Contactez-nous ?

Sécurité des paiements en ligne : 6 bonnes pratiques pour les e-commerces

Table des matières

Décidément, la parenthèse pandémique a définitivement ancré le e-commerce dans le quotidien des Français. En 2022, ils ont dépensé plus de 147 milliards d’euros en ligne, soit un taux de croissance de 13.8 % dans une conjoncture pourtant compliquée (Fevad). Dans le détail, chaque Français réalise, en moyenne, 54 achats en ligne par an pour un panier moyen de 54 €.

Et les entreprises s’y mettent aussi, puisque les acheteurs du B2B se disent désormais plus enclins à acheter en ligne plutôt qu’à passer par un représentant commercial. D’ailleurs, le e-commerce B2B est passé devant le B2C en valeur… pas étonnant avec un panier moyen 25 fois supérieur.

Dans un contexte réglementaire toujours plus exigeant, l’engouement des particuliers et des entreprises pour l’achat en ligne pose la question de la sécurité des données. Car au-delà de l’exposition aux sanctions (prévues par le RGPD notamment), les entreprises qui pêchent par négligence verront la confiance de leurs clients s’éroder, sans doute irréversiblement.

Comment donc sécuriser son système de paiement en ligne ? Voici 6 bonnes pratiques INCONTOURNABLES pour répondre à l’attente du paiement en ligne en toute sérénité.


#1 On évite les plateformes de paiement exotiques ou shady

Le choix de la plateforme de paiement n’est pas une mince affaire, car vous lui confierez la partie la plus critique du parcours d’achat. Notre conseil : ne vous éloignez pas des leaders que tout le monde connaît comme Stripe, PayPal ou encore Adyen.

S’ils dominent le marché, ce n’est pas (du tout) par hasard. Ils sont conformes aux normes PCI DSS et investissent en continu pour développer des algorithmes de lutte contre la fraude. Petit comparatif rapide :

 StripePayPalAyden
Principale forceStripe fournit des modules prêts à l’emploi pour des CMS e-commerce très utilisés (Shopify, Magento, WooCommerce).La présence de PayPal lors du processus de paiement rassure les clients grâce à sa notoriété mondiale (plus de 392 millions d’utilisateurs actifs).Les entreprises qui ciblent différents marchés internationaux apprécieront la capacité d’Ayden à traiter des méthodes de paiement locales comme Alipay en Chine et Boleto au Brésil.
SécuritéStripe utilise la tokenisation. La plateforme capture et convertit automatiquement les informations de paiement en un « jeton » unique.   Les détails de la carte ne sont jamais stockés sur les serveurs de l’entreprise, et la compromission des données ne permet pas de pirater des comptes.PayPal n’est pas seulement un intermédiaire de paiement. La solution propose également un système de surveillance qui analyse activement les transactions pour détecter et prévenir les activités frauduleuses.Adyen utilise des données comportementales pour identifier les activités suspectes pendant le processus de paiement pour une intervention rapide en cas de tentatives frauduleuses.


#2 Le HTTPS, ce n’est pas qu’un « s » ajouté au HTTP !

Petit topo rapide : le HTTPS utilise le protocole SSL (Secure Socket Layer) ou TLS (Transport Layer Security) pour chiffrer les données transmises entre le navigateur de l’utilisateur et le serveur web. Ce chiffrement garantit que les données, comme les détails de la carte de crédit et les identifiants, sont à l’abri des interceptions malveillantes pendant leur transfert.

Comment on fait ? Voici un mini-guide, pas-à-pas :

  1. Choisissez une autorité de certification (comme DigiCert, Let’s Encrypt, ou GlobalSign) et achetez un certificat SSL/TLS. Le choix du certificat dépendra de vos besoins (certificat unique, pour plusieurs sous-domaines ou pour plusieurs domaines)
  2. Installez le certificat sur votre serveur web. Ce processus varie selon le serveur que vous utilisez (Apache, Nginx, etc.), mais votre hébergeur ou l’autorité de certification vous fourniront des instructions spécifiques
  3. Configurez votre serveur web pour utiliser le chiffrement SSL/TLS. Vous allez rediriger le trafic HTTP vers HTTPS et mettre à jour les paramètres pour utiliser le certificat SSL/TLS installé
  4. Assurez-vous que toutes les ressources de votre site (images, scripts, CSS) sont chargées via HTTPS pour éviter les problèmes de « contenu mixte », où certaines ressources sont chargées en HTTP sur une page HTTPS
  5. Mettez en place des redirections permanentes (301) de vos anciennes URL HTTP vers les nouvelles URL HTTPS. Objectif : faire en sorte que les utilisateurs et les moteurs de recherche soient automatiquement dirigés vers la version sécurisée de votre site
  6. Mettez à jour vos fichiers Sitemap et robots.txt pour refléter le changement vers HTTPS. Soumettez également le nouveau Sitemap à la Google Search Console pour que les moteurs de recherche soient rapidement informés du changement
  7. Surveillez régulièrement la validité de votre certificat et renouvelez-le avant son expiration

La migration vers le HTTPS n’a pas que des avantages pour la sécurité des transactions en ligne. Les navigateurs indiquent clairement le niveau de sécurité d’un site à l’utilisateur avec un cadenas ou une notification de sécurité. C’est un indicateur de confiance pour l’internaute qui sera plus enclin à cliquer.


#3 On assure l’intégrité des données avec le Data Quality Management

Après tout, pourquoi mettre un rempart impénétrable sur son site e-commerce si l’information qu’il protège est erronée ou obsolète ?

L’utilisation de solutions de Data Quality Management (DQM) est un investissement stratégique avec un très bon ROI. L’idée est de nettoyer et d’assainir votre base de données existante, de vérifier la validité et l’exactitude des données lors de leur saisie sur le formulaire de contact et, par ricochet, de générer des avantages business (meilleure performance des campagnes marketing, moins d’erreurs dans la livraison des colis, confiance renforcée des clients, etc.).

Quelques éléments à garder en tête :

  1. Lorsqu’un client remplit un formulaire en ligne, il peut y avoir des erreurs innocentes et des tentatives d’intrusion ou de fraude. Votre solution DQM va examiner ces entrées en temps réel pour s’assurer de leur validité. Par exemple, est-ce que l’adresse email fournie est correctement formatée ? Est-ce que le code postal correspond à la ville mentionnée ? Tout cela est vérifié avant la saisie sur la base de données.
  2. Au fil du temps, même les bases de données les plus rigoureusement gérées peuvent se remplir d’informations obsolètes ou dupliquées. Un DQM efficace parcourt ces données, identifie et supprime les doublons, corrige les erreurs évidentes et peut même enrichir les données existantes en les complétant avec des informations pertinentes et à jour.
  3. Pour les e-commerces qui gèrent des données à partir de plusieurs sources (magasin en ligne, magasin physique, applications mobiles), toutes ces informations doivent être cohérentes. Et c’est aussi l’une des tâches du DQM.

Le Data Quality Management n’est pas seulement une question de « nettoyage » des données. C’est une démarche proactive pour assurer l’intégrité des informations, optimiser les opérations et fournir une meilleure expérience utilisateur.

Data Enso a justement développé des solutions intuitives, simples et 100 % conformes au RGPD à destination des e-commerces. Nous sommes en mesure de nettoyer vos bases de données existantes sous 48 heures et d’agir en préventif pour que toutes les informations clients saisies sur vos formulaires soient passées au crible. Testez-nous gratuitement et sans engagement !


#4 L’authentification forte du client (SCA) : une obligation en vertu de la DSP2, à quelques exceptions

L’authentification forte du client, ou SCA (pour Strong Customer Authentication), est l’une des exigences clés de la Directive sur les services de paiement 2 (DSP2) en Europe.

Concrètement, la SCA exige que les transactions en ligne soient validées en utilisant au moins deux des trois éléments suivants :

  1. Connaissance : quelque chose que seul l’utilisateur sait (par exemple, un mot de passe ou un code PIN)
  2. Possession : quelque chose que seul l’utilisateur possède (par exemple, une carte bancaire ou un téléphone portable)
  3. Inhérence : quelque chose que l’utilisateur « est » (par exemple, une empreinte digitale ou une reconnaissance faciale)

Je suis un site web e-commerce français. Suis-je concerné ? La SCA est obligatoire pour toutes les transactions en ligne initiées par le consommateur au sein de l’EEE (Espace Économique Européen) où à la fois le commerçant et la banque du titulaire de la carte sont situés dans l’EEE. En d’autres termes, pour un site e-commerce français qui traite des paiements avec des consommateurs utilisant des cartes émises par des banques de l’EEE, la mise en œuvre de la SCA est une obligation.

Si c’est une obligation, où est la bonne pratique ? Elle réside précisément dans les exceptions à la SCA. La loi vous autorise à passer outre cette double authentification pour fluidifier le parcours d’achat, et il serait dommage de s’en priver. Elles sont au nombre de quatre :

  1. Si la transaction est considérée comme étant à faible risque par la banque grâce à une analyse en temps réel des risques de la transaction, elle peut être exemptée (même utilisateur sur le même appareil selon un schéma habituel, etc.)
  2. Les paiements inférieurs à 30 € peuvent être exemptés. En revanche, si cinq paiements consécutifs sont effectués ou si la valeur totale dépasse 100 €, la SCA sera exigée
  3. Les paiements récurrents de même montant au même commerçant peuvent être exemptés après authentification de la première transaction
  4. Les consommateurs peuvent ajouter des commerçants à une « liste blanche » avec leur banque pour éviter l’authentification à chaque fois.


#5 L’audit et le test de vulnérabilité ne sont pas réservés aux géants du e-commerce

Même si vous n’êtes pas un géant comme Amazon ou Alibaba, la sécurité de votre site e-commerce ne supportera aucune négligence si vous avez de grandes ambitions. A savoir : les cybercriminels ciblent le plus souvent les PME car elles sont moins bien protégées.

N’hésitez donc pas à évaluer régulièrement la robustesse de votre système contre ces menaces à travers des mini-audits et des tests de vulnérabilité.

Ce que vous pouvez faire vous-même :

  • Familiarisez-vous avec les concepts de base des vulnérabilités courantes comme les injections SQL ou les attaques XSS. Un petit cours sur YouTube ou un tour sur ChatGPT 4 feront l’affaire
  • Utilisez des outils de scan gratuits comme OpenVAS ou OWASP ZAP. Vous aurez un rapport détaillé sur les problèmes de sécurité de votre e-commerce et des recommandations pour y remédier
  • Examinez vos formulaires de contact avec un test d’injection, un Cross-Site Scripting (XSS), une vérification des limites des champs, etc. Si vous n’avez rien compris à ces termes, sollicitez un prestataire externe.

Ce qu’un expert de la cybersécurité peut faire pour vous :

  • Interprétation des résultats d’un scan automatisé
  • Penetration Testing (PenTest) pour simuler une véritable cyberattaque
  • Mise en œuvre des correctifs.


#6 On forme et on sensibilise ses collaborateurs

C’est un fait : dans l’écosystème d’un e-commerce sérieux, le maillon le plus faible n’est pas la technologie. C’est l’humain.

Le responsable marketing, le patron, le rédacteur, le service client, le comptable… chaque collaborateur peut être une porte d’entrée pour les menaces si des précautions basiques ne sont pas prises. La formation et la sensibilisation des employés sont donc indispensables pour sécuriser l’activité.

Voici les mots-clés de votre formation : travailler la maîtrise des risques courants comme le Phishing et les attaques par « ingénierie sociale », sensibiliser à l’importance des mises à jour régulières et à l’utilisation des gestionnaires de mots de passe, instaurer la culture de la « sécurité avant tout », déterminer le comportement à adopter en cas de soupçon de compromission ou d’incident de sécurité…

Le Blog de la data quality

Contact

+33 (0)1 47 72 79 61

Je prends Rendez-vous
Newsletters
Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.