sécuriser sa boutique pour les fêtes ... et les soldes

 

A l’approche des derniers week-ends d’achat avant les fêtes de fin d’année, les responsables de sites en ligne sont bien souvent forts occupés. Intégration de nouveaux produits, mise à jour des stocks, mise en place de remises ou offres spéciales, envoi de publicité, … etc. Et une fois la fin décembre passée, ce seront les périodes de soldes.

Une période donc faste à de nombreuses tâches et notamment toutes celles relatives à la sécurité de la boutique. Intégritéconfidentialité et disponibilité sont bien évidemment les principaux points de vigilance.

accès aux services

Si la disponibilité rime trop souvent avec « bande passant achetée », il est important pour les boutiques de se prémunir de toute source d’attaque pouvant entrainer une inaccessibilité des services.

Comme le rappelait récemment l’article « Comment anticiper les risques d'attaque en déni de service », les attaques en déni de service sont chaque année la hantise des sites marchands, pour lesquels une indisponibilité de service entraine des pertes financières immédiates. Les sites mettant en œuvre des ventes dites « Flash » seront tout particulièrement vulnérables.

accès aux données

Le responsable du traitement des données manipulées par sa boutique est à présent fortement concerné par la « Transposition du Paquet télécom : renforcement des droits des internautes et signalement des failles de sécurité à la CNIL ».

Toute faille dans la boutique et toute fuite de données prend alors une autre ampleur et les conséquences financières et commerciales peuvent être importantes. La sécurité doit donc être renforcée autour des failles de type « injection SQL » notamment, au sein des applications développées en propre ou celles développées par un prestataire.

accès aux systèmes

Que vous soyez en charge d’une boutique en ligne ou d’un serveur web institutionnel, vous êtes potentiellement la cible de nombreuses attaques. Si ces dernières ne visent pas expressément les données de votre boutique, elles ont peut-être pour simple objectif l’intrusion dans vos systèmes en ligne pour en utiliser les ressources.

Si les activités de Spam sont semble-t-il « à [leur] plus bas niveau depuis trois ans », ceci est sans doute en partie dû aux procédures de lutte mises en place par les responsables de sites, les opérateurs, les hébergeurs et les utilisateurs. Résultat : si votre système venait à être utilisé pour de l’émission de spam, il se retrouverait « bloqué » et votre jolie lettre aux acheteurs fidèles - avec les dernières promotions - également.

quelques précautions

Inutile de débattre davantage sur les risques qu’encourt votre boutique, d’une part car ils sont peu ou prou les mêmes en période de fin d’années, de soldes ou le reste du temps, et d’autre part car leur nombre tend actuellement à remplir des pages A4 entières.

Mieux vaut donc se constituer une première liste d’actions à réaliser ou faire réaliser si vous avez opté pour des services hébergés ou en mode "Cloud Computing" :

  • s’assurer qu’une stratégie de protection contre les attaques DDoS est définie
  • mettre à jour les systèmes d’exploitation et firmwares (OS, firewalls, switchs, …)
  • mettre à jour les bases de signatures Anti-Virus et IDS
  • mettre à jour les applicatifs avec les derniers correctifs de sécurité
  • ne pas oublier de renouveler les certificats SSL
  • faire réaliser un audit de vulnérabilités des services exposés
  • renforcer la surveillance de vos systèmes et l’analyse des logs
  • ne pas hésiter à renouveler l’ensemble des mots de passe de vos systèmes
  • déclarer auprès des cellules « Abuse » toute tentative de phishing contre votre site

votre expérience

Les conseils et les précautions sont les premiers pas vers l'assurance d'un service sécurisé mais l'échange d'expériences en la matière est fort intéressant. Alors n'hésitez pas à nous faire part de vos réalisations au travers de commentaires.

credit image : © Pixel & Création - Fotolia.com

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.