10 questions à poser à votre concepteur de site web

Retour au blog
sécurité site e-commerce

Vous vous apprêtez à commander un site e-commerce lié à votre ERP ?

Certaines compétences ne s’improvisent pas et il est nécessaire de s’assurer de la fiabilité de vos prestataires, en termes de sécurité par exemple.

Un site e-commerce lié à votre ERP est en réalité... un site lié au coeur-même de votre entreprise. Il est en contact avec votre base de données et il faut se prémunir de tout vol, modification ou destruction de son contenu. Soyez donc bien plus attentif que pour un simple site vitrine ! 

Voici les questions qu’il est primordial de poser au concepteur de votre site e-commerce.

Mon site de vente en ligne sera-t-il en HTTPS ?

Un site en HTTPS (symbolisé par le cadenas vert à côté de l'URL) signifie que son adresse est certifiée et que les informations échangées entre l’internaute et le serveur sont cryptées. Toute personne étrangère à la communication ne pourra, ni intercepter les données, ni les déchiffrer.

Cette sécurité rassure vos internautes qui vous livrent leurs données (adresse de résidence, e-mail, téléphone,…) et qui effectuent aussi des paiements en ligne.
Depuis quelques temps, Google soutient activement les sites sécurisés et déprécient ceux qui ne franchissent pas ce cap.
Un bon point pour votre référencement et pour rassurer votre client !

En savoir plus

 Utiliserez-vous une plateforme Open Source pour créer mon site (Prestashop, Magento, ...) Ajouterez-vous des plugins ? Savez-vous d'où proviennent ces composants ? 

Ces plateformes Open Source comportent parfois des failles. Certaines de celles-ci sont maîtrisées et réparées par les programmeurs mais que faire des autres portes d'entrées pour les hackers ?
Votre concepteur de site est-il certain que le package standard qu'il installe est bien sécurisé ? 

Il est aussi possible de greffer de plugins à votre site web : un nouveau mode de paiement, un mode de livraison, un module "Avis d'internaute", etc. Qui a programmé ces extensions ? Doit-on autoriser ce code étranger à entrer dans votre site ? Certains codes malveillants vous amènent pourtant des virus, des captations de données, des chevaux de Troie, ... 

Une règle d'or : connaître votre développeur/programmeur, ses intentions et ses compétences.

 L’infrastructure qui hébergera mon site est-elle suffisamment sécurisée contre toute sorte de menaces ?  

Votre site web sera déposé sur un serveur. La qualité de celui-ci doit être optimale. 

  • Est-il protégé par un antivirus compétent ? Cet antivirus est-il à jour?
  • Le serveur reçoit-il les mises à jour nécessaires ? 
  • Est-il protégé par un pare-feu ?
  • Mon site dispose-t-il d'un espace qui lui est dédié et qui est cloisonné, sur le serveur ? 
  • L'hébergeur est-il compétent pour résister à des attaques massives et violentes ? 

Autant de questions dont la réponse doit être OUI. Si ce serveur n'est pas bien sécurisé, alors votre site sera endommagé par les attaques visant le serveur de manière générale ou d'autres sites placés dessus.

 A quel endroit et sous quel format stockez-vous les données confidentielles des internautes (mots de passe, cartes bancaires , ... ) ? 

Aucun mot de passe ne peut être stocké en clair (ni même en crypté) dans votre base de données ! Inutile de tenter le diable... Une bonne méthode est celle du "hashage" : ajouter au mot de passe une clé confidentielle propre au site et, ensuite, prendre une empreinte du mot de passe. 
Si un vol devait survenir, il serait impossible d'obtenir le mot de passe : le décryptage n'est pas possible, il ne resterait qu'une empreinte inexploitable.  

De même, ne stockez jamais les numéros de cartes bancaires dans votre base de données. La gestion du paiement en ligne doit être confié à un opérateur spécialisé (Ingenico, SaferPay, Paypal). Déléguez cette lourde responsabilité.

Que contiennent vos cookies ? 

Les cookies, késako ? Ce sont de petits fichiers stockés sur le navigateur de l'internaute, qui permettent de faciliter sa visite sur le site. Ils mémorisent, par exemple, la langue choisie, l'ordre de tri dans la recherche, ... Ils servent aussi à capter les statistiques d'un site web.
Mais aucun élément stratégique ne peut être mémorisé dans un cookie puisqu'ils peuvent faire l'objet de vol ! (Pas de nom, de coordonnées ou de mot de passe)

 Le site est-il protégé contre les injections SQL ? 

Injections SQL, késako ? Cela consiste à utiliser des entrées dans le site (par exemple, un formulaire d'inscription, un login, ...) pour y envoyer des informations permettant de détourner une requête SQL (action sur la base de données). Par exemple, à la place d'une simple recherche d'utilisateur, celle-ci effectue d'autres opérations comme une suppression dans votre base de données ! 

Votre concepteur de site web doit utiliser un style de programmation qui empêche ce type d'injections.

 Le site est-il protégé contre les injections Javascript ? 

Injections Javascript, késako ? Cela consiste à insérer du code javascript dans une zone éditable par l'internaute (par exemple, un espace pour laisser un commentaire). Ce code s'exécuterait dans le navigateur web de l'internaute, lors du rafraîchissement de la page.

A nouveau, le programmeur doit travailler pour éviter ces injections dans les zones de saisie. 

 Le site est-il protégé contre d'autres sortes de menaces : clickjacking, détournement via Iframe, ... 

La liste des attaques potentielles peut être encore longue. Quelques exemples : 

  • Détournement via un Iframe : afficher une page web étrangère au sein d'une page d'un autre site, au moyen d'un Iframe. L'internaute ne s'aperçoit pas de l'encapsulation d'un site dans un autre et est dupé concernant le site sur lequel il pense être.
  • Clickjacking : placer des zones flottantes par au-dessus d'une page, par exemple un formulaire au-dessus d'un formulaire. L'internaute pense qu'il complète le formulaire dans le site qu'il consulte mais les infos sont captées par la zone flottante.
  • Faille LFI (Local File Injection) : réussir, à partir d'une page web mal conçue, à remonter dans les répertoires utilisés par le site web et accéder ainsi à des fichiers non-publics.
  • Faille CSFR : cacher derrière un lien anondin une URL qui permet de supprimer des éléments. L'internaute, en toute bonne foi, clique sur le lien et lance à son insu des suppressions (de pages, de produits en vente, ...)
 A partir de quand installerez-vous ces barrières de sécurité ? 

La réponse doit être : dès le début ! Dès que la première pierre du site est posée ou que la première ligne de code est écrite, la sécurité doit en place. 
N'autorisez pas votre prestataire à vous répondre : " Oh... Plus tard ... On a le temps.". Non ! 
Tout d'abord parce qu'il doit programmer de façon sécurisée. C'est une philosophie qu'il doit adopter dès le début. Il serait inenvisageable de modifier tout le code une fois qu'il est mis en place.
Mais également parce que, dès sa conception, votre site est relié à votre base de données et touche donc à des éléments sensibles à protéger.

 Prendrez-vous le temps de penser à la sécurité de mon site, même dans le futur ? 

De nouvelles méthodes d’attaques sont créées régulièrement, des nouvelles failles sont révélées.
Trouvez donc un prestataire qui se tient informé des dernières actualités et solutions, mais aussi qui fait évoluer la sécurité de votre site. Il doit garder un œil attentif.

Vous l'avez compris : s'intéresser et s'assurer de la sécurité de votre site web est indispensable, pour protéger le cœur de votre entreprise. 

Ces 10 points vous paraissent compliqués ou trop techniques ?
Transmettez ce document au concepteur de votre site web ! Il doit pouvoir répondre à vos 10 questions.


Et concernant les sites e-commerce Mercator ?

A ces 10 questions, nous pouvons répondre "Oui, nous connaissons ces menaces. Nous avons mis en place les protections nécessaires et installé une infrastructure fiable, pour assurer la sécurité de chacun des sites web que nous réalisons."

La question de la sécurité, chez Mercator, c'est de nombreuses heures de documentation, d'analyse, de recherche, de testing et de mise en place de solutions. 
Nous sommes attentifs à ce sujet car nous souhaitons que nos clients puissent gérer leur entreprise en toute sérénité. 

Un document expliquant toutes les actions posées par notre équipe en terme de sécurité est à disposition de nos clients.

sécurité mercator