Consulting sécurité e-Commerce

 

La sécurité est un élément clef d'une stratégie e-Commerce qui veut s'inscrire dans la durée : plus votre visibilité s'améliore, plus votre exposition aux risques augmente.

Or il existe très peu d’expertise dans ce domaine car elle nécessite autant une approche globale des systèmes informatiques très hétérogènes qu’une maîtrise fine des causes et mécanismes d’insécurités.

Exemples d'interventions sécurité e-Commerce :

  • Audit de sécurité e-Commerce : L’audit de sécurité permet de déterminer le niveau de sécurité d’un ensemble informatique,
  • Tests de sécurité e-Commerce : Les tests de sécurité permettent de vérifier si un niveau de sécurité pré-défini est atteint, et quels sont les manques par rapport au référentiel,
  • Plan de sécurité et suivi : Le plan de sécurité correspond à l’élaboration d’un plan d’amélioration de la sécurité informatique, ainsi qu’au suivi voire à l’application de ce plan d’amélioration,
  • Assistance à Maîtrise d’Ouvrage en Sécurité Informatique,
  • Formation à la sécurité e-commerce.

 

Panorama de la problématique sécurité en environnement e-Commerce :

Il existe trois grandes familles de menaces techniques :

  • Attaques sur les protocoles de communication
  • Attaques sur les systèmes et applications (standard ou spécifiques)
  • Attaques sur les informations

Des attaques d’ordre non technique présentent également une menace majeure, englobées dans le terme d’"ingéniérie sociale". Elles ont recours aux canaux humains pour obtenir des informations ou déclencher des actions.

Quelques exemples :

  • L’écoute passive ou active et le rejeu : Interception des informations, soit en transit entre l’utilisateur et le site, soit à l’une des extrémités (généralement le poste du client). Les keyloggers constituent un excellent exemple d’écoute active.
  • Substitution et manipulation de données : L’objectif est de présenter aux utilisateurs des informations qu’ils pensent (à tort) provenir de votre entreprise. L’un des vecteurs possibles est d’altérer les données gérées par une base de données, mais il existe de nombreux autres moyens. L’intérêt d’une telle attaque est que l’utilisateur est convaincu que l’information est authentique et agit/réagit en fonction de celle-ci.
  • Virus, chevaux de Troie et autres programmes malévolents : La terminologie "virus" est inadaptée, car trop générale pour décrire correctement l’ensemble des phénomènes concernés. Un programme malévolent est constitué de deux composants : le vecteur et la charge utile. Le vecteur correspond à l’utilisation d’une faille de sécurité. Ce n’est qu’un moyen (parmi beaucoup d’autres) d’amener la charge utile sur l’ordinateur cible, où elle sera exécutée. C’est le comportement de la charge utile qui intéresse l’attaquant : envoi de spam, blocage du serveur, modification de données, effacement de fichiers, etc.
  • Usurpation d’identité, phishing, pharming... : Il est facile d’envoyer un message électronique prétendant provenir d’un certain émetteur ; il est tout aussi facile de créer un site Web très semblable à un site légitime, et d’y amener vos utilisateurs ou clients. Ces risques sont avérés quotidiennement, et très difficiles à contrer. Il reste possible de limiter les conséquences, ou de rendre ce type d’usurpation d’identité suffisamment difficile pour que les attaquants s’en prennent à d’autres cibles.

D’où la nécessité de mettre en place 4 « types » de mesures pour la protection d’un site de e-Commerce :

  • Protection au niveau physique
  • Protection au niveau du serveur
  • Protection au niveau du réseau
  • Protection au niveau de l’application

La protection, à quelque niveau que ce soit, doit prendre en compte toutes les relations de confiance qui sont construites, explicitement ou implicitement.

Par exemple, vos sauvegardes (élément physique) présentent la même criticité que vos données (élément logique) et doivent être protégées de la même manière. Votre système peut recevoir des données d’un système tiers, qui constitue alors un vecteur d’attaque alors qu’il n’est pas sous votre supervision technique voire qu’il ne vous appartient pas. Un service mutualisé (une base de données mutualisée par exemple, typiquement chez des hébergeurs) peut être attaqué par l’intermédiaire d’un client vulnérable (une application Web fragile), et ce sont tous les systèmes dépendant de ce service qui sont victimes de l’attaque.