Le commerce en ligne est en constante expansion. Chaque année, de plus en plus de transactions ont lieu via des sites e-commerce, ce qui attire les pirates informatiques. Les cyberattaques prolifèrent sur les sites e-commerce en raison des transactions financières qui y ont lieu et des données personnelles des clients. C’est pourquoi la sécurité est un enjeu majeur pour les propriétaires de ces sites e-commerce ! Dans cet article, découvrez les menaces les plus courantes et les démarches à suivre pour sécuriser votre site e-commerce. 

Quelles sont les menaces pour les sites e-commerce ?

Nombreuses sont les méthodes employées par les hackers pour mettre la main sur les données de vos utilisateurs ou sur vos transactions financières. Il est important de connaître les cyberattaques les plus courantes afin de s’en protéger. Voici les menaces les plus communes auxquelles votre site e-commerce peut faire face.

Attaque par déni de service distribué (DDoS)

Une attaque DDoS vise à saturer un site web en envoyant un volume démesuré de trafic afin de bloquer le fonctionnement du site et le rendre indisponible. Ces attaques peuvent donner lieu à une demande de rançon, mais aussi être combinées à d’autres attaques pour atteindre d’autres objectifs variés. 

Injection SQL

Une attaque par injection SQL est utilisée par les hackers pour recueillir les données personnelles de vos clients, tels que leurs identifiants ou informations bancaires. Le pirate insère son code SQL dans un formulaire de soumission de requête où une autre entrée de données pour accéder aux données backend de votre site en contournant les mesures de sécurité. 

Attaque XSS

Une attaque XSS, autrement appelée Cross-site scripting, consiste en l’injection par le hackeur d’un code malveillant dans un site web afin de rediriger les utilisateurs. Le pirate peut alors espionner et saisir les comptes utilisateurs des clients d’un site web afin de mettre la main sur leurs données personnelles.

Attaque par force brute 

Une attaque par force brute a pour objectif d’accéder au compte utilisateur ou administrateur d’un site web en essayant de “deviner le mot de passe”. Cette attaque, relativement ancienne et basique, s’est développée au fil des années, les hackers utilisent désormais des outils permettant d’automatiser ces attaques tout en s’alimentant sur des bases de données volées suite à des injections SQL par exemple.

Comment sécuriser au maximum votre site e-commerce ? 

1 Choisir un hébergeur sécurisé 

Les cyberattaques mentionnées précédemment peuvent être dirigées vers votre site e-commerce, mais peuvent également cibler directement votre hébergeur. Pour cette raison, la première étape de sécurisation de votre site e-commerce est le choix de la plateforme qui l’héberge. Vous pouvez choisir un CMS propriétaire ou un CMS open-source, les deux solutions sont très différentes. 

En termes de sécurité, un CMS propriétaire prend en charge la sécurisation de votre site, alors qu’un CMS open-source vous laisse une totale liberté sur la sécurisation de votre site e-commerce. Renseignez-vous bien avant de faire votre choix, toutefois, nous vous conseillons de passer par un CMS open-source tel que WordPress, le CMS le plus utilisé au monde. 

Dans tous les cas, il est recommandé de privilégier une plateforme connue et réputée, elle aura une plus grande communauté de développeurs travaillant sur sa sécurité. 

2. Installer un certificat SSL

Un certificat SSL (Secure Socket Layer) est un certificat électronique qui permet de protéger les données sensibles de vos clients. Il s’assure que les données transférées entre le site web et ses utilisateurs sont chiffrées via des algorithmes de chiffrement.

Un site web protégé par un certificat SSL est facilement identifiable à l’aide d’un petit cadena présent à côté de l’URL. Ce certificat renforce la sécurité de votre site web, mais permet aussi d’apporter une certaine confiance à vos utilisateurs, notamment lorsqu’il s’agit de faire des achats sur votre site e-commerce tout en s’assurant de la sécurité de leurs données et transactions. 

Nous accordons une importance toute particulière à la sécurité en ligne, avec tout hébergement chez Gandi, profitez d’un certificat SSL offert pour la première année. 

Pack hébergement + Nom de domaine =

Un certificat SSL offert et 2 boîtes mail de 3 Go de stockage

3. Mettre en place une double authentification

Mettre en place une double authentification permet d’augmenter la sécurité lors de votre connexion à votre administration, mais également lors de celle de vos clients à votre site. Vous bloquez ainsi aux hackers l’accès à votre espace administrateur ainsi qu’aux informations de vos clients et leurs paiements.

Cette action, aussi appelée authentification multifactorielle, permet de combiner l’utilisation d’un mot de passe avec un autre facteur pour vous authentifier. Ainsi, si un hacker parvient à mettre la main sur votre mot de passe, il reste bloqué par le deuxième facteur d’authentification. 

Une fois votre mot de passe renseigné, le deuxième facteur peut prendre plusieurs formes : une application sur votre téléphone vous proposant un code que vous devrez renseigner pour confirmer votre authentification, un SMS avec un code à insérer que vous recevrez sur un numéro prédéfini, une empreinte digitale ou une identification faciale.

Cette étape ajoute certes une étape supplémentaire dans le processus d’achat, mais elle permet de sécuriser leurs transactions et protège vos clients. Lors de la double authentification, pensez à insérer un message pour assurer vos clients que celle-ci garantit la sécurité des transactions et de leurs données. Vous protégez ainsi votre site e-commerce des hackers, et rassurez vos clients par la même occasion. En général, les banques de vos clients mettent également en place des authentifications renforcées lors de paiements bancaires.

4. Effectuer des mises à jour régulièrement

De la même manière que les hackers développent continuellement de nouvelles techniques pour trouver des failles de sécurité, les développeurs de CMS, plugins et autres outils améliorent constamment la sécurité de ces derniers. 

Pour cette raison, les plateformes, logiciels, plugins, etc. sont régulièrement mises à jour afin de corriger les bugs et améliorer la sécurité pour ses utilisateurs. Toutefois, ces mises-à-jour ne sont pas toujours automatiques. Vérifiez alors régulièrement que tous vos outils sont à jour, et, le cas échéant, mettez à jour votre CMS, vos logiciels et vos plugins afin de vous assurer que la sécurité de ces derniers ne soit pas obsolète.

5. Choisir les plugins de votre site e-commerce avec soin 

La majorité des CMS offrent la possibilité d’installer des plugins sur votre site e-commerce pour y ajouter des fonctionnalités. Pensez à vérifier la fiabilité des plugins que vous installez. Pour cela, renseignez-vous sur la date et la notoriété des plugins, leur compatibilité avec votre CMS et la régularité des mises à jour sur ce plugin. Cette action vous permettra de vous assurer de la fiabilité des plugins que vous installez afin de prévenir d’éventuelles failles.

6. Installer des plugins de sécurité

Des plugins existent sur les CMS pour optimiser différents aspects de la sécurité de votre site e-commerce. Sur WordPress notamment, le plugin Wordfence Security est très efficace et particulièrement populaire auprès des utilisateurs. Ce plug-in de sécurité multitâche permet notamment de mettre en place une double authentification, bloquer les spams, analyser votre site e-commerce pour le protéger des logiciels malveillants et vous protège contre les attaques de force brute.

En effet, analyser votre site web afin d’identifier les failles qui peuvent être exploitées par les hackers est un élément crucial de la sécurisation de votre site e-commerce. Des plugins de sécurité tels que Wordfence Security vous facilitent la tâche quant à cette analyse.

7. Créer des mots de passe complexes

Pensez à créer des mots de passe complexes pour ne pas faciliter la tâche aux hackers. Voici quelques conseils pour mettre en place un mot de passe difficile à pirater.

  • Miser sur la longueur : votre mot de passe doit être le plus long possible (plus de 12 caractères).
  • Varier les caractères : votre mot de passe doit inclure des chiffres, caractères spéciaux, majuscules et minuscules.
  • Ne pas utiliser de mots évidents : évitez les dates de naissance, prénoms, noms, adresses, etc., et privilégiez des mots aléatoires.
  • Créer un mot de passe dont vous pouvez vous souvenir : votre mot de passe doit être mémorisable, évitez de le noter dans votre téléphone ou dans un dossier sur votre ordinateur, cette action augmente les chances que votre mot de passe soit découvert.
  • Ne pas utiliser plusieurs fois le même mot de passe : Utilisez des mots de passe différents pour chaque site, si un de vos mots de passe est découvert, les autres resteront alors sécurisés.

Vous pouvez utiliser des gestionnaires de mots de passe sécurisé. Un gestionnaire de mot de passe vous permet de créer un mot de passe complexe et sécurisé pour chaque site. Mais il vous permet également de stocker les noms d’utilisateur et mots de passe dans un fichier crypté protégé par un mot de passe. Ainsi, vous avez seulement un mot de passe à retenir, celui du générateur.

Privilégiez un gestionnaire de mot de passe qui n’est pas en ligne, bien qu’un peu moins pratique, il sera encore plus sécurisé. Nous vous recommandons l’usage de KeePass ou Keychain.

Pour en savoir plus, renseignez-vous sur les recommandations proposées par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) relatives à l’authentification multifacteur et aux mots de passe.

8. Attention à la sécurité sur votre ordinateur

Votre ordinateur peut également être à la source de piratages sur votre site. Un hacker qui parvient à infecter votre ordinateur avec un logiciel malveillant pourra, par la suite, se procurer les informations de connexion à votre site et le pirater à son tour. Pensez ainsi à protéger l’ordinateur sur lequel vous vous connectez à votre espace administrateur. Pour cela, pensez à respecter quelques règles de sécurité lorsque vous utilisez votre ordinateur. 

  • Installez un pare-feu et un antivirus et mettez-les à jour régulièrement.
  • Mettez à jour votre ordinateur et votre navigateur web dès que nécessaire. 
  • Ne vous connectez pas sur des sites dangereux, et ne téléchargez pas de contenu qui ne paraît pas sécurisé.
  • Ne vous connectez pas sur des wifi publics, où utilisez un VPN lorsque cela arrive.
  • Ne cliquez pas sur les liens dans les emails, si un fournisseur vous annonce qu’il faut renouveler un service, connectez-vous chez ce fournisseur afin de vérifier si un renouvellement est nécessaire, sans cliquer sur les liens des emails (phishing).

9. Sauvegarder votre site

Vous avez beau multiplier les méthodes pour sécuriser votre site, il existe toujours un risque qu’il soit piraté, une protection totale reste impossible. Dans le cas où toutes les précautions énoncées précédemment échouent et où vous êtes victime d’un piratage, le fait de sauvegarder régulièrement votre site est essentiel, et vous permettra de sauver votre site ! Pourquoi, nous demanderez-vous ? 

Si votre site e-commerce présente une faille et se fait pirater, vous pourrez le remettre en ligne rapidement grâce à ces sauvegardes en restaurant la dernière sauvegarde de votre site sans perdre vos données.

Par ailleurs, au-delà du piratage, sauvegarder votre site peut également vous sauver en cas de mauvaise manipulation. Il suffit parfois d’une petite erreur pour gâcher des heures de travail acharné. En cas de mauvaise manipulation, vous pourrez retourner à la précédente sauvegarde et ne pas perdre tout votre travail.

Il existe des plugins vous permettant de sauvegarder facilement votre site, comme notamment UpdraftPlus sur WordPress. Toutefois, pensez également à créer plusieurs sauvegardes. Gardez-en une sur votre CMS, mais créez des copies sur votre ordinateur et sur des disques durs externes.

Conclusion

Avec la multiplication des cyberattaques, la sécurité liée à votre site e-commerce doit être une priorité absolue. De même qu’une boutique physique emploie des agents de sécurité, des caméras, une grille, etc., il est essentiel de munir votre site e-commerce de toutes les sécurités possibles pour la protéger des pirates. Mettez en place les 9 conseils énoncés dans cet article, et protégez votre site et vos clients des cyberattaques !