Si vous avez une entreprise, il y a de fortes chances que vous ayez un site Web. Et si vous avez un site Web, vous devez le garder en sécurité.
Dès que vous lancez votre site Web ou votre entreprise en ligne, il peut devenir la cible de cyberattaques. En effet, même avant cette pandémie, la cybercriminalité constituait déjà une menace importante pour les entrepreneurs et les propriétaires d’entreprises en ligne. Même Facebook a connu une fuite de données qui n’a touché que 3,5 millions utilisateur! Alors, comment pouvons-nous protéger nos business en ligne lorsque les géants de la technologie ne le peuvent pas ?
Jetons un coup d’œil aux 10 meilleurs conseils pour protéger votre boutique en ligne, vos clients et votre équipe.
Sommaire
1- Choisissez un hebergement securisé
Magento, osCommerce, Shopify… Choisissez une plateforme e-commerce qui tient le coup pour éviter d’éventuelles failles. De plus, en particulier pour les CMS open source, vous pouvez compter sur une communauté avec laquelle vous pouvez communiquer sur les problèmes que vous avez déjà rencontrés.
Les CMS comme Magento et les SAAS comme Shopify ou Wizishop sont a priori plus sécurisés.
Si vous hébergez vous-même votre site, pensez à choisir un hébergeur sécurisé, qui protège votre site des attaques et permet une sauvegarde de votre site pour restaurer vos données en cas de piratage. N’oubliez pas le protocole HTTPS qui est plus qu’essentiel.
2- Gardez votre site à jour
Les mises à jour des CMS, des extensions et des outils e-commerce sont indispensables à la sécurité de votre site. Les pirates sauront trouver des failles dans le code, surtout si vous utilisez un système ouvert et largement utilisé comme WordPress ou WooCommerce. En installant régulièrement les mises à jour et les correctifs les plus récents, vous vous assurez d’éliminer les vulnérabilités de votre boutique en ligne.
Une série d’exigences sont définies pour garantir que toutes les entreprises qui utilisent les données des cartes de crédit maintiennent un environnement sécurisé. Soyez toujours au courant de ces développements.
3- Testez la sécurité de votre site
Une fois que vous avez choisi votre module de paiement et que vous êtes à jour sur les exigences en matière de données de paiement, vous pouvez aller plus loin en examinant le processus de paiement :
- Le site reste-t-il en HTTPS tout au long ?
- Que se passe-t-il lorsque vous quittez l’espace de paiement et que vous y revenez plus tard ?
- Les mots de passe pour accéder à toutes les informations sensibles sont-ils changés régulièrement ?
N’hésitez pas à faire des audits de sécurité réguliers pour réparer les vulnérabilités de votre site.
4- Utilisez un système d’alerte et de surveillance
Selon la plateforme que vous utilisez, vous pouvez configurer des alertes automatiques en cas d’activité suspecte. Par exemple, plusieurs commandes d’une même personne utilisant des cartes bancaires différentes, des clients qui achètent le même produit en quantité ou qui paient des frais de livraison supplémentaires pour être livrés rapidement (pour les revendre au plus vite).
Google Analytics est également un bon outil pour suivre les pics de trafic et de connexion inexpliqués (probablement les attaques DDoS), mais il existe de nombreux outils qui analysent votre site à la recherche de ces attaques, logiciels malveillants, etc. WordPress, par exemple, bénéficie d’extensions bien connues, telles que Wordfence.
5- Soyez attentif à ce que vous téléchargez et intégrez dans votre site.
Les plates-formes modernes de création de sites Web vous permettent de télécharger de nouvelles extensions à installer sur votre site. Le problème est que les pirates peuvent les utiliser comme appâts pour planter des scripts malveillants sur votre site ou votre ordinateur.
Les logiciels malveillants sur votre appareil peuvent espionner vos frappes et obtenir le mot de passe de votre site e-commerce par exemple. Pour éviter cette menace :
- Ne téléchargez jamais une pièce jointe ou un fichier d’un utilisateur ou d’un site non approuvé,
- Vérifiez toujours l’identité des développeurs de plugins,
- Vérifiez les notices avant l’installation,
6- Débarrassez-vous des données clients sensibles
Il est généralement interdit de stocker des données sensibles sur les consommateurs, telles que les numéros de carte de crédit, les dates d’expiration et les codes de sécurité. Si vous en avez, supprimez-le immédiatement !
Si votre système nécessite le chargement d’une carte de crédit, vous pouvez stocker des informations sur le moment où les exigences en matière de données de paiement sont remplies. Restreignez fortement l’accès, cryptez les données et effectuez des audits réguliers.
Si vous n’avez pas de données à voler, les pirates ne viendront pas à vous…
7- Utilisez des numéros de suivi pour toutes les commandes
Le suivi des transactions aidera à protéger votre entreprise contre les remboursements frauduleux. Vous savez, lorsqu’un client demande un remboursement (produit non reçu) que vous êtes obligé d’effectuer car il est demandé par la banque émettrice… De plus, vous devez vous acquitter de tous les frais afférents.
En utilisant le suivi, vous savez si le produit a été livré au consommateur. Demander l’accusé de reception est un autre moyen de lutter contre cette « gentille » fraude.
8- Utilisé des mots de passe sécurisé
Même si vous avez le site le plus sécurisé au monde, si vos utilisateurs utilisent des mots de passe faibles
Assurez-vous que vos clients créent un mot de passe composé de majuscules, de minuscules, de symboles, de chiffres et d’un minimum de 8 caractères.
Et si votre site s’y prête, pensez à des méthodes plus modernes comme la double authentification (réservée aux sites sensibles, B2B… car contraignante), qui ne remplace pas le mot de passe mais renforce sa sécurité, l’authentification biométrique (empreinte digitale, reconnaissance faciale, etc. ou authentification par token.
9- Utilisez des protocoles de sécurité
Même si vous connaissez certaines mesures de sécurité, assurez-vous que les membres de votre équipe les connaissent aussi. Tous leurs mots de passe doivent être sécurisés, ils doivent pouvoir détecter un achat potentiellement frauduleux et ils doivent comprendre la gravité des risques.
Pensez à utiliser un VPN si vous travaillez à distance ou si vos employés sont en télétravail, pour sécuriser les connexions.
10- Créer et maintenir un fichier des tentatives et d’opérations frauduleuses.
Enregistrez tous les aspects des fraudes tentées et réussies. Cela peut vous aider à éviter une répétition de l’incident.