La croissance du secteur du e-commerce s’est accompagnée ces dernières années d’un nombre grandissant de cyberattaques.
Les sites sous Magento 1 y ont récemment fait les frais, ces attaques ont eu plusieurs effets destructeurs sur les e-commerçants ; en conjuguant : indisponibilité du site web, perte de confiance des utilisateurs, vol de données sensibles et souvent une rançon à payer pour récupérer ces données et voir le retour en ligne du site.
Mais en tant qu’e-commerçant, comment se prémunir au mieux de ce type d’attaque ?
Tout d’abord il convient de choisir un partenaire e-commerce proposant leur solution en mode SAAS (Solution As A Service) et non en mode On Premise (car non mise à jour) ou Open Source (dont les attaques ont bondi de plus de 50% en 2019).
En effet, en mode SAAS, c’est l’éditeur qui supporte l’hébergement des données et donc les risques d’attaques qui en découlent. Ils se prémunissent donc plus fortement pour limiter les menaces.
Néanmoins, même chez les éditeurs de solution en mode SAAS les niveaux de sécurité peuvent se révéler être disparates. Il convient alors de s’intéresser à plusieurs points.
Tout d’abord dans quel type de data center sont hébergés les données, car plusieurs niveaux de data center sont possibles :
- Tier 1 : « Un data center ayant le niveau Tier 1 ne possède qu’un seul circuit électrique ainsi qu’un circuit de distribution de refroidissement et il n’a pas de composants redondants. Sa disponibilité est de 99,67 % et ses clients doivent prendre en compte une interruption annuelle de 28 heures. »
- Tier 2 : « Ce niveau est attribué à un data center ayant un circuit électrique et un circuit de distribution de refroidissement, ayant des composants redondants. La disponibilité offerte est de 99,75 % et il faut prévoir 22 heures d’interruption chaque année. »
- Tier 3 : « La classification Tier 3 est accordée à un data center ayant plusieurs circuits d’alimentation en électricité et de distribution de refroidissement. La disponibilité offerte doit s’élever à 99,982% avec une interruption limitée à un peu plus d’une heure et demie chaque année. »
- Tier 4 : « Cette classification correspond au meilleur niveau de garantie d’un data center et n’est accordée que si le data center a plusieurs circuits assurant l’alimentation en électricité et la distribution du refroidissement. Les clients qui choisissent un data center ayant ce niveau bénéficient donc d’une garantie totale pour la protection de leurs stocks de données informatisées. »
Le Tier 4 est ainsi le niveau à privilégier, vous permettant de vous prémunir contre la perte de vos données à la suite de coupures d’électricité intempestives tout en vous délivrant le meilleur taux de disponibilité pour vos clients.
Le second point auquel prêter attention sera la localisation géographique de ce data center. Un hébergement en France (ou à minima sur le territoire Européen) est à privilégier, car vous garantira :
- Une proximité avec le prestataire vous permettant de visiter facilement les installations et d’entretenir un lien direct avec la structure.
- Une conformité avec la législation européenne, notamment au niveau du respect de la RGPD.
- Un respect de confidentialité. La loi appliquée dépendant de l’emplacement géographique de votre infrastructure, il convient de choisir une zone dont vous avez connaissance de la loi en vigueur sous peine de se réserver des déconvenues. Ainsi, par exemple, en passant par un prestataire disposant d’un data center sur le sol américain, et en cas de litige, le tribunal compétent sera le tribunal américain, vous exposant à des problèmes de confidentialités depuis la mise en place de la loi Cloud Act (plus de précisions sur cette loi en source de cet article).
Il convient aussi de connaitre à quelle fréquence sont effectués les back up de vos données sur le serveur : le plus régulièrement étant bien entendu souhaité.
Enfin, pour assurer une sécurité optimale, vérifiez si votre hébergeur effectue des tests d’intrusion récurrents. Le secteur informatique étant en perpétuel évolution, il faut rester au courant des nouvelles « tendances » d’attaques et tester celles-ci sur sa propre infrastructure informatique. Des tests d’intrusion peuvent ainsi être réalisés de façon annuelle afin de vérifier la vulnérabilité de sa défense face à ces nouvelles attaques et s’adapter en fonction du résultat obtenu.
Plus d’informations sur la loi Cloud Act :
https://www.journaldunet.com/solutions/cloud-computing/1488080-comment-remedier-auxravages-du-cloud-act/ https://www.marianne.net/monde/cloud-act-malgre-la-rgpd-les-etats-unis-l-assaut-de-vos-donneespersonnelles
Sources :
https://www.cnil.fr/fr/garantir-la-securite-des-donnees https://www.ipe.fr/la-securite-informatique-des-entreprises-de-commerce/ https://www.expressnews.fr/securite-informatique-e-shop/ https://ledabelle.com/datacenter-tier-1-2-3-et-4-quelles-differences/ https://www.ivision.fr/hebergement-e-commerce-3-criteres-pour-bien-choisir-son-hebergeur/ https://infodujour.fr/economie/14165-cybersecurite-un-cout-eleve-pour-lentreprise
https://www.ecommerce-nation.fr/saas-vs-open-source/ https://www.lemondeinformatique.fr/actualites/lire-les-failles-des-logiciels-open-source-bondissenten-2019-78467.html