E-commerce — 21 janvier 2014 — 4 commentaires
Comment sécuriser les données de son site e-commerce

La sécurité des données est l’un des enjeux majeurs de l’informatique. L’e-commerce n’échappe donc pas pas à cette règle, d’autant plus que de plus en plus de boutiques en ligne stockent des données sensibles de leurs clients, tels que numéro de CB, informations bancaires etc…

L’étude de Dashlane parue le 16 janvier dernier met en avant le manque de sécurité flagrant de la plus part des e-commerces français, dont certains très connus (Décathlon, Toupargel, Boulanger, …). Entre des mots de passe tels 123456 autorisés (il s’agit du mot de passe le plus utilisé en 2013), des accès aux informations beaucoup trop simples, l’enjeu pour ces sites n’est pas seulement de sécuriser leur données privées, mais c’est surtout de sécuriser les données de leurs clients, car le risque en termes de communication est énorme.

Securité = confiance

Aujourd’hui la mise en ligne de données personnelles est monnaie courante. Entre Facebook, Twitter et les autres réseaux sociaux, il est facile de presque tout savoir de la vie d’une personne. Certains commencent à se méfier de cette diffusion à outrance et souhaitent conserver un minimum d’anonymat sur la toile.

Certes, il convient à chacun d’entre nous de choisir un mot de passe sécurisé, de ne pas enregistrer d’informations sensibles sur un site. Mais il convient également à chaque site e-commerce d’aider l’internaute à se sécuriser lui-même. Car s’il y avait le moindre soucis, c’est le site qui serait incriminé en premier pour ne pas avoir suffisamment sécurisé ses données.

Si votre client sent que ses achats, ses données et son compte sont sécurisés, alors il aura une tendance naturelle à revenir acheter chez vous.

Quand la sécurité devient un axe de communication

Mais au delà de la simple fidélisation, la sécurité des données peut devenir un véritable axe de communication, ou inversement de délation. Régulièrement nous entendons des histoires de vol de millier de comptes sur tel ou tel site. Ce genre d’information met à mal la communication d’un site, et il est dur de gagner à nouveau la confiance du consommateur.

A l’inverse, lorsque la sécurité de votre site est optimale, il est bon de le signaler à vos clients pour les rassurer et les inciter à acheter chez vous en toute confiance. Il faut savoir que la sécurité de votre site web dans le processus d’achat et dans les comptes clients font partie intégrante de votre e-reputation

Comment communiquer?

Tout d’abord le premier réflexe doit être de créer une page sur votre site, accessible depuis la page d’accueil (à coté des CGV par exemple), parlant de la sécurité et conseillant vos clients sur la manière de choisir un mot de passe par exemple. De la même façon que la communication est faite dans une boutique physique (faites votre code à l’abris des regards indiscrets) n’hésitez pas à prodiguer des conseils tout au long du processus d’achat.

N’hésitez pas à utiliser des mots comme: pour votre sécurité, afin de sécuriser encore plus vos données, etc… lors de certaines communications (type maintenance du site).

Quelques règles simples

Sécuriser les données de vos utilisateurs n’est pas d’une complexité à toute épreuve. Quelques règles simples permettent déjà d’avoir un premier mur à franchir pour les hackeurs.

  • Assurez-vous que le mot de passe demandé pour un compte comporte au minimum 8 caractères et un mélange d’au moins une majuscule, une minuscule, un chiffre et une lettre.
  • Les mots de passe doivent impérativement être stockés de manière cryptée en base de données (souvent en md5 avec un code spécifique à votre site avant).
  • Assurez-vous que les mots de passe ne soient jamais envoyés par mail. Vous devez avoir un système de récupération des mots de passe automatique mais qui ne les divulgue jamais en clair.
  • Bloquez le nombre d’essai lors de tentative de saisie de mot de passe. Certains sites bloque temporairement le compte (par exemple 10mn) d’autres définitivement avec une réactivation par mail.
  • Ne communiquez JAMAIS vos accès Back-Office, ftp et base de donnée à un prestataire. Si un prestataire doit intervenir sur votre site vous devez lui créer des accès limités à son champ d’action et qui lui sont propre. Cela vous permettra de les révoquer facilement et surtout de suivre l’ensemble des interventions qu’il effectue sur votre site.
  • Enfin contactez votre hébergeur et assurez-vous avec lui que toutes les mesures de sécurités relatives aux hébergements sont bien en place: droit sur les fichiers limités, accès ftp et base de données sécurisées, etc…

Et surtout rappelez-vous que la sécurité des données sur Internet est l’affaire de tous, et que vous vous devez de tout faire pour que celle de vos clients soit optimale.

Etude Dashlane sur la sécurité des e-commerce Français

Etude Dashlane sur la sécurité des e-commerce Français (Cliquez pour agrandir)

Articles similaires

L'auteur

Sébastien Matagne

Diplômé en Marketing et Management de L’ISEG Bordeaux en 2004, j’ai décidé d’éprouver les concepts marketing théorique directement auprès de la clientèle finale pendant 6 années. Fort de cette expérience, j’associe mes 2 passions que sont l’informatique et le marketing en intégrant une SSII spécialisée dans le domaine du web en tant que Consultant Informatique et Responsable Marketing. Passionné par les nouvelles technologies, je reste toujours très curieux des différentes stratégies marketing gravitant autour.

 

4 Commentaires

  1. Certaines des consignes données dans ton article sont plutôt destinées à des développements maison comme pour le point 2 par exemple.

    En dehors de ça, il y a moyen de trouver des plugins sécurisant pour Prestasohp ou Magento par exemple (e-commerce). Mais si vous utilisez du WordPress avec WooCommerce, il y a moyen de trouver encore plus de plugin pour ‘blinder’ votre site’.

    Finalement, il y a aussi les bidouilles dans les htaccess (à base de dony from ou de RewriteCond sur le HTTP_USER_AGENT).

    • Bonjour et merci de votre commentaire.
      Il y a effectivement des conseils pour des solutions maisons, ou des des solutions cms. Mais on voit bien que certains e-commerce, existants aujourd’hui, n’applique pas ces basiques.
      Il convient donc, dans la recherche d’une éventuelle solution pour son e-commerce, de bien contrôler ces points, à minima.
      Ensuite comme vous le dites il existe de nombreux plugins permettant de renforcer la sécurité.

  2. L’article est extrêmement intéressant. D’autant plus qu’avec la part que commence à prendre le ecommerce dans certaines entreprises, une fuite d’informations pourrait être dramatique !
    Le conseil de ne pas partager son FTP ou CMS à un prestataire est bien vu ! On le voit encore tellement souvent aujourd’hui… Même pour de grosses entreprises !!

  3. Maintenant avec le Heartbleed, la sécurité est au cœur du débat e-marketing. Il faudra vraimeent travailler pour regagner la confiance des internautes :s

 

Laisser un commentaire via Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>