un client demande un remboursement (produit non reçu) que vous êtes obligé d’effectuer car il est demandé par la banque émettrice… En plus, vous devez payer toutes les charges afférentes.

En utilisant le tracking, vous savez si le produit a été livré au consommateur. Demander la signature à la livraison est un autre moyen de lutter contre cette « gentille » fraude.

8- Exigez un mot de passe sécurisé de la part des clients

Même si vous avez le site le plus sécurisé du monde, si vos utilisateurs utilisent des mots de passe trop faibles

Assurez-vous que vos clients créent un mot de passe constitué de majuscules, de minuscules, de symboles, de chiffres et de minimum 8 caractères.

Et si votre site s’y prête, pensez à des méthodes plus modernes comme la double authentification (réservé aux sites sensibles, B2B… car contraignant), qui ne remplace pas le mot de passe mais renforce sa sécurité, l’authentification biométrique (empreinte digitale, reconnaissance faciale…) ou l’authentification via token.

9- Éduquez vos équipes sur les protocoles de sécurité

Alors qu’il y a des mesures de sécurité que vous connaissez, assurez-vous que vos équipes les connaissent également. Tous leurs mots de passe doivent être sécurisés, ils doivent être capables de détecter un achat potentiellement frauduleux et ils doivent comprendre la gravité des risques.

Pensez à utiliser un VPN si vous travaillez à distance ou que vos collaborateurs sont en télétravail, pour sécuriser les connexions.

10- Créez et gardez un fichier des tentatives et des transactions frauduleuses

Gardez un enregistrement de tous les détails des tentatives de fraude et des fraudes effectuées. Cela pourra vous servir pour éviter que la situation se reproduise.

Sources : Blog Kissmetrics – Elli Bishop / ecommerce-nation – Haley Osborne

Inscrivez-vous pour recevoir nos actualités en avant première.