Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécuriser sa boutique pour les fêtes ... et les soldes

Sécuriser sa boutique pour les fêtes ... et les soldes
2011-12-142013-02-11Web/Techfr
A l’approche des derniers week-ends d’achat avant les fêtes de fin d’année, les responsables de sites en ligne sont bien souvent forts occupés. Intégration de nouveaux produits, mise à jour des stocks, mise en place de remises ou offres spéciales, envoi de publicité, … etc. Et une fois la fin...
Publié le 14 Décembre 2011 par Vincent Maurin dans Web/Tech

 

A l’approche des derniers week-ends d’achat avant les fêtes de fin d’année, les responsables de sites en ligne sont bien souvent forts occupés. Intégration de nouveaux produits, mise à jour des stocks, mise en place de remises ou offres spéciales, envoi de publicité, … etc. Et une fois la fin décembre passée, ce seront les périodes de soldes.

Une période donc faste à de nombreuses tâches et notamment toutes celles relatives à la sécurité de la boutique. Intégritéconfidentialité et disponibilité sont bien évidemment les principaux points de vigilance.

accès aux services

Si la disponibilité rime trop souvent avec « bande passant achetée », il est important pour les boutiques de se prémunir de toute source d’attaque pouvant entrainer une inaccessibilité des services.

Comme le rappelait récemment l’article « Comment anticiper les risques d'attaque en déni de service », les attaques en déni de service sont chaque année la hantise des sites marchands, pour lesquels une indisponibilité de service entraine des pertes financières immédiates. Les sites mettant en œuvre des ventes dites « Flash » seront tout particulièrement vulnérables.

accès aux données

Le responsable du traitement des données manipulées par sa boutique est à présent fortement concerné par la « Transposition du Paquet télécom : renforcement des droits des internautes et signalement des failles de sécurité à la CNIL ».

Toute faille dans la boutique et toute fuite de données prend alors une autre ampleur et les conséquences financières et commerciales peuvent être importantes. La sécurité doit donc être renforcée autour des failles de type « injection SQL » notamment, au sein des applications développées en propre ou celles développées par un prestataire.

accès aux systèmes

Que vous soyez en charge d’une boutique en ligne ou d’un serveur web institutionnel, vous êtes potentiellement la cible de nombreuses attaques. Si ces dernières ne visent pas expressément les données de votre boutique, elles ont peut-être pour simple objectif l’intrusion dans vos systèmes en ligne pour en utiliser les ressources.

Si les activités de Spam sont semble-t-il « à [leur] plus bas niveau depuis trois ans », ceci est sans doute en partie dû aux procédures de lutte mises en place par les responsables de sites, les opérateurs, les hébergeurs et les utilisateurs. Résultat : si votre système venait à être utilisé pour de l’émission de spam, il se retrouverait « bloqué » et votre jolie lettre aux acheteurs fidèles - avec les dernières promotions - également.

quelques précautions

Inutile de débattre davantage sur les risques qu’encourt votre boutique, d’une part car ils sont peu ou prou les mêmes en période de fin d’années, de soldes ou le reste du temps, et d’autre part car leur nombre tend actuellement à remplir des pages A4 entières.

Mieux vaut donc se constituer une première liste d’actions à réaliser ou faire réaliser si vous avez opté pour des services hébergés ou en mode "Cloud Computing" :

  • s’assurer qu’une stratégie de protection contre les attaques DDoS est définie
  • mettre à jour les systèmes d’exploitation et firmwares (OS, firewalls, switchs, …)
  • mettre à jour les bases de signatures Anti-Virus et IDS
  • mettre à jour les applicatifs avec les derniers correctifs de sécurité
  • ne pas oublier de renouveler les certificats SSL
  • faire réaliser un audit de vulnérabilités des services exposés
  • renforcer la surveillance de vos systèmes et l’analyse des logs
  • ne pas hésiter à renouveler l’ensemble des mots de passe de vos systèmes
  • déclarer auprès des cellules « Abuse » toute tentative de phishing contre votre site

votre expérience

Les conseils et les précautions sont les premiers pas vers l'assurance d'un service sécurisé mais l'échange d'expériences en la matière est fort intéressant. Alors n'hésitez pas à nous faire part de vos réalisations au travers de commentaires.

credit image : © Pixel & Création - Fotolia.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage