Comment bien protéger son site e-commerce ?

Publié par Alexandre sur le Blog ecommerce de WiziShop dans la rubrique Ressources pour E-commerçant, le mercredi 3 janvier 2018 | 1 commentaire

proteger-ecommerce

Au fur et à mesure du développement d’Internet et notamment du e-commerce, la sécurité et sûreté des sites sont devenues un enjeu majeur.

D’une part, la cybercriminalité s’est beaucoup développée et menace la confiance, pilier essentiel du e-commerce mais d’autre part, les failles de sécurité de sites e-commerce ont réellement causé des dommages financiers.

Par ailleurs, les lois se sont adaptées à l’Internet et il existe un cadre légal pour protéger internautes et e-commerçants, à condition que ces derniers le respectent.

La protection d’un site e-commerce est donc devenue un élément essentiel de sa valeur.

Voyons en quelques points comment protéger efficacement un site e-commerce en commençant par définir ce qui est malveillant, dangereux et donc ce à quoi il faut veiller au niveau technique, puis au niveau juridique.

Les recommandations de Google en ce qui concerne la sécurité d’un site web

Le e-commerce dépendant fortement du principal moteur de recherche, Google. Ce dernier précise l’importance de la sécurité d’un site web dans ses nombreuses recommandations et y consacre même une partie du menu de « Search Console », outil gratuit indispensable et nécessaire pour tout propriétaire de site e-commerce.

Pour le leader des moteurs de recherche, des messageries et des navigateurs, un site non sécurisé est un site où un pirate informatique peut installer un code malveillant qui peut enregistrer les actions des ordinateurs des visiteurs, voler les identifiants qu’ils utilisent pour se connecter à leurs services bancaires en ligne, effectuer des transactions financières ou même les détourner vers d’autres sites.

Notons aussi au passage que Google considère comme dangereuse et non sécurisée toute page web proposant d’installer un système trompeur (les avantages promis ne sont pas respectés), qui incite les utilisateurs à faire quelque chose de non naturel, qui n’énonce pas tous les détails de l’offre, qui déstabilise le système de l’utilisateur, qui collecte ou transmet des informations privées sans en informer l’utilisateur, qui est associé à un autre programme, sans que l’utilisateur n’en soit informé. (voir le règlement relatif aux logiciels indésirables)

Dans certains cas, certains systèmes de publicité sont aussi considérés comme « malveillants », notamment depuis que certains pirates ont réussi à infiltrer des plate-formes de publicité display, comme certains systèmes de tracking ou de statistiques.

Google a aussi mis en place un outil de rapport de transparence (voir aussi le rapport de transparence global pour des informations plus générales ).

Notons par ailleurs, que ceci veut dire que tout site susceptible de présenter des problèmes de sécurité sera signalé par Google et probablement « dévalué » au niveau du SEO tant qu’il n’aura pas à nouveau montré « patte blanche ». Google force ainsi les propriétaires de sites contaminés à mettre ceux-ci en quarantaine tant que les problèmes ne sont pas résolus.

Comment sécuriser techniquement un site e-commerce ?

Outre les recommandations précédentes, la sécurité d’un e-commerce relève du bon sens.

HTTPS

En premier lieu, un site e-commerce doit être en https. Ce protocole désigne simplement la version sécurisée de l’habituel http. Réservé jusqu’à présent aux systèmes sécurisés des transactions, il est devenu un standard pour tout site, notamment e-commerce car il permet d’être certain que le trafic et les échanges d’informations entre les internautes et le site le sont bien entre eux sans tierce partie ou détournement.

Mises à jour

En 2017, très peu de sites e-commerce sont faits à partir de code artisanal. La plupart sont basés sur des systèmes comme WiziShop, des hébergeurs à infrastructure solide et sécurisée et des systèmes de bases de données résistants (MySQL, Oracle, DB2, etc..).

Notamment pour garder un faible niveau d’insécurité, ces systèmes sont régulièrement mis à jour mais sur certaines solutions e-commerce, il se peut que ces mises à jour ne soient pas automatiques.

Je vous invite donc à vérifier ceci régulièrement, notamment au niveau du paramétrage ou du contrat d’hébergement, exactement de la même façon qu’on le vérifie sur son propre ordinateur par rapport à l’OS ou aux programmes principaux qu’on utilise régulièrement.

Accès inutiles fermés

Un site e-commerce est d’abord un système informatique qui par nature a de nombreux passages ouverts.

Outre le back-office, on peut y accéder par la base de données, par le ftp, par ssh ou d’autres moyens. Il faut bien sûr les connaître, savoir si ces possibilités sont ouvertes ou fermées et le cas échéant qui y a accès.

Par ailleurs, le back-office du site doit être sécurisé. Vérifiez que le login et le mot de passe, ainsi que l’url de connexion ne sont pas trop simples et sachez là aussi qui y a accès.

A l’heure actuelle, sans passer par des systèmes trop compliqués, on peut limiter tous ces accès au coeur du site, par l’adresse IP (afin d’éviter que n’importe qui puisse y avoir accès) ou au moins mettre en place des outils spécifiques permettant de savoir quand quelqu’un s’y connecte.

Changez vos mots de passe régulièrement

Très souvent, les faiblesses d’un site viennent des mots de passe utilisés pour les accès à son back-office, pour l’accès à l’hébergeur ou au prestataire qui gère le nom de domaine.
Evitez les mots de passe trop faciles, changez les tous les 3 ou 6 mois et ne les gardez pas dans votre téléphone ou votre ordinateur. Un bon vieux carnet est bien meilleur.

Antivirus

La plupart des hébergeurs scannent en permanence les sites qu’ils hébergent avec des antivirus afin de sauvegarder leur infrastructure.

Soyez au courant de la fréquence de ces scans et des mesures qui sont prises en cas d’ennuis.

Dans certains cas, l’anti-virus pourra bloquer tout le site ou simplement une partie, mettre le fichier en quarantaine ou le supprimer.

Quelle que soit la méthode, l’important est d’être averti(e) dès qu’il y a un problème car sinon, votre site peut être déclassé et même banni, non seulement sur les moteurs de recherche mais aussi par les fournisseurs d’accès, ce qui vous enlèvera du chiffre d’affaire, mais pourra même permettre à un concurrent ou à des cybercriminels de vous remplacer.

Sauvegarde et réinstallation de votre site

En cas de problème de sécurité sur votre site e-commerce, le meilleur moyen d’assurer votre service est de pouvoir mettre rapidement en ligne une version sécurisée.
Pour ceci, il faut très régulièrement sauvegarder votre site et avoir une procédure sûre de réinstallation rapide.

Certains hébergeurs proposent tout ceci en option mais il est conseillé aussi de doubler ces services par un système externe, au cas où..

Comment sécuriser juridiquement un site e-commerce ?

Quand on parle de sécurité en e-commerce, on pense principalement à la technique mais pourtant, cet aspect est loin d’être le seul.
La sécurité juridique est elle aussi très importante.

Nom de domaine

On doit tout d’abord s’assurer que le nom de domaine est bien la propriété de l’entreprise. Parfois, c’est en effet un prestataire qui est le réel propriétaire du nom de domaine. Via le service Whois, pensez toujours à vérifier quel est le réel propriétaire et n’hésitez pas par ailleurs à masquer les informations du Whois si le nom de domaine est relié à une adresse mail particulière et à un numéro de téléphone mobile.

Si le nom de domaine est une marque, alors il est prudent de sécuriser la marque par un dépôt à l’INPI, notamment quand s’y rattache un logo.

Quand le site de e-commerce est présent sur plusieurs marchés internationaux, alors, il est parfois bon d’acheter les noms de domaines avec les terminaisons locales. Même si cet investissement peut se révéler coûteux quand on est présent dans plusieurs zones, ceci peut empêcher des cybersquatteurs de profiter du nom du e-commerce et au fil du temps de dévaloriser la marque ou de récupérer des clients.

Qui dit nom de domaine dit site web mais aussi emails.
Pour sécuriser l’ensemble, il est préférable de déposer le nom de domaine chez un autre prestataire que l’hébergeur.
Ainsi, les mails seront gérés par un prestataire différent de celui qui gère le site et on ne dépendra pas de l’hébergeur si jamais il faut vite changer le site d’hébergement.

Le nom de domaine est un élément important de la propriété intellectuelle relative au site, mais il n’est pas le seul.

Propriété ou droit d’utilisation du contenu du site

Le propriétaire du site est responsable de son contenu ou tout du moins autorisé à l’utiliser.
Ceci signifie notamment que les textes et images doivent pouvoir être utilisés dans le site e-commerce sans qu’un tiers puisse le contester.

Si vous êtes propriétaire des textes et images, déclarez en la propriété et assurez-vous qu’ils ne sont pas utilisés ailleurs.
Si vous utilisez des textes et images d’une marque, assurez-vous que vous avez un contrat le permettant.

Propriété ou droit d’utilisation du contenant

Le contenant, c’est à dire l’arborescence du site, les développement spécifiques tant structurels qu’ergonomiques et « design » doivent aussi être sécurisés en ce qui concerne leur propriété ou droit d’utilisation.
Les licences des logiciels qui peuvent servir à l’existence du site doivent avoir été acquises si elles n’entrent pas dans le domaine des logiciels libres et s’il y a eu des développements spécifiques faits par une société ou des freelances, le transfert de propriété doit avoir eu lieu afin que l’exploitant du site e-commerce ait non seulement le droit de les utiliser mais ne se voit pas dupliqué ou obligé de payer une redevance pour avoir le droit de continuer son activité.

Si des développements techniques très spécifiques à haute valeur ajoutée ont été réalisés, il est possible de les déposer à l’INPI, chez un notaire ou une société spécialisée et même de les valoriser dans les comptes de la société.

Mentions légales et CGV

Tout site doit avoir des mentions légales, qui permettent principalement d’identifier le propriétaire du site, le responsable de la publication ainsi que l’hébergeur, tout en donnant le moyen de contacter les responsables du site.

Par ailleurs, si le site e-commerce s’adresse à des particuliers, il doit comporter des CGV (Conditions Générales de Vente) adaptées aux spécificités de la vente sur internet, les CGV e-commerce. Ces Conditions générales spécifiques indiquent les conditions de vente proprement dites (conditions relatives au transfert de propriété, à la logistique, etc.), la manière dont une vente se déroule via le site, le barème des prix unitaires, les frais de livraison, les conditions de paiement, les engagements et garanties du site, les cas de force majeure, les droits des clients, le délai de rétractation, les conditions et l’adresse de retours éventuels (s’il s’agit d’e-commerce physique).

Les CGV e-commerce sont un véritable règlement du site et contrairement à une idée reçue, elles protègent autant le e-commerçant que le client car elles permettent en cas de litige, de savoir ce qui était prévu et ce que devait savoir le client (qui doit valider les CGV avant tout achat).
La rédaction des CGV doit donc faire l’objet d’une attention spécifique et il n’est pas recommandé d’utiliser des modèles (qui par définition sont généraux) ou de copier/coller les CGV e-commerce d’un autre site, ce qui par ailleurs, peut être l’objet d’une amende.

Il est à noter qu’un site sans CGV e-commerce ou mentions légales peut aussi être condamné à payer une amende importante.

CGU

Cousines des CGV, les conditions générales d’utilisation ou CGU encadrent juridiquement les rapports et les conflits pouvant naître entre l’éditeur du site et le visiteur. Rien n’oblige à en avoir mais leur présence est recommandée car elles fixent (même si elles peuvent être redondantes avec les CGV ou mentions légales) les mentions légales relatives à la société ou à son siège social,  les conditions d’accès au site, les différents services et les produits qu’offre le site, les modalités relatives à la création d’un compte visiteur ou client, la propriété intellectuelle, la protection des données personnelles (très importante avec la mise en place du RGPD ou Règlement général de la protection des données, la responsabilité de l’éditeur et ses limites, la responsabilité du visiteur, la durée et l’évolution du contrat, la juridiction compétente et le droit applicable en cas de litige.

Elles concourent donc aussi à la protection juridique du site.

Système de paiement

Dans l’immense majorité des cas, le système de paiement est géré par une banque ou un organisme financier qui fournit ou indique une solution technique qui permettra de sécuriser juridiquement et techniquement le paiement.
Concrètement, lors de l’action de paiement, l’internaute quitte le site pour celui du système de paiement.

La banque ou l’organisme financier ne se limitent pas à fournir ce système de paiement. Dans l’immense majorité des cas, il va de pair avec un contrat de VAD (Vente à Distance) qui permet légalement au commerçant de faire de la Vente à Distance, domaine qui englobe juridiquement les activités marchandes des sites de e-commerce.

Cet aspect souvent passé sous silence est très important car ce contrat de VAD précise clairement les responsabilités, droits, devoirs et recours du cybermarchand.

En conclusion, la protection d’un site e-commerce est bien sûr technique mais comporte aussi des aspects juridiques pour assurer la propriété intellectuelle de ses exploitants et le protéger des aléas inévitables du commerce quel que soit son type. Avec le pouvoir et l’expertise grandissants des organismes de contrôles, des associations de consommateurs, la concurrence (qui bien souvent se sert des premiers pour dénigrer et ennuyer) et les menaces de la cybercriminalité, un site e-commerce ne peut plus se permettre en 2017 d’ignorer les précautions élémentaires qui garantissent sa pérennité.

1 commentaire pour "Comment bien protéger son site e-commerce ?"
Par Bastien le jeudi 4 janvier 2018

Merci pour ce long récap.
Pour avoir aussi vécu une mauvaise expérience dans le passé, je ne peux vous conseillé de réserver une partie de votre budget pour la rédaction des CGV. Utilisez les services d’un cabinet d’avocat spécialisé.
Au moins vous aurez l’esprit tranquille et vous ne risquerez pas de mauvaise surprises…

Faire un commentaire
Laisser un commentaire

XHTML: Vous pouvez utiliser ces balises: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <em> <strong>

Ne perdez plus de temps ! Testez WiziShop dès aujourd'hui...

L'essai est gratuit pendant 15 jours, sans engagement et vous donne accès à l'ensemble des fonctionnalités.

TESTER WIZISHOP