Sécuriser son site marchand, solutions et bonnes pratiques
OUTILS La sécurité doit être envisagée dès la conception du site et les dispositifs de protection mis à jour régulièrement. L'analyse et la mise en place de solutions sont incontournables car la cybercriminalité augmente. Conseils et étapes à suivre.
Je m'abonneLES POINTS-CLES
1 Sécuriser les informations globales du site
Chez Sony, un vent de panique a soufflé lorsque 77 millions de comptes ont été exposés suite à l'intrusion d'un groupe ou d'un individu pendant trois jours en avril dernier. Des comptes qui contenaient des données personnelles et bancaires ont ainsi été menacés. Parmi les éléments à sécuriser sur un site marchand, tout le monde pense au paiement, dont le niveau de sécurité rassure le client final, mais qui s'intéresse aux bases de données? Elles contiennent pourtant certaines informations cruciales sur vos clients que le pirate récupère afin de se faire passer pour eux.
L'infrastructure d'un site internet est complexe. Elle comprend plusieurs serveurs qui hébergent différentes bases de données. Chacune se compose de plusieurs tables (dédiée aux clients, au catalogue, etc.). Un serveur spécifique est, lui, dédié uniquement au mécanisme de paiement. Pour sécuriser l'ensemble, mieux vaut avoir cette complexité à l'esprit et intégrer la problématique dès la conception de l'infrastructure.
2 Protéger les données personnelles
Les données personnelles font l'objet d'attaques car elles sont qualifiées (état civil, adresse e-mail, numéro de téléphone, informations bancaires, etc.) et intéressent à ce titre les spammeurs et les pirates. En général, l'internaute malveillant procède à un détournement de requête ou SQL injection. Pour s'en protéger, la solution consiste à coder les données, car sans clé de déchiffrage, il est beaucoup plus difficile de les lire. De leur côté, les moyens de paiement bénéficient d'un bon niveau de sécurité, notamment grâce au référentiel normatif PCI/DSS. Les solutions comme Paypal - qui bénéficie d'une renommée internationale - ou comme celles désormais proposées par les banques qui intègrent des outils de sécurisation conformes au référentiel.
3 Sécuriser le serveur et les applications du Web
La défaillance d'un serveur web est souvent liée à une faille applicative. Parmi les impacts les plus fréquents, Renaud Bidou, directeur technique de Deny All, liste: «la modification de contenu, l'ajout de contenu illicite, l'accès à des ressources normalement non accessibles et la prise de contrôle totale ou partielle du serveur web. » Les failles se traitent grâce à l'installation de pare-feu, il en existe deux types: le firewall, un réseau qui offre une protection périmétrique (celui-ci laisse passer ou interdit aux requêtes l'accès aux ressources du réseau) et le Web application firewall (WAF) qui se charge de la nature même du contenu de ces requêtes afin de déterminer si elles sont intrusives.
Un test d'intrusion ou test de sécurité applicatif permet de mettre en évidence les sources de problèmes éventuels, les points faibles du site, là où le pirate peut attaquer et de les traiter préventivement.
4 Faire évoluer ses protections
Mais cela ne suffit pas. Le problème d'un site marchand est qu'il évolue, plus il change plus les risques augmentent. Ainsi, un dispositif de sécurité déployé à un instant T peut s'avérer défaillant quelques jours plus tard. D'où la nécessité d'équiper le site d'un WAF, régulièrement mis à jour. L'outil doit être robuste et capable de tenir face à une montée en charge du trafic. Enfin, l'e-commerçant doit s'assurer de ne jamais perdre sa connectivité vers le Web: « Au lieu de choisir un fournisseur principal et un de secours, nous militons pour l'agrégation des accès au Web pour optimiser la bande passante et garantir qu'il ne puisse pas y avoir de rupture de connexion », conclut Léonard Dahan country manager France - Benelux de Stonesoft.
ETUDE DE CAS Materiel.net crée un poste de RSI
Materiel.net, site de vente en ligne de produits high-tech, connaît depuis sa création, il y a une dizaine d'années, une forte croissance (près de 20 % en 2010) et réalise un chiffre d'affaires de l'ordre de 95 millions d'euros. Pour son p-dg, Jean-Philippe Fleury, « passé une certaine taille, avoir dans son équipe un responsable de la sécurité informatique (RSI) est indispensable surtout lorsque l'on développe les applications soi-même ». C'est pourquoi un cadre vient d'être embauché à ce poste début 2011.
A l'heure où l'entreprise révise le développement de ses outils, il apparaissait aberrant de se priver des compétences d'un RSI. Au cours des années précédentes, « nous avions tellement la tête dans le guidon que nous n'avons pas eu le temps d'y penser », regrette Jean-Philippe Fleury. Aujourd'hui la page est tournée. Le RSI a pris ses fonctions et travaille sur la nouvelle architecture du site. Il est non seulement chargé de vérifier que le nouveau système répond bien aux besoins de l'e-commerce, mais aussi de contrôler chaque phase du développement et de s'assurer que chaque bloc par lequel transite l'activité soit le mieux sécurisé possible. Et, comme le site n'a pas fini d'évoluer, le RSI aura la charge d'accompagner les mutations futures, une mission qui justifie l'investissement.
CONSEILS D'EXPERTS
Rémi Moebs, senior manager de Sopra Consulting
« Les échanges en web services apparaissent comme les points faibles, car leur sécurité est plus ou moins bien assurée. Contrairement à la sécurisation des paiements qui, dans 95 % des cas, est confiée à un tiers, les web services ne sont pas pris en charge. Or, il faut traiter à la fois les échanges au niveau du front-office (services clients) et ceux du back-office (transfert de données entre sites web ou partenaires). Deux solutions: le certificat de sécurité du «transport» de données et le «WS-sécurity» norme d'authentification des web services. »
Philippe Humeau, directeur de NBS System, société de services de sécurité informatique et hébergeur
« Je recommande aux e-commerçants de choisir un ensemble de solutions connues pour être robustes, car il existe des produits qui ont connu des failles.
Il faut ensuite vérifier la couverture fonctionnelle du produit et s'adresser à un hébergeur conscient des questions de sécurité et prêt à apporter des garanties. »
Thibault de Valroger, directeur marketing de Keynectis, éditeur de solutions de sécurité informatique
« Les e-commerçants désireux d'être à la pointe de la sécurisation des paiements doivent mettre en place des certificats SSL Extented Validation avec la barre de navigation verte qui permet aux internautes de les reconnaître et d'être en confiance. Le cadenas ne suffit plus. Ceux qui entretiennent des relations récurrentes avec leur clientèle peuvent avoir recours aux terminaux de paiement par prélèvements.
Ceux-ci bénéficient de frais de transaction moins onéreux. »
ZOOM: Le point sur les tarifs
Entre les solutions «open source» gratuites et les logiciels WAF commercialisés entre 1 000 Euros (WAF en entrée de gamme) et 60 000 Euros selon la complexité du site et le volume de son trafic, les prix ne sont guère lisibles. Chez Barracuda Networks par exemple, comptez entre 6 000 et 7 500 Euros pour bénéficier d'un équipement hardware ou d'une machine virtuelle mise à jour quotidiennement pour une à cinq boutiques en ligne. A ces prix, il faut ajouter le prix des prestations de la société de sécurité ou de l'intégrateur, facturées au coût horaire d'intervention.
Clément Paulet (2Xmoinscher.com)
« La sécurité se gère au quotidien, il faut organiser une veille, s'adapter aux évolutions et maintenir un haut niveau de sécurité. »
ETUDE DE CAS: Le site 2Xmoinscher.com muscle ses protections
L'entreprise fait appel à un intégrateur pour réviser sa politique de sécurité et gérer une partie de la maintenance du site. En 2010, 2Xmoinscher.com (groupe 3 Suisses International) s'est trouvée dans l'obligation de refondre certains composants de son infrastructure informatique dans le but d'obtenir une meilleure connectivité (gestion des demandes entrantes), le nombre de visiteurs vers le site augmentant chaque jour (ces connexions ne sont généralement pas très longues mais très nombreuses). Son choix s'est porté sur un firewall StoneGate FW-5000L, déployé en cluster actif/ passif sur son réseau. La migration a été réalisée en collaboration avec l'intégrateur Netqost et les équipes de 2Xmoinscher début 2010. Le firewall est placé au coeur du réseau et gère le cloisonnement et les accès aux différents réseaux où sont localisés divers composants de l'architecture (proxy, WAF, loadbalancer, serveurs web, etc). Il prend en charge tout le flux arrivant d'Internet et épure le trafic (rejet des connexions illégitimes). Cette année, la mise en place de la livraison gratuite pour toutes les commandes de moins de 30 kg a entraîné une forte augmentation du trafic (+30 %). Cela a permis à l'équipe de tester concrètement les capacités de tenue à la charge du site et de valider le choix des solutions retenues. «Plus le nombre de requêtes augmente, plus le risque s'accroît. Or nous ne pouvons pas nous permettre qu'un seul élément de la chaîne applicative soit touché, c'est pour cette raison que nous avons opté pour deux firewall adaptés à nos exigences pour l'évolution du site », explique Clément Paulet, le responsable infrastructure et sécurité de 2Xmoinscher.com. «Nous avons choisi Stonesoft pour ses avantages en termes de performances, de gestion des connexions et pour ses qualités d'administration », souligne Clément Paulet C'est l'intégrateur Netqost qui a aiguillé l'e-marchand et a procédé à l'installation auprès de l'équipe de 2Xmoincher. Netqost a, ensuite, effectué le transfert des compétences pour que l'équipe du site soit autonome. « La sécurité se gère au quotidien, il faut savoir organiser une veille, s'adapter aux évolutions et maintenir un haut niveau de sécurité, les capacités et la facilité d'exploitation de la solution Stonesoft y participent pleinement», indique de son côté Eric Aquaba, responsable des technologies et des services de Netqost.
CONSEILS D'EXPERTS
Renaud Bidou, directeur technique de Deny All, éditeur de solutions de sécurité informatique
« Les e-marchands doivent s'adresser à des sociétés de conseils en sécurité dès la phase de développement de leur site. Ces spécialistes procèdent notamment à des audits de code et à des tests d'intrusion et selon leurs résultats prescrivent des solutions. Le choix et la mise en oeuvre des outils sont complexes et nécessitent une expertise. Pour un site lambda la mise en place d'un WAF peut suffire, mais il est prudent de faire vérifier son architecture par une société spécialisée. »
Léonard Dahan, country manager France - Benelux de Stonesoft éditeur de solutions de sécurité informatique
«Les e-commerçants ne doivent pas négliger la partie reporting des solutions de sécurisation. Tous les prestataires n'en fournissent pas, or le management permet de faire des prévisions en comparant l'évolution du trafic, les phases de montée en charge. Ces analyses permettent d'alerter sur la capacité de l'équipement à protéger suffisamment ou pas le site. »
Stéphane Castagné, responsable commercial France Barracuda Networks
« Aucune application web d'e-commerce ne devrait être mise en ligne sans être protégée. Les petites entreprises qui pensent qu'elles risquent moins que les grandes se trompent, car elles peuvent être, tout autant, la cible d'hackers. Leurs dirigeants doivent se poser la question, vérifier les dispositifs mis en oeuvre par leur hébergeur et trouver une solution adaptée à leurs besoins. Notre société analyse l'état de leurs applications à partir d'un e-mail. »