Comment sécuriser votre site Web de commerce électronique: 6 étapes de base

Décembre
18, 2019

11 min de lecture

Cette histoire est apparue à l'origine sur PCMag

Les petites et moyennes entreprises (PME) ont une multitude de solutions parmi lesquelles choisir lors de la création d'un site Web de commerce électronique rentable et acceptant paiements . Les principaux avantages des sites Web de commerce électronique incluent la possibilité de fournir un accès 24/7 aux acheteurs internationaux et de permettre des ventes en ligne rapides et sécurisées. Pour Semaine nationale de la petite entreprise (NSBW), nous examinons quelques façons dont vous pouvez sécuriser rapidement et efficacement votre site Web de commerce électronique ainsi que protéger les données de vos clients. Tout ce qu'il faut, c'est cinq étapes faciles.

Avant de commencer, cependant, un peu d'histoire. Les achats en ligne offrent un énorme potentiel de revenus aux PME, car il leur est plus facile que jamais de concurrencer directement les grandes organisations en utilisant les outils et technologies de commerce électronique actuels. Selon la société de recherche Statista environ 270 millions d'Américains effectueront un achat en ligne cette année, dépensant un total de 548 milliards de dollars.

Tout cet argent ne change pas de mains de manière invisible, cependant. Les sites Web de commerce électronique sont essentiellement des portails pour promouvoir la marque et les produits d'une entreprise, et ils sont également un canal pour obtenir les commentaires des clients. Les solutions logicielles de commerce électronique telles que Editors 'Choice choisit Shopify et PinnacleCart offrent des fonctionnalités complètes pour que votre entreprise en ligne fonctionne rapidement. Mais ce sont aussi de formidables moteurs de collecte de données. Descriptions de produits, données de transaction, interactions clients: tout touche à votre moteur e-commerce et à votre site internet. Par conséquent, la protection de ces données doit être une considération primordiale.

Les grands détaillants en ligne et vitrines en ligne bénéficient du luxe d'avoir leurs propres fournisseurs ou consultants de sécurité informatique internes. Cela peut ne pas être le cas pour les PME ou les startups qui démarrent leur entreprise avec des budgets limités. Rendre leur manque de ressources encore plus douloureux est la nouvelle tendance des logiciels malveillants vers l'automatisation. En automatisant leur logiciel contre les menaces, les pirates peuvent cibler de vastes étendues de cibles d'entreprise et de commerce électronique plutôt que de les attaquer une à la fois. Cela signifie que l'espace SMB est désormais un champ d'opportunités riche pour les criminels, car il contient d'énormes quantités de données précieuses lorsqu'il est affiché globalement et que les données ne sont souvent pas protégées ainsi que les magasins d'une grande organisation. C'est pourquoi des études récentes, comme le rapport d'enquête sur les violations de données de Verizon 2019 ont constaté une augmentation marquée du nombre de PME subissant une violation.

D'autres études sont d'accord. Selon le rapport LexisNexis sur le véritable coût de la fraude 2018, sur la base des 200 responsables du risque et de la fraude, les PME ont signalé en moyenne 249 tentatives de fraude par mois en 2018, soit une augmentation de 11% par rapport à 225 un an plus tôt. En outre, 67 tentatives ont réussi et 182 ont été empêchées.

Ainsi, le maintien de la sécurité des données de vos clients est essentiel pour maintenir non seulement la confiance mais aussi une perception positive par les institutions de classement de sites Web, les partenaires, les fournisseurs de produits, etc. Examinons cinq étapes à suivre pour sécuriser votre site Web de commerce électronique.

Étape 1: Promouvoir une bonne hygiène des mots de passe

Bien que les mots de passe soient confrontés à la concurrence de technologies telles que la reconnaissance faciale et l'authentification multifactorielle (MFA), ils sont toujours les clés d'accès standard à la plupart des logiciels. Nous avons besoin de mots de passe pour chaque service ou site Web auquel nous nous connectons, de sorte que pour de nombreux utilisateurs, il semble plus facile d'utiliser le même mot de passe pour plusieurs services. Le problème avec cette approche est que, une fois que les noms d'utilisateur et les mots de passe réutilisés ont été récupérés par des pirates, ils peuvent être appliqués à divers services, conduisant à une fraude généralisée.

"Même si votre site de commerce électronique a une sécurité parfaite, votre plus faible le lien pourrait être vos clients ", a expliqué Patrick Sullivan, directeur principal de la stratégie de sécurité chez Akamai Technologies . "Dans l'ensemble, les êtres humains ont tendance à avoir une hygiène des informations d'identification assez médiocre. Il est donc très probable qu'ils réutilisent ces mêmes informations d'identification sur d'autres sites, et une probabilité assez élevée que l'un de ces sites utilise ces informations d'identification a été violé . "

Il existe divers gestionnaires de mots de passe qui peuvent éviter de devoir mémoriser des dizaines de mots de passe vers différents sites Web et services. Bien que la gestion de plusieurs mots de passe soit de plus en plus difficile, il existe de bons conseils sur comment rappeler en ligne des mots de passe incroyablement sécurisés .

Les gestionnaires de sites Web de commerce électronique devraient exiger l'utilisation de mots de passe complexes et authentification à deux facteurs (2FA) auprès des utilisateurs et des clients. Cela peut garantir que les utilisateurs ne remanient pas les informations d'identification potentiellement compromises, et cela contribue grandement à garantir que ceux qui demandent l'accès sont bien ceux qu'ils disent être. Si vous voulez vraiment gérer la technologie d'authentification de votre organisation de manière globale, vérifiez les systèmes de gestion des identités qui peuvent gérer cette fonction sur plusieurs services et plates-formes logicielles.

Si vous vous en tenez aux mots de passe pour l'instant, rappelez-vous ensuite qu'ils doivent exiger un nombre minimum de caractères (au moins six, de préférence huit à 10) et utiliser des chiffres et des symboles. Il est également conseillé de forcer les utilisateurs à changer régulièrement de mot de passe.

Étape 2: utiliser HTTPS

HyperText Transfer Protocol Secure (HTTPS) est le protocole en ligne pour des communications sécurisées sur Internet et l'un des les moyens les plus simples de protéger votre site Web de commerce électronique contre la fraude. Désignés par une icône de verrouillage verte fermée sur la barre d'adresse du navigateur, les sites Web HTTPS sont réputés authentiques et sécurisés car ils sont certifiés. Cela signifie que le site Web est vraiment ce qu'il prétend être et non un site Web contrefait mis en ligne pour tromper les utilisateurs afin que les méchants puissent saisir les informations d'identification d'accès, les données de carte de crédit, etc.

Pour activer HTTPS, les PME doivent acquérir un Certificat SSL (Secure Socket Layer) . La réception d'un certificat SSL est la première étape, celle-ci doit maintenant être implémentée avec soin dans votre solution de commerce électronique. Ce Guide d'achat de certificat SSL couvre ce processus en détail. Bien que la plupart des hébergeurs de sites Web de commerce électronique aient un certificat SSL à vendre, il est avantageux de magasiner avec des tiers, car certains fournisseurs offrent un meilleur prix et des capacités de sécurité supplémentaires.

Les avantages de l'utilisation de HTTPS vont au-delà de la sécurité et de la fiabilité. Google offre aux sites Web HTTPS sécurisés un classement de recherche plus élevé, ce qui entraîne davantage de visiteurs. À l'inverse, Google qualifie également les sites Web non chiffrés de "non sécurisés", ce qui les rend peu précis et dangereux. De nos jours, il existe peu de moyens plus rapides pour faire passer un client potentiel par votre site Web.

De nombreux acheteurs en ligne avertis se détourneront d'un site Web qui n'est pas sûr ou qui n'a pas la désignation "HTTPS". Selon le Rapport mondial sur la fraude et l'identité 2018 de la société d'information sur le crédit à la consommation Experian, 27% des acheteurs en ligne ont abandonné une transaction en raison d'un manque de sécurité visible.

Le HTTPS est désormais appliqué au gouvernement américain. sites Web ce qui pourrait signifier que ce n'est qu'une question de temps avant qu'il ne soit également une exigence standard pour les sites Web de commerce électronique. Il est difficile pour les sites Web de commerce électronique existants qui ne sont pas certifiés HTTPS d'ajouter la fonctionnalité si elle n'a pas été intégrée à l'origine. Les PME qui planifient leurs sites Web de commerce électronique à partir de zéro ont l'avantage de concevoir leurs solutions en gardant à l'esprit la sécurité HTTPS. Mais même si vous êtes confronté à la difficulté d'implémenter HTTPS après coup, souvenez-vous qu'il vaut bien mieux commencer une telle migration maintenant, selon vos conditions, que de la faire devenir une norme de facto ou même une loi, puis y être forcé.

Étape 3: Choisissez une plate-forme de commerce électronique sécurisée

Les plates-formes de commerce électronique sont généralement choisies pour leur commodité, leur gamme de conception et leurs fonctionnalités, mais pour les fonctions de sécurité doivent également être au premier plan. Recherchez des solutions de commerce électronique éprouvées qui fournissent des passerelles de paiement cryptées, des certificats SSL et des protocoles d'authentification solides pour les vendeurs et les acheteurs.

"La bonne nouvelle est que les plates-formes de sécurité basées sur le cloud ont vraiment rendu la sécurité plus accessible aux petits et [midsize] Vous pouvez obtenir certains des avantages d’une meilleure automatisation grâce à ces outils ", a déclaré M. Sullivan. «Vous bénéficiez de certains des machine learning et des ensembles de règles organisés que certaines des plates-formes basées sur le cloud ont mises en place. Jetez un œil aux options de sécurité basées sur le cloud, en particulier celles qui ont des renseignements "

Sullivan a suggéré de penser à la viabilité à long terme d'une plate-forme de commerce électronique et de considérer la fréquence à laquelle des mises à jour et des correctifs de sécurité sont ajoutés pour assurer la sécurité à long terme du service. Il a également déclaré que les PME devraient envisager des plates-formes de commerce électronique évolutives pouvant se développer et répondre aux besoins futurs d'une entreprise. "Pensez au cycle de vie en cours de ce logiciel que vous introduisez dans votre plate-forme de commerce électronique", a ajouté Sullivan.

Étape 4: Ne stockez pas les données utilisateur sensibles

Les données personnelles du client et la confidentialité est d'une importance capitale et nous voyons de grandes sociétés technologiques telles que Apple et Google se rallier autour de leur objectif de garder les données des utilisateurs privées et sécurisées. La confidentialité des consommateurs est encore plus critique dans le commerce électronique. Les entreprises ont besoin des données clients pour améliorer leurs communications et leurs offres de produits, ainsi que pour faciliter le retour des achats. Le danger est que le piratage de site Web, le phishing et d'autres cyberattaques ciblent ces données utilisateur.

La première règle consiste à ne collecter que les données utiles aux fins de l'exécution de la transaction. Les entreprises doivent éviter la tentation de collecter plus de données clients qu'il n'est absolument nécessaire. Cela évite de gêner vos clients et la possibilité de perdre ces données en cas de violation ou de piratage. Les e-mails les plus embarrassants que les entreprises doivent écrire à leurs clients sont ceux qui expliquent qu'ils ont perdu les informations personnelles et financières critiques des utilisateurs.

La règle ci-dessus s'applique spécifiquement aux informations de carte de crédit du client. Il n'est pas nécessaire de les stocker sur des serveurs en ligne, ce qui peut constituer une violation de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), qui sert à appliquer la protection des données des consommateurs dans l'industrie des cartes de paiement.

Les cybercriminels et les pirates informatiques ne peuvent pas voler ce qui n'est pas là, donc la conservation des précieuses informations personnelles et financières de vos utilisateurs doit être sécurisée et hors des serveurs en ligne. Si vous devez stocker certaines données, assurez-vous qu'elles sont protégées dans un référentiel de stockage en ligne sûr qui respecte les meilleures pratiques en matière de sécurité des informations. Cela devrait inclure des contrôles d'accès rigoureux, des audits réguliers et, surtout, un chiffrement total des données.

Étape 5: employez votre propre moniteur de site Web

Alors que la plupart des services d'hébergement de sites Web de commerce électronique auront une sorte d'ensemble d'outils de surveillance mis à la disposition de leurs clients dans le cadre du package de base, ce n'est pas une raison pour ignorer des outils de surveillance de sites Web tiers plus robustes . Vous voulez examiner ces options car des outils comme ceux proposés par LogicMonitor et New Relic ont des fonctionnalités de gestion beaucoup plus approfondies qui vous aideront non seulement à faire fonctionner votre site Web de manière plus fiable, mais aussi plus

La possibilité de créer votre propre tableau de bord et d'utiliser des fonctionnalités telles que la surveillance de la santé des applications et l'analyse comparative des performances assurera le bon fonctionnement de votre site, surtout si vous pouvez le surveiller de n'importe où à l'aide des clients mobiles que ces outils offrent également souvent. Mais l'utilisation de fonctionnalités plus approfondies, même si vous n'êtes pas un professionnel de l'informatique, comme une piste d'audit robuste pour toute modification de fonctionnalités ou un moteur d'analyse des causes profondes au niveau du code, peut aider les opérateurs commerciaux ainsi que les professionnels de l'informatique et de la sécurité à détecter les problèmes de sécurité comme ils se produisent ou même avant d'avoir une chance de se produire. Quiconque a transformé un site Web en entreprise doit au moins enquêter sur ces outils et déterminer si ses capacités peuvent sécuriser le site et ses données. S'ils le peuvent, alors la plupart d'entre eux sont suffisamment bon marché pour qu'un investissement soit essentiellement une évidence.

Étape 6: Maintenir un état d'esprit axé sur la sécurité

La sécurité du commerce électronique n'est jamais une affaire unique. Les menaces et les méthodes de piratage évoluent à un rythme alarmant, et le maintien d'une conscience et d'un état d'esprit axé sur la sécurité est la méthode préventive nécessaire. Une fois que la sécurité du site Web de commerce électronique d'une PME a été compromise, il est souvent trop tard.

"Maintenant, vous devez travailler manuellement avec votre client et vous avez probablement nui à cette expérience client", a déclaré Sullivan d'Akamai. "Vous devez réinitialiser leur compte et gérer les achats frauduleux. Cela coûte très cher du point de vue humain, car vous avez besoin de quelqu'un qui travaille avec eux pour comprendre cela. C'est le coût direct de la fraude."

La plupart du piratage et du site Web Aujourd'hui, les violations ne sont même pas commises par les humains. Selon Sullivan et des rapports tels que le rapport Verizon susmentionné, les programmes informatiques autonomes ou "bots" sont responsables de beaucoup de dégâts actuellement causés. "Jusqu'à 30% du trafic d'un site Web sont des robots qui recherchent des vulnérabilités", a déclaré Sullivan. "Pendant plus de six mois en 2018, le segment de la vente au détail a vu plus de 10 milliards d'attaques de botnet. La plupart étaient des bots essayant de trouver des informations sur les consommateurs qui ont réutilisé leurs noms d'utilisateur et mots de passe quelque part." Authentification du commerce électronique et mesures de sécurité sans frottement afin que l'expérience client ne soit pas affectée, puis restez au fait des menaces évolutives sans casser le budget de la sécurité. Comment est-ce que tu fais ça? Recherchez les fabricants de plateformes de commerce électronique gérées ou les hébergeurs de sites Web qui mettent l'accent sur la sécurité. Parfois, ces services resteront au fait des menaces de sécurité changeantes pour leurs clients et recommanderont même des correctifs aux menaces de pointe. En plaçant la sécurité au cœur de leur expérience de service d'achat en ligne, les PME peuvent offrir en toute confiance à leurs clients des expériences de commerce électronique sûres et satisfaisantes.