E-commerçants : comment établir une relation de confiance avec les cyberacheteurs ?

Quels sont les moyens que les cybermarchands et leurs partenaires hébergeurs-infogérants doivent mettre en œuvre pour donner confiance aux clients et surtout la conserver.

Les derniers chiffres publiés par la FEVAD sur les achats par Internet effectués à l'occasion des soldes de printemps sont éloquents : le succès du e-commerce ne se dément pas et croît mois après mois. Pourtant, les menaces sur cette activité sont de plus en plus réelles. En effet, les fraudes telles que le vol d'informations liées aux cartes bancaires sont parfois spectaculaires.

Prendre toutes les dispositions techniques et sécuritaires

1) Du côté des grandes enseignes de e-commerce

Les grandes enseignes de e-commerce doivent donner confiance et rassurer les internautes dès leur première visite. Pour ce faire, il faut d'abord mettre en place des certificats SSL de type Pro-EV qui activent le marquage en vert ou en bleu de la barre d’adresse du navigateur utilisé par l'internaute et lui signifient qu'il est bien sur un site protégeant la transmission de ses données personnelles. Le chargement rapide des pages (moins de 4 secondes) est le second signe rassurant pour l'internaute qui a ainsi le sentiment d'être sur un site géré de façon professionnelle et la certitude que sa transaction s'opérera rapidement, sans temps mort suspect. Il est aussi primordial que les références aux certifications de sécurité (SSL, Antivirus, PCI DSS, etc.) soient non seulement mises en place mais surtout mises en évidence, toujours dans l'optique de répondre par anticipation aux questions que se pose inéluctablement le client.
Il en va de même pour la solution de paiement bancaire qui doit être traitée par un tiers reconnu (banque nationale, PayPal, etc.) dûment identifié. Enfin, les coordonnées du service client du site doivent être bien visibles et les interlocuteurs joignables facilement (par un bouton de rappel téléphonique immédiat, un « Live Chat » temps réel, etc.), histoire encore une fois de rassurer l'internaute sur la suite possible à donner si son achat ne le satisfait pas.
L’hébergeur doit pousser les e-commerçants à utiliser un Firewall Applicatif (WAF), un système de gestion de clientèle (CMS) de renom, à installer des solutions applicatives personnalisées (côté serveur) et à adopter un environnement d’hébergement certifié PCI-DSS.

2) Du côté des « petits » cybermarchands

Deux paramètres fondamentaux impactent principalement le coût de la sécurisation d’une solution e-commerce : la garantie de disponibilité qui s'exprime notamment dans le contrat par des taux garantis de 99,95%, 99,99% ou 99,999% et l'existence d'un plan de reprise d’activité après sinistre, etc. Le trafic attendu est souvent proportionnel au chiffre d’affaires et donc à la « taille » du cybermarchand. De nombreuses solutions de e-commerce existent sur le marché, à tous les prix, mais il est indispensable de considérer la sécurité dès la conception de la plate-forme, pour en réduire le coût au maximum.
Les solutions offertes aux « petits » cybermarchands doivent intégrer nativement un très grand nombre d’éléments indispensables à la sécurité comme le pare-feu et le réseau privé virtuel, les logging et monitoring externalisés, un plan de reprise d’activité sur un data-centre distant et des mises à jour de sécurité accompagnées de tests d’intrusions sur la plate-forme de virtualisation elle-même.

Le rôle de l’hébergeur dans la protection des données clients

Globalement, le e-commerçant est responsable de la sécurité des données de ses clients vis à vis des autorités réglementaires. Il doit veiller prioritairement à ce que son hébergeur-infogérant lui garantisse :
- une sécurité basée sur des matériels non mutualisés (pare-feu, pare-feu applicatif (WAF), équilibreur de charge)
- la présence d'un réseau privé virtuel (VPN) : il donne un accès direct au back-office des sites web pour des interventions plus rapides,
-  la disponibilité de solutions de logging et de monitoring externalisées,
- une stricte dissociation et un cloisonnement entre les différentes composantes de la plate-forme (serveurs web, serveurs de cache, serveurs d’application, serveurs de bases de données, serveur de messagerie) pour éviter les effets domino,
- une pratique régulière des mises à jour de sécurité et des tests d’intrusion.

Toutes ces mesures peuvent sembler excessives ; elles constituent pourtant la base d'un site e-marchand professionnel.

La mise en conformité avec les nouvelles règles de confidentialité des données personnelles

Les nouvelles réglementations préparées par l'Union Européenne avec l'appui du G29, l'assemblée des CNILs européennes, visent à responsabiliser les cybermarchands. Par le service qu’il propose et le champ de ses responsabilités, l'hébergeur n'est finalement pas vraiment concerné par les problématiques de rétention et d’utilisation ultérieure des données personnelles. Cependant, certains hébergeurs préconisent des solutions pour sécuriser le stockage de ces données.
Les règles imposées par la norme PCI DSS s’appliquent à priori aux données liées aux cartes bancaires mais rien n’empêche d'utiliser ces règles élémentaires pour protéger de manière efficace tout autre type de données. Cependant, le stockage et la rétention des fichiers de logs incombent à la responsabilité de l’hébergeur. Dans ce cas, les règles de sécurité imposent le stockage des données sur de longues périodes, pour pouvoir, le cas échéant, reconstituer le scénario d'évènements passés sur un système. Pour autant, ces journaux de logs ne permettent pas l’identification directe d’un utilisateur.

Nouvelle tendance : le Patriot Act entraîne la méfiance des internautes

Certains hébergeurs internationaux stockent les données de leurs clients dans des data-centres situés aux Etats-Unis et qui sont soumises par conséquent au très controversé « Patriot Act ». Il est dans l’intérêt commercial de ces hébergeurs de disposer de data-centres implantés sur différents continents pour pouvoir donner le choix du data-centre à leurs clients. Enfin, il est important que les équipes de support soient présentes sur le sol français. Les clients sont sensibles à l’attention qui leur est apportée et à la réactivité du fournisseur en cas de problème technique.

Bien que mondialisées par la problématique du Cloud, les bases de données critiques manipulées par les cybermarchands sont ciblées par des attaques de plus en plus fréquentes qu'il faut savoir prévenir et juguler. Les entreprises de e-commerce responsables travaillent donc de plus en plus avec des hébergeurs-infogérants clairement identifiés, qui mettent toutes les cartes de leurs offres sur la table et les informent sur la localisation de leurs données et sur les moyens mis en œuvre pour les protéger et les gérer. Relation de confiance et transparence totale entre sites marchands et hébergeurs sont les éléments primordiaux d'un bon système de défense contre la cybercriminalité que les technologies et les savoir-faire sécuritaires viennent seulement ensuite renforcer et densifier. 

Autour du même sujet