Cybersécurité : quelles menaces pour les sites de e-commerce ?

Directrice Prospective et Performance au CNOEC, diplômée d’expertise comptable

La crise sanitaire et l’accélération de la transformation digitale ont entraîné une multiplication des cyberattaques à l’encontre plateformes de e-commerce. Quels sont les dispositifs à mettre en place pour lutter contre ces risques ?

Pour développer leur activité en ligne en toute sécurité et parer aux risques numériques, la cybersécurité doit reposer à la fois sur des outils robustes et la sensibilisation des salariés, placés au cœur de la stratégie de prévention. 

Un enjeu de taille pour les acteurs de e-commerce qui constituent une cible privilégiée des cybercriminels du fait des données sensibles et monétisables qu’ils détiennent (dont les informations bancaires…).

Zoom sur les principales menaces et les bonnes pratiques pour s’en prémunir

L’utilisation frauduleuse du nom de domaine

Appelé également cybersquatting, le nom de domaine peut être utilisé à des fins malveillantes pour détourner une marque sur Internet. Cette forme de piratage qui touche essentiellement l’e-commerce permet en outre d’usurper le nom de domaine pour organiser des attaques massives d’hameçonnage. Cela consistera à envoyer de faux courriels imitant celui de la plateforme attaquée afin de récupérer des informations confidentielles telles que les numéros de cartes bancaires… Les conséquences de ce piratage peuvent être très lourdes : image, vol de données, indisponibilité du site et/ou détournement du trafic vers un site pirate.

Quels bons réflexes adopter ?

• Enregistrer et déposer le nom de domaine auprès de l’INPI et le réserver auprès du bureau d’enregistrement.

• Surveiller régulièrement les dépôts effectués auprès de l’INPI et l’utilisation de certains noms de domaine sur Internet.

• Sécuriser le nom de domaine avec un verrou de registre permettant de réduire les risques de piratage (FR Lock de l’Afnic : https://www.afnic.fr/produits-services/services-associes/fr-lock/).

• Penser à renouveler l’enregistrement du nom de domaine tous les 10 ans.

• Mettre en place un site miroir (copie identique du site sur un nom de domaine différent) qui sera opérationnel en cas d’immobilisation de la plateforme originelle.

Le déni de services (DDoS)

Une attaque par déni de services consiste à se servir d’un réseau de machines zombies (botnets) dans le but de saboter un site web. Pour cela, l’attaquant va commander dans un court laps de temps à tous les botnets de communiquer à répétition avec un site web. Ce nombre important de requêtes va saturer le site pour le rendre indisponible et empêcher les utilisateurs légitimes de l’utiliser. En pratique, une attaque peut ainsi paralyser l’accès au site e-commerce, dont l’activité dépend entièrement de sa plateforme en ligne…

Quels bons réflexes adopter ?

• Disposer d’un pare-feu correctement paramétré : fermer tous les ponts non utilisés et ne laisser que les adresses des machines indispensables pour accéder à distance aux fonctionnalités d’administration.

• Protéger l’ordinateur utilisé pour se connecter à l’espace d’administration du site e-commerce (système d’exploitation à jour, antivirus…).

• Vérifier que les mots de passe sont suffisamment complexes et changés régulièrement, mais également que ceux créés par défaut sont effacés s’ils ne sont pas tout de suite changés.

• Choisir consciencieusement l’hébergeur afin qu’il prévoie une réponse à ce type d’attaque au niveau de ses infrastructures, en filtrant les botnets ou les robots zombies.

• Appliquer de manière régulière et systématique les mises à jour de sécurité du système. 

Les bots malveillants

Spécifiquement conçus pour réaliser des activités hostiles, les robots malveillants représentent une part très significative du trafic sur les sites web. Ils vont tenter de collecter de la donnée ou de se connecter aux applications du site e-commerce à la place des utilisateurs réguliers. La plus grande majorité des attaques prend la forme d’authentification frauduleuse en se faisant passer pour des utilisateurs légitimes.

Quels bons réflexes adopter ?

• Sécuriser le site avec l’ajout de HTTPS pour crypter les échanges de données (entre le site et le serveur) et empêcher les bots malveillants de les intercepter.

• Disposer d’une authentification multifacteur (MFA) permettant de valider l’identité des utilisateurs en fournissant une vérification supplémentaire en plus de la combinaison « Nom d’utilisateur/Mot de passe ». Il peut s’agir d’un code unique envoyé à l’adresse électronique de l’utilisateur ou d’identification biométrique (empreinte digitale).

Le défacement de site

Le défacement ou défaçage de site consiste à modifier de manière malveillante un site web en modifiant les données visibles par tous (image, texte, revendications…) pour nuire à l’entreprise ou pour diffuser des messages politiques. Le principal risque de cette typologie d’attaque touche l’atteinte à l’e-réputation du site d’e-commerce.

Quels bons réflexes adopter ?

• Assurer la mise à jour continue du site e-commerce et appliquer régulièrement les correctifs de sécurité.

• Vérifier l’intégrité du site en mettant en place des journaux d’évènements.

• Disposer d’une stratégie régulière et rigoureuse de sauvegarde et vérifier que lesdites sauvegardes se sont bien déroulées. Automatiser cette opération.

• Disposer d’un mot de passe complexe pour chaque site et application, le renouveler régulièrement.

• En cas de piratage, effectuer un scan pour disposer de la liste des fichiers corrompus et conservez les preuves de l’attaque (copies d’écran, blocage du site, liste des victimes dans le cas de vol de données…).

 

 

Conseils pour protéger un site e-marchand du piratage informatique 

• Téléchargez les 10 commandements pour se prémunir de la cybercriminalité sur le site privé de l’Ordre :
https://extranet.experts-comptables.org/document/0b1b832d-6a56-4e34-a4bf-5d9c62f452d1

• Formez-vous grâce aux modules des ateliers numériques traitant de la cybersécurité pour les sites e-marchands :
https://learndigital.withgoogle.com/ateliersnumeriques/course/introduction-to-cybersecurity-smbs/module/7006/lesson/7009#!

 

Approfondissez la question sur