Vous le savez peut-être mais sur internet il y a des clients mais pas seulement. Il existe des profiteurs, des hackers, des pirates, voire tout simplement des opportunistes qui sont prêts à prendre le contrôle de votre boutique en ligne et à vous extorquer de l’argent en retour.
Les risques sont réels pour les e-commerçants car il existe de nombreuses mafias qui cherchent de nouvelles cibles en continue, elles disposent d’outils et de méthodes qui vont bien souvent au-delà des compétences de nombreux e-commerçants.
De plus, un piratage de site e-commerce , c’est comme un cambriolage, c’est une fois qu’on en a subi un que l’on prend conscience que nous n’étions pas protégé.
Pour éviter de se faire pirater sa boutique E-commerce, voici donc quelques conseils pratiques pour améliorer la sécurité de votre site e-commerce. A noter que ces conseils sont valables peu importe le votre CMS e-commerce, open source ou SaaS.
Pourquoi protéger sa boutique E-commerce ?
Avant de commencer le “comment”, voyons rapidement pourquoi sécuriser sa boutique est indispensable.
Vous êtes le responsable légal de la boutique , y compris en cas de piratage, c’est une obligation légale, cela veut dire que des clients pourraient se retourner contre vous en cas de piratage.
Vous risquez de perdre de l’argent, voire de tout perdre, votre site , votre base clients , votre marque etc… Les cas les plus graves peuvent mener à la fermeture de votre entreprise.
Si un de vos systèmes est attaqué, alors il est possible que d’autres le soient aussi : votre banque, votre ordinateur, etc… Imaginez les dégâts une fois que le pirate est au cœur de votre système.
La réputation : en cas de piratage , vous êtes tenu de communiquer à TOUS vos clients, impactés ou non, le périmètre de la fuite de données.
Limitez les administrateurs aux pleins pouvoirs
Le constat est simple : plus vous êtes nombreux à avoir les “pleins pouvoirs” sur votre boutique en ligne, plus vous avez de risques qu’un des administrateurs se fasse hacker, piraté ou soit victime de phishing.
La première règle est donc une séparation des pouvoirs. On limite le nombre d'administrateurs et on distribue les rôles à chaque acteur de l’équipe à la hauteur de ses besoins.
L’idéal est d’avoir un seul “gérant” et d’avoir des rôles pour chaque personne avec le réglage le plus fin possible.
Dans la “vraie vie” les gens ont souvent des accès beaucoup plus larges que leur périmètre de poste pour des questions de facilité de vie au quotidien. Rien de plus énervant que de demander un fichier ou une info toutes les 2 minutes au big boss.
Cependant, sur les rôles sensibles comme les accès aux données clients, la facturation, les paiements, les modifications techniques, il est nécessaire de limiter au maximum le nombre de personnes. Si vous êtes sur Shopify Plus, pensez aussi à limiter les accès à chaque "sous boutique" pour plus de sécurité.
Mettez à jour votre site
Ce conseil est valable surtout pour les e-commerçants utilisant Woocommerce, Prestashop ou Magento. Autre élément important et pourtant peu respecté : mettez à jour votre boutique open source avec les dernières versions. Oui à chaque mise à jour de sécurité. Oui, cela coûte cher, mais avez-vous une idée du prix d’un piratage ?
Vous pouvez lire notre article “quels sont les impacts d’un piratage pour un site e-commerce, pour vous faire une idée des risques.
C’est le “vrai” prix de l’open source de devoir mettre à jour plugins et solution e-commerce régulièrement. Le mieux est souvent de faire réaliser ces évolutions par une agence web spécialiste de votre solution e-commerce . Quand je pense qu’on voit encore des sites Magento 1.9 en ligne, je comprends que des pirates arrivent à pirater des sites.
Sur Shopify, pas besoin de faire de mises à jours, la boutique est sécurisé et mise à jour par Shopify directement, c'est inclus dans le prix de la licence Shopify.
Activez la double authentification
Cette méthode est assez simple à mettre en place dans bien des CMS . Pour Shopify et Bigcommerce par exemple c’est inclus de base, pour les autres solutions , il faudra peut être utiliser une application ou un plugin, voir un développement sur mesure.
Cette mesure est à elle seule pour vous protéger très efficacement du phishing. Il faudra vôtre téléphone physique pour pouvoir accéder à la boutique même si on découvre ou vole votre mot de passe.
Bien gérer les mots de passe de votre site marchand
En parlant de mot de passe, évidement, une bonne gestion des mots de passe de votre boutique en ligne est indispensable. C’est la base de la sécurité, voici quelques règles ou rappels pour reprendre les bases.
On ne partage pas les mots de passe
Oui, en 2024 on doit encore marquer sur une liste de conseils en sécurisation e-commerce de ne pas partager ses mots de passe. Vous avez besoin de le faire ? Utilisez un outil de partage de mots de passe tel que Nordpass, Proton, Lastpass, 1password etc… il en existe des dizaines.
Le mieux reste encore de ne pas partager un mot de passe. Ni par email, ni SMS, ni téléphone, ni rien du tout. ON NE PARTAGE PAS UN MOT DE PASSE.
Vous n’imaginez pas le nombre de fois ou en tant qu’agence un client me propose spontanément de me donner son login/ pass “ce sera plus facile” . NON . Si une agence accepte, virez la .Surtout sur Shopify ou il a une gestion des accès partenaire incluse dans la solution.
Si vraiment vous devez partager, créer un compte générique en gérant les accès et droits et ne partagez jamais votre compte administrateur.
A noter, si vous travaillez avec une agence, vous êtes en droit de savoir qui intervient et qui à accès au site et aux logins que vous avez partagé si vous avez tenu à le faire (ne le faites pas).
Ayez un mot de passe unique pour votre site e-commerce et vraiment sécurisé
Cette règle de base est aussi peu connue et respectée qu’elle est pourtant essentielle. Oui utiliser le même mot de passe sur plusieurs sites est dans de nombreux cas plus facile pour vous au quotidien.
Mais pour votre site e-commerce, votre banque et deux/ trois autres éléments importants, ayez un mot de passe unique et vraiment sécurisé.
Si possible, utilisez une paraphrase, c’est très sécurisé et plus facile à retenir.
Aussi étonnant que cela puisse paraître, “jaimelecassouletdu11!” est un meilleur mot de passe que ZjNcFKU32jVT9wx7duLKkpc3 . Pourquoi ? principalement car vous êtes capable de vous souvenir de la première, pas de la seconde donc vous allez le noter quelque part.
Quand on parle de mot de passe unique, c’est qu’il ne pas le réutiliser ailleurs.
Interdit donc d’utiliser “jaimelecassouletdu33!” sur un autre site, ou même “jaimelescanelesdu33!” . Sur votre site e-commerce, utilisez un mot de passe vraiment unique.
Pas de mot de passe sur des post it
En parlant d’écrire des mots de passe, il ne faut pas écrire des mots de passe sur des post it. Oui c’est pratique mais non, il ne faut pas le faire. Utilisez un outil de gestion des mots de passe si besoin mais le post it n’en est pas un. Ni un cahier de mots de passe, oui j’ai vu ça une fois.
Changez votre mot de passe régulièrement
Autre conseil qui peut paraître générique, voir de bon sens mais changer de mot de passe sur les quelques sites importants ou vulnérables est une bonne idée. Plus le site est sensible et vieillissant, plus cela semble indispensable.
Un Magento 1.9 en fin de vie et plus sécurisé devrait changer de mot de passe toutes les semaines idéalement. Attention, pas la peine de “compter” les mots de passe comme “password1” , “password2” . Ceci n’est pas un changement de mot de passe, c’est de la fainéantise. Changez vraiment de mot de passe.
Un mot de passe, c’est intime. gardez le pour vous ou votre navigateur. Pour vous aider à trouver des idées, j’ai demandé à ChatGPT de générer quelques mots de passe faciles et mémorisables (ne les utilisez pas tels quels !!! ) , cela peut vous aider à trouver des idées.
Utilisez un certificat SSL
Dans les autres solutions pour protéger et sécuriser efficacement son site marchand, on peut citer les certificats SSL. Dans le passé, cette recommandation était souvent en numéro 1 . Maintenant que Google oblige le SSL sur tout le site pour ne serait-ce qu' exister dans les résultats de recherche, nombreuses sont les boutiques en ligne à avoir sauté le pas et à être passé au SSL. Sur Shopify c’est “automatique” mais si ce n’est pas le cas sur votre solution e-commerce préférée, il est temps de migrer à Shopify, euh pardon, il est temps de l a configurer.
Créez des sauvegardes
Oui il faut des sauvegardes et en plus il faut tester qu’elles fonctionnent. Régulièrement. Au moins une fois par mois serait idéal mais déjà entre 2 à 4 par an bien fait, cela est plus intéressant. Bien évidemment, plus votre CA monte en flèche, plus vous devez protéger votre boutique et réaliser des sauvegardes régulières.
Et aucune solution e-commerce ne devrait s’exonérer de ça. Même sur Shopify qui est pourtant ultra sécurisé vous devrez , pourquoi ? Car le point faible de la chaîne de la sécurité est bien souvent entre la chaise et le clavier (l’humain donc pour les deux au fond qui n’ont pas la ref).
Pensez à sauvegarder :
- Votre base clients
- Votre base produits
- Votre base commandes
- Votre thème
Idéalement il vous faut tous les éléments pour vous relancer rapidement.
Utilisez un CMS E-commerce en SaaS
Si la sécurité est une priorité pour vous alors il faudrait peut-être envisager de passer sur une solution en SaaS. Je sais que de nombreux puristes seront vent debout contre cette idée mais il faut voir les choses de façon réaliste.
Choisir une solution hébergée dans le cloud permet de vous décharger d’une partie de la responsabilité technique de la sécurisation de la plateforme. Et au vu des défis techniques à relever, ce n’est peut être pas une mauvaise idée : vous aurez l’esprit plus tranquille et vous pourrez vous concentrer sur votre métier d' e-commerçant.
Attention cependant, déjà toutes les plateformes SaaS ne se valent pas et surtout cela ne garantit pas une immunité totale bien sûr. Il peut arriver des soucis de sécurité sur toutes les plateformes dès le moment où elles utilisent une ligne de code. Le principal avantage reste dans le fait que vous n'êtes pas tout seul et que c’est à l’éditeur de proposer un patch et de le déployer. Sa responsabilité est en jeu, il est avec vous dans le même bateau.
De plus, utiliser une plateforme SaaS ne vous protège pas du principal problème : le vol/usurpation de mot de passe. Attention donc à bien respecter les règles de gestion des mots de passe pour éviter tout problème et garder une sécurité optimale
Utilisez un service d'infogérance performant
Si vous souhaitez absolument rester sur une plateforme open source hébergée comme Magento ou Prestashop pour une raison ou une autre , dans ce cas, prenez la sécurité au sérieux et assurez vous les services d’un infogéreur performant.
L'infogérance, c’est l'activité de gestion de l’hébergement web. Un bon hébergeur c’est bien mais un bon “admin sys” c’est mieux. Il va sécuriser le serveur, gérer les attaques DDOS , gérer les pics, la redondance etc… C’est votre allié indispensable dès que vous faites quelques dizaines de milliers d’euros par mois de CA .
Synthèse : comment bien protéger son site e-commerce ?
On l’a vu il existe une série de bonnes pratiques pour renforcer la sécurité et la protection de son site marchand. Mais bien évidemment, le plus important reste d'être vigilant, voire un brin paranoïaque. Il est difficile d’imaginer le pire bien sûr mais un œil vigilant sur la sécurité, la revue des process, des tests et de ne pas toujours viser la facilité permettent à minima de rendre la vie d’un hacker, pirate ou maître chanteur beaucoup plus difficile.
Mais même si la sécurité est l’affaire de tous, il faut aussi savoir rester humble et chacun peut être pris dans un phishing bien fait. La preuve avec de nombreuses “arnaques au président” qui fleurissent depuis quelque temps en France.
Et vous, quelles sont les bonnes pratiques que vous avez mises en place pour protéger votre e-commerce ?
