Rechercher 
Accueil

Services

Conseil e-commerce

Formation e-commerce

Edition de sites informatifs

Sécurité e-commerce

Valorisation d'activité e-commerce

Références

Vision du e-commerce

Equipe

Contact
Sécurité e-commerce

La sécurité est un élément clef d’une stratégie e-commerce qui veut s’inscrire dans la durée : plus votre visibilité s’améliore, plus votre exposition aux risques augmente.

Or il existe très peu d’expertise dans ce domaine car elle nécessite autant une approche globale des systèmes informatiques très hétérogènes qu’une maîtrise fine des causes et mécanismes d’insécurités.

C’est pourquoi Webcolibri intègre dans son offre les compétences d’un cabinet spécialisé en sécurité informatique.

Offre sécurité e-commerce Webcolibri :

-  Audit de sécurité L’audit de sécurité permet de déterminer le niveau de sécurité d’un ensemble informatique.
-  Tests de sécurité Les tests de sécurité permettent de vérifier si un niveau de sécurité pré-défini est atteint, et quels sont les manques par rapport au référentiel.
-  Plan de sécurité et suivi Le plan de sécurité correspond à l’élaboration d’un plan d’amélioration de la sécurité informatique, ainsi qu’au suivi voire à l’application de ce plan d’amélioration.
-  Assistance à Maîtrise d’Ouvrage en Sécurité Informatique
-  Formation à la sécurité e-commerce

Panorama de la problématique sécurité en environnement e-commerce :

Il existe trois grandes familles de menaces techniques :

-  Attaques sur les protocoles de communication
-  Attaques sur les systèmes et applications (standard ou spécifiques)
-  Attaques sur les informations

Des attaques d’ordre non technique présentent également une menace majeure, englobées dans le terme d’"ingéniérie sociale". Elles ont recours aux canaux humains pour obtenir des informations ou déclencher des actions.

Quelques exemples :

-  L’écoute passive ou active et le rejeu : Interception des informations, soit en transit entre l’utilisateur et le site, soit à l’une des extrémités (généralement le poste du client). Les keyloggers (http://www.ba-cst.com/content/view/60/49/) constituent un excellent exemple d’écoute active.

-  Substitution et manipulation de données : L’objectif est de présenter aux utilisateurs des informations qu’ils pensent (à tort) provenir de votre entreprise. L’un des vecteurs possibles est d’altérer les données gérées par une base de données, mais il existe de nombreux autres moyens. L’intérêt d’une telle attaque est que l’utilisateur est convaincu que l’information est authentique et agit/réagit en fonction de celle-ci.

-  Virus, chevaux de Troie et autres programmes malévolents : La terminologie "virus" est inadaptée, car trop générale pour décrire correctement l’ensemble des phénomènes concernés. Un programme malévolent est constitué de deux composants : le vecteur et la charge utile. Le vecteur correspond à l’utilisation d’une faille de sécurité. Ce n’est qu’un moyen (parmi beaucoup d’autres) d’amener la charge utile sur l’ordinateur cible, où elle sera exécutée. C’est le comportement de la charge utile qui intéresse l’attaquant : envoi de spam, blocage du serveur, modification de données, effacement de fichiers, etc.

-  Usurpation d’identité, phishing, pharming... : Il est facile d’envoyer un message électronique prétendant provenir d’un certain émetteur ; il est tout aussi facile de créer un site Web très semblable à un site légitime, et d’y amener vos utilisateurs ou clients. Ces risques sont avérés quotidiennement, et très difficiles à contrer. Il reste possible de limiter les conséquences, ou de rendre ce type d’usurpation d’identité suffisamment difficile pour que les attaquants s’en prennent à d’autres cibles.

D’où la nécessité de mettre en place 4 « types » de mesures pour la protection d’un site de e-commerce :

-  Protection au niveau physique
-  Protection au niveau du serveur
-  Protection au niveau du réseau
-  Protection au niveau de l’application

La protection, à quelque niveau que ce soit, doit prendre en compte toutes les relations de confiance qui sont construites, explicitement ou implicitement. Par exemple, vos sauvegardes (élément physique) présentent la même criticité que vos données (élément logique) et doivent être protégées de la même manière. Votre système peut recevoir des données d’un système tiers, qui constitue alors un vecteur d’attaque alors qu’il n’est pas sous votre supervision technique voire qu’il ne vous appartient pas. Un service mutualisé (une base de données mutualisée par exemple, typiquement chez des hébergeurs) peut être attaqué par l’intermédiaire d’un client vulnérable (une application Web fragile), et ce sont tous les systèmes dépendant de ce service qui sont victimes de l’attaque.
Conseil e-commerce | Formation e-commerce | Edition de sites informatifs | Sécurité e-commerce | Valorisation d’activité e-commerce | E-commerce et réduction des coûts de transaction | E-commerce et vente à distance | E-commerce et solutions | E-commerce et connaissance du marché | E-commerce et habitudes de consommation | Web invisible et recherche d’information | Web 2.0 et e-commerce | E-commerce et avenir du catalogue papier | E-commerce choisir un prestataire | E-commerce et fêtes de fin d’année | Progression du e-commerce en 2006 et opportunités | Soldes et e-commerce

Contact | Mentions légales

Copyright © 2005 WebColibri - Tous droits réservés, reproduction interdite

Valid CSS!   Valid HTML 4.01 Transitional