Comment protéger votre entreprise de commerce électronique contre les menaces de piratage
Publié: 2017-10-31Avec tous les discours dans l'industrie sur la menace du piratage, et Equifax connaît actuellement l'un des plus gros piratages à ce jour, il vaut la peine de prendre du recul pour réaliser à quel point votre entreprise de commerce électronique peut être vraiment peu sûre.
À l'avenir, le marché va devenir plus sophistiqué et commencer à faire davantage confiance aux entreprises qui, elles le savent, protégeront leurs informations.
En tant que propriétaire de boutique de commerce électronique, vous avez accès à une grande quantité d'informations sensibles, qui sont généralement stockées sur un ordinateur, ce qui expose votre entreprise au risque de piratage. Même si vous êtes une entreprise plus petite, vous ne pouvez pas ignorer les menaces qui pèsent sur votre entreprise au quotidien.
Mettre la tête dans le sable et supposer que vous n'êtes pas confronté à des menaces parce que vous êtes une petite entreprise est la mauvaise approche à adopter, et une approche qui pourrait vous causer de gros problèmes si un pirate informatique découvrait que vous ignorez les preuves mesures de sécurité.
Si vous voulez vous assurer que votre entreprise et vos clients sont non seulement à l'abri de la menace des pirates, mais qu'ils obligent les pirates à abandonner avant d'essayer de briser votre sécurité, voici 15 façons différentes de garantir la sécurité de votre entreprise de commerce électronique.
#1 - Utilisez une plateforme de commerce électronique sécurisée.
C'est le facteur le plus important qui affectera la sécurité de votre magasin.
Si vous utilisez, par exemple, WooCommerce, vous devez vous assurer qu'il est toujours mis à jour avec la dernière version, que vous maintenez WordPress à jour avec la dernière version et que tous les plugins que vous utilisez restent à jour.
La plupart des plateformes de commerce électronique grand public, comme Shopify, mettront en place des mesures de sécurité pour protéger les données de vos clients.
Cependant, si vous utilisez une nouvelle plate-forme de commerce électronique, ou une plate-forme qui ne met pas beaucoup l'accent sur la sécurité, vous voudrez commencer à migrer vers une plate-forme plus développée - une plate-forme qui comprend la sécurité et comment maintenir un niveau élevé de Sécurité.
Les logiciels obsolètes sont l'une des principales causes de failles de sécurité, et les pirates informatiques peuvent utiliser les « empreintes » que le logiciel laisse derrière lui pour trouver des magasins qui peuvent être obsolètes. Ils peuvent ensuite cibler ces magasins un à la fois.
#2 - Assurez-vous que votre paiement est sécurisé.
Votre zone de paiement est l'une des principales cibles de votre magasin.
Certains pirates tenteront de détourner la base de données dans laquelle les informations de votre client sont stockées, tandis que d'autres tenteront d'intercepter ces données lorsqu'elles sont saisies dans votre formulaire de paiement, puis transmises à un serveur de traitement.
Cela joue, en grande partie, sur la plate-forme sur laquelle vous hébergez votre boutique de commerce électronique.
Cependant, vous pouvez également implémenter des fonctionnalités de sécurité telles que SSL crypté et des paiements sécurisés pour vous assurer que les pirates ne peuvent pas intercepter les informations transférées.
Un certificat SSL cryptera les informations que votre client a saisies avant qu'elles ne soient transmises, de sorte que même si un pirate informatique est capable de les intercepter, il ne pourra rien faire avec les informations qu'il a collectées.
#3 - Ne stockez pas de données sensibles.
Si Equifax est une preuve, les pirates informatiques s'appuient sur les entreprises et les entreprises pour stocker des informations sensibles, puis laisser les protocoles de sécurité expirer afin qu'ils puissent profiter des failles pour accéder à ces informations par eux-mêmes.
Equifax se consacre à la collecte et au stockage d'informations sensibles sur les personnes, ce qui en fait une cible de choix pour les pirates informatiques. Il est facile de dire que ce n'est pas la première fois que des pirates tentent d'accéder à leurs serveurs et bases de données. Probablement pas la 100e fois.
Pour la plupart, pour gérer efficacement votre entreprise, vous n'avez vraiment pas besoin de stocker d'informations en dehors du nom, de l'adresse e-mail, de l'adresse personnelle, du numéro de téléphone, de l'identifiant et du mot de passe de votre client.
Si vous collectez et stockez ces informations, vous devez vous assurer qu'elles sont stockées dans une base de données sécurisée et cryptée. Vous devez également vous assurer que vos clients sachent qu'ils ne doivent pas utiliser le même mot de passe pour votre boutique qu'ils utilisent pour d'autres comptes sensibles, comme leur courrier électronique ou leurs comptes bancaires.
#4 - Utilisez un système de vérification CVV.
Un CVV, ou valeur de vérification de carte de crédit, vous aide à limiter le nombre de transactions frauduleuses en exigeant que le client ait sa carte de crédit en sa possession physique, afin de lire le numéro CVV au dos de la carte.
Bien que cette stratégie ne vous aide pas à éliminer complètement la fraude par carte de crédit dans votre magasin, vous pouvez réduire considérablement les possibilités.
De nombreux pirates n'auront pas la carte physique devant eux, ils ne pourront donc pas entrer le CVV approprié pour poursuivre la transaction. S'ils n'ont pas le numéro CVV, ils ne pourront pas commettre de fraude par carte de crédit.
Encore une fois, cela n'arrêtera pas toutes les fraudes, mais cela peut réduire les chances que vous ayez des rejets de débit et des frais frauduleux dans votre magasin. Si le pirate est en mesure d'obtenir le CVV de la carte de crédit qu'il utilise pour effectuer des achats frauduleux, il peut toujours aller de l'avant.
#5 - Exiger des mots de passe forts.
Parfois, les pirates n'ont même pas besoin de briser votre sécurité à cause de problèmes logiciels, d'enregistreurs de frappe ou de tout autre moyen axé sur les logiciels.
Parfois, il suffit qu'ils accèdent à un mot de passe faible et l'utilisent pour prendre en charge toutes les bases de données dans lesquelles des informations sensibles sont stockées.
C'est pourquoi vous devez exiger à la fois de vos clients et de votre personnel qu'ils utilisent des mots de passe sécurisés. Cela est particulièrement vrai si les membres de votre personnel ont accès aux zones où vous stockez des informations sensibles, si vous les stockez.
En plus de vous assurer que vos clients savent qu'ils ne doivent pas utiliser le même mot de passe pour leur connexion à la boutique qu'ils utilisent pour leurs comptes de messagerie ou leurs comptes bancaires, vous voulez également vous assurer que vous leur demandez d'utiliser un mot de passe sécurisé.
Un mot de passe vraiment sécurisé combine un mélange de lettres majuscules et minuscules, de chiffres et de symboles. Ces attaques sont presque impossibles à "forcer brutalement" et ne peuvent être devinées.
#6 - Surveillez les activités suspectes.
Si votre magasin est ciblé par des pirates, vous pouvez utiliser les informations qu'ils vous fournissent pour vous assurer que votre magasin est sécurisé.
La meilleure façon de vous assurer que vous gardez une longueur d'avance sur les pirates informatiques est de comprendre ce qu'ils font maintenant et de travailler activement pour vous assurer que ces parties de votre magasin sont sécurisées.
Cependant, suivre les pirates informatiques pourrait vous obliger à obtenir une position dans le « ventre sombre d'Internet », où se déroulent la plupart des conversations sur les derniers piratages et exploits.
Ou, vous pouvez commencer à surveiller l'activité suspecte sur votre magasin.
Si un pirate informatique a consacré de l'énergie à attaquer une partie de votre magasin, vous pouvez supposer en toute sécurité qu'il existe un piratage ou une exploitation qui se concentre sur cette partie des magasins de commerce électronique. Par exemple, s'ils attaquent votre écran de connexion, vous savez qu'il est temps de vous assurer que votre écran de connexion est sécurisé.
Pour obtenir ce niveau de sensibilisation, cependant, vous devez surveiller activement ce qui se passe dans votre magasin, puis comprendre ce que vous devez faire pour augmenter votre sécurité dans ces domaines.
#7 - Utilisez la sécurité en couches.
La sécurité en couches fait référence à différentes couches que les pirates devront franchir avant de pouvoir accéder aux informations sensibles, si vous les stockez.
Pour renforcer votre sécurité, vous allez d'abord vouloir vous assurer que vous avez un pare-feu en place et que vous utilisez un certificat SSL pour crypter les transactions effectuées via votre serveur.
Ensuite, vous voudrez ajouter d'autres couches dans le magasin en fonction des applications que vous utilisez. Par exemple, sécuriser votre formulaire de contact, vos formulaires de connexion et vos requêtes de recherche, et séparer ces informations de vos informations client peut rendre les attaques SQL inutiles.
Les attaques SQL injecteront des informations dans votre base de données qui permettront aux pirates d'y accéder, et si vous stockez les informations client dans la même base de données que les informations collectées à partir des formulaires sur le front-end de votre boutique, vous pourriez créer un risque de sécurité .
#8 - Si vous avez des employés, formez-les.
Les employés peuvent être l'un des points les plus faibles de votre sécurité. C'est dans la nature humaine de se détendre et de ne pas penser à des parties de l'entreprise qui ne figurent pas réellement dans leur description de poste.
La sécurité, dans ce cas, est l'un des premiers aspects à être ignoré, vos employés supposant que quelqu'un d'autre s'en occupe.
Pour vous donner un exemple, vos employés pourraient collecter des informations sensibles auprès de vos clients lors de sessions de chat ou dans un journal de courrier électronique, et ne rien faire avec les informations une fois la session de chat terminée.
Vous devez vous assurer que vos employés sont bien formés (et que leur formation reste à jour) pour vous assurer qu'ils ne causent pas de failles dans vos politiques de sécurité et ne mettent potentiellement en danger les informations de vos clients.
Des politiques et une documentation écrites doivent être en place, et vos employés doivent être au courant des lois et de la manière dont elles régissent le traitement des informations sensibles.
#9 - Fournissez des numéros de suivi à vos clients.
La sécurité du commerce électronique ne doit pas seulement viser à éloigner les pirates informatiques des informations de vos clients.
Vous devez également vous assurer que les pirates ne peuvent pas utiliser de cartes de crédit volées pour passer des commandes dans votre magasin et que les clients ne sont pas en mesure de soumettre des achats frauduleux pour les achats qu'ils ont réellement effectués.
Les rétrofacturations et les réclamations pour fraude se produisent beaucoup plus souvent qu'elles ne le devraient. Un grand nombre de pirates informatiques sont responsables de la plupart d'entre eux, mais certains proviennent de clients qui ont décidé de ne plus vouloir payer pour les produits qu'ils ont achetés.
Tout en gardant la possession des produits, ils déposeront une rétrofacturation auprès de leur banque ou institution financière, ou déclareront qu'il y a eu une activité frauduleuse sur leur compte, vous laissant le sac.
Pour lutter contre ce problème, assurez-vous que vous utilisez des numéros de suivi pour la commande et les détails d'expédition. Vous voulez également vous assurer que vous suivez les adresses IP, les emplacements où les commandes ont été passées et d'autres informations que vous pouvez utiliser pour vérifier que les frais étaient légitimes.
#10 - Surveillez votre magasin et hébergez fréquemment.
Même si vous utilisez une plate-forme de commerce électronique grand public, vous ne pouvez pas toujours vous asseoir et vous détendre, en supposant qu'ils s'occupent de votre sécurité.
Pour ce faire, vous devrez vous assurer d'avoir des analyses en temps réel, afin de pouvoir déterminer d'où vient le trafic et comment ce trafic affecte votre bande passante.
Si vous remarquez que vous avez une grande quantité de trafic provenant d'un seul endroit, vous pouvez supposer en toute sécurité qu'il s'agit d'un pirate informatique. Des outils tels que Clicky et Woopra peuvent vous envoyer des alertes chaque fois qu'ils détectent une activité suspecte, en fonction de la façon dont les utilisateurs interagissent avec votre magasin.
Vous devrez également vous assurer que la personne qui héberge votre boutique de commerce électronique surveille également l'activité. S'ils remarquent une activité suspecte ou découvrent que des chevaux de Troie et des logiciels malveillants ont été installés, ils doivent faire le nécessaire pour supprimer les menaces sans votre intervention.
#11 - Effectuez des analyses PCI.
Effectuer des analyses PCI sur votre magasin et vos serveurs tous les 3 à 4 mois peut vous aider à réduire les risques que votre magasin soit vulnérable aux pirates. Les analyses PCI vous aideront à déterminer quelles zones sont actuellement vulnérables sans que vous ayez à garder une longueur d'avance sur l'industrie du piratage.
Cela est particulièrement vrai si vous hébergez vous-même la boutique en utilisant des logiciels tels que Prestashop, Drupal ou Magento. Ces plates-formes nécessitent que vous vous occupiez vous-même de la sécurité, mais publieront généralement des mises à jour du logiciel au fur et à mesure qu'elles identifient de nouvelles menaces.
Les quelques heures que vous passez à mettre à jour et à sécuriser votre logiciel, et à vérifier ce que l'analyse PCI vous montre, peuvent vous faire économiser énormément à long terme. N'oubliez pas que les cibles les plus faciles sont les magasins qui ne restent pas à jour avec les mises à jour logicielles et de sécurité.
#12 - Gardez vos systèmes à jour.
Cela a déjà été dit, mais maintenir vos systèmes et applications à jour est essentiel pour maintenir votre sécurité. Patcher vos systèmes, littéralement, le jour où un nouveau patch est publié, c'est la façon dont vous protégez votre magasin.
Prenez du recul et réfléchissez-y une seconde.
Si vous hébergez votre boutique et que vous utilisez Magento et que l'équipe de développement de Magento publie un avis indiquant qu'elle a corrigé une nouvelle vulnérabilité de sécurité, il est sûr de dire qu'au moins quelques pirates étaient au courant de la vulnérabilité.
Cependant, après que Magento l'ait annoncé au monde ? Beaucoup plus de pirates le savent et peuvent lancer leurs bots et scripts pour commencer à traquer les magasins Magento qui exécutent toujours la version défectueuse du logiciel.
Lorsque les développeurs publient un avis indiquant qu'il y a une nouvelle mise à jour, en particulier celles qui corrigent des failles de sécurité, prenez le temps de mettre à jour vos systèmes. Vous êtes officiellement une cible une fois qu'ils ont publié l'avis.
#13 - Utiliser un service de protection DDoS.
Les attaques DDoS, ou par déni de service distribué, ne sont pas nécessairement un « piratage » au sens général du terme, mais il s'agit d'une méthode que les pirates peuvent utiliser pour désactiver complètement votre boutique et la mettre hors ligne.
Ces types d'attaques se produisent beaucoup plus souvent qu'auparavant, et le niveau de sophistication, ainsi que les types de cibles attaquées, ont également augmenté.
Le meilleur moyen de lutter contre ces attaques est d'héberger votre boutique sur le cloud et d'utiliser un service qui peut migrer votre boutique vers un autre serveur s'il détecte une attaque DDoS.
#14 - Pensez aux services de gestion de la fraude.
C'est malheureux, mais la fraude arrive. Pour un commerçant, la meilleure chose à faire est de s'assurer que vous n'êtes pas en train de tenir le sac chaque fois que des frais frauduleux arrivent dans votre magasin.
De plus en plus de sociétés de traitement de cartes de crédit proposent de nouveaux services pour vous aider à atténuer votre risque de fraude et à garantir que vous gardez une plus grande partie de l'argent dans votre poche.
Ils peuvent vous aider à éliminer la fraude avant qu'elle ne se produise et vous couvrir lorsque vous devez valider des frais légitimement facturés par les consommateurs.
#15 - Ayez un plan de reprise après sinistre en place.
Il ne suffit pas de sauvegarder simplement votre boutique, votre base de données, vos e-mails et vos fichiers clients. Vous devez également vous assurer que vous avez mis en place une stratégie de récupération au cas où quelque chose se produirait et que vous perdiez tout.
Il pourrait y avoir des lacunes dans votre stratégie de sauvegarde que vous devrez combler. Par exemple, si vous stockez les sauvegardes sur site, vous pourriez subir une panne de courant qui entraînerait également l'arrêt de vos serveurs de sauvegarde.
Pour éviter cela, assurez-vous que votre site Web est correctement sécurisé et que vous sauvegardez régulièrement vos fichiers. Ensuite, vous voulez vous assurer que ces fichiers sont hébergés hors site et que vous pouvez facilement restaurer votre entreprise si quelque chose de catastrophique se produit.
Comme Equifax l'a montré, aucune entreprise n'est vraiment si sûre qu'elle ne puisse être la cible de pirates informatiques.
En tant que propriétaire de magasin de commerce électronique, votre entreprise pourrait être une cible encore plus importante, car la plupart des pirates informatiques supposent que les propriétaires de petites et moyennes entreprises n'accordent pas à la sécurité l'attention qu'elle mérite vraiment.
Cela signifie que vous devez faire attention et faire attention aux 15 domaines différents que nous avons décomposés pour vous ici. S'assurer que votre boutique de commerce électronique est sécurisée peut prendre un certain temps au départ, mais le temps que vous passez maintenant pourrait vous faire économiser beaucoup de temps et d'argent sur la route.
Ne laissez pas vos clients avoir à faire face à l'usurpation d'identité, comme tant de clients d'Equifax doivent faire face à l'heure actuelle. Il est facile de se tenir à l'écart de la même position, lorsque vous savez quels domaines de votre entreprise doivent être traités.