Publicité
+ Répondre à la discussion Actualité déjà publiée
Affichage des résultats 1 à 8 sur 8
  1. #1
    Expert Confirmé Sénior

    Inscrit en
    juillet 2009
    Messages
    3 430
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 430
    Points : 148 624
    Points
    148 624

    Par défaut Les entreprises de e-commerce sécurisent-elles assez leurs sites ?

    61 % des sites malveillants sont des sites « normaux » infectés
    D’après Symantec : les entreprises de e-commerce sécurisent-elles assez leurs sites ?


    D’après Symantec, la contamination via des sites web légitimes est un problème de taille : 61 % des sites malveillants sont en effet des sites « normaux » qui auraient été infectés.

    « En moyenne, chaque jour, 9 314 sites web malveillants sont identifiés et 1,5 million de personnes sont victimes de cybercriminels, soit 18 personnes par seconde », explique l'éditeur.

    Ce qui pose la question de savoir comment ces sites sont sécurisés. Notamment pour les plus sensibles (après ceux des banques) et les plus fréquentés que sont les sites de e-commerce.

    Des sites particuliers pour lesquels l’éditeur vient de publier 10 conseils. Que voici :

    1. Sécuriser complétement la navigation en optant pour le protocole SSL sur toutes les pages.
    2. Utiliser des certificats SSL avec Extended Validation, identifiables par la barre d'adresse verte.
    3. Surveiller les tentatives de connexion de sites hôtes douteux ou pirates sur les serveurs.
    4. Mettre en place des dispositifs matériels de sécurité pour protéger les actifs du vol.
    5. Opter pour des infrastructures distinctes pour les contrôles de signature en environnement de pré-production puis de production.
    6. S’assurer que les certificats numériques soient fournis par une autorité de certification reconnue
    7. Analyser chaque jour le contenu du site web pour détecter à temps toute infection et repérer d'éventuelles vulnérabilités.
    8. Placer l’infrastructure réseau sous surveillance afin de détecter les tentatives d'intrusion, de contamination et toute autre activité douteuse.
    9. Conserver ses clés dans des systèmes physiques de chiffrement sécurisés pour garantir l'intégrité des certificats numériques.
    10. Rassurer les clients en mettant en évidence la marque ou le sceau d'un fournisseur qui assure une navigation sécurisée.

    Des conseils de bon sens mais qui, visiblement ne seraient encore pas suffisamment appliqués.

    Et vous ? Les appliquez-vous ?

    Source : Symantec

    Débat

    Les entreprises de e-commerce vous paraissent-elle sécuriser suffisamment leurs sites ?

  2. #2
    Expert Confirmé Sénior
    Avatar de transgohan
    Homme Profil pro Baptiste ROUSSEL
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    1 745
    Détails du profil
    Informations personnelles :
    Nom : Homme Baptiste ROUSSEL
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 745
    Points : 4 690
    Points
    4 690

    Par défaut

    Quand on s'insurge devant les problèmes de sécurité d'une application on a souvent la réponse suivante :
    - " On est pas une banque et ce logiciel n'est pas non plus pour l'armée. Alors arrête de m'emmerder. "
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  3. #3
    Membre émérite Avatar de Etre_Libre
    Inscrit en
    juillet 2010
    Messages
    638
    Détails du profil
    Informations forums :
    Inscription : juillet 2010
    Messages : 638
    Points : 818
    Points
    818

    Par défaut

    Etre un minimum vigilant je suis d'accord, mais la liste indiquée par Symantec... je trouve ça un peu exagéré.

    Et puis ils ont un intérêt à faire peur, ils vendent des logiciels de "sécurité"

  4. #4
    Membre émérite
    Homme Profil pro Matthieu Vergne
    Doctorant (Ingénierie des Exigences)
    Inscrit en
    novembre 2011
    Messages
    511
    Détails du profil
    Informations personnelles :
    Nom : Homme Matthieu Vergne
    Localisation : France

    Informations professionnelles :
    Activité : Doctorant (Ingénierie des Exigences)
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 511
    Points : 982
    Points
    982

    Par défaut

    Euh... règles de bon sens ? J'irais pas jusque là. Le bon sens veut que l'on soit conscient qu'une sécurité de 100% n'est pas faisable et qu'une attention continue est nécessaire, mais de là à dire que le bon sens c'est :
    - connaître des techniques spécifiques (SSL, certificats avec Extended Validation)
    - avoir en tête que le site fait pour des utilisateurs humain lambda peut-être exploité au travers de proxy, bots, scripts en tous genres, etc.
    - avoir une idée de quelles données devraient être gérées séparément des autres plutôt que de tout avoir dans une base de donnée commune
    - se farcir continuellement le nouveau contenu du site pour identifier (à supposer qu'on ait les capacités pour) les tentatives d'attaques et autres
    - Maîtriser les outils de sécurité pour la surveillance des réseaux

    Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.

    Si la sécurité est un point critique, alors oui ils devraient avoir quelqu'un qui s'occupe de ça, après à eux de voir leurs priorités et leurs moyens. Mais de là à dire que c'est du bon sens... C'est du bon sens pour quelqu'un expert en sécurité, mais là on se joue de tautologie presque. La question de bon sens serait plutôt "est-ce que les sites faisant de la sécurité de leur site un point critique on les bons experts ?". Mais là on sort des recommandations de Symantec, qui sont pour les experts sécurité, pas pour les gérants de site web à proprement parler.

  5. #5
    Expert Confirmé Sénior
    Avatar de Katyucha
    Profil pro
    Ingénieur systèmes Linux/Unix/SAN
    Inscrit en
    mars 2004
    Messages
    3 264
    Détails du profil
    Informations personnelles :
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Ingénieur systèmes Linux/Unix/SAN

    Informations forums :
    Inscription : mars 2004
    Messages : 3 264
    Points : 5 277
    Points
    5 277

    Par défaut

    Citation Envoyé par Matthieu Vergne Voir le message
    E
    Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.
    Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités
    Ancien Rédacteur Linux && Unix / Nouveau retraité de DVP
    "En face, c'est des c**s, alors au premier regroupement, il faut qu'ils discutent avec les taupes."

    Je ne réponds ni aux messages privées, ni aux messages plein de fautes...

  6. #6
    Expert Confirmé Avatar de ericd69
    Homme Profil pro Eric Dureuil
    Développeur informatique
    Inscrit en
    avril 2011
    Messages
    1 895
    Détails du profil
    Informations personnelles :
    Nom : Homme Eric Dureuil
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2011
    Messages : 1 895
    Points : 3 207
    Points
    3 207

    Par défaut

    Tu es même juridiquement responsable car le commerçant (ou ton client) peut se retourner contre toi pour faute (défaut de sécurisation ou d'information)... et là vaut mieux avoir des moyens s'il décide de se retourner contre toi...

    Le problème est aussi que beaucoup de gens acceptent (bon gré, malgré plus souvent) de faire des choses qu'il ne maitrisent pas...

    combien de SSI (ou autres) utilisent des gens à qui on demande d'être DBA, administrateurs systèmes (sécurité serveur, LAMP, réseau, capable de faire de la virtualisation, etc...), programmeur dans 5 ou 6 langages dont le sql... et bien sur en maitrisant tout... C'est pas les offres comme ça qui manquent...

    On oublie juste (bien volontairement) que c'est des métiers à part entière... c'est comme demander à un médecin généraliste de venir remplacer un neurologue pour une opération sur votre cerveau... qui tenterait ça? pourtant ils sont tous les 2 médecins et ont 8 ans de formation en commun minimum...

    De la même manière on réduit le plus possible les temps avant mise en production... donc moins de tests...

    Après faut pas pleurer que beaucoup de logiciels et de sites soient piratés car en face les pirates sont des spécialistes du domaine sur lesquels ils agissent

    Pour les problèmes de payement en ligne je rappelle que les banques offrants des compte pour entreprises fournissent toute des services de payement à intégrer dans une solution en ligne... aucune infos bancaire ne transite directement par ton site ou ton application... et la responsabilité en cas de problème... est sur la banque (dont c'est le METIER je rappelle)

    Pour le SSL déjà le problème des certificats est le cout et la diversité des offres ainsi que l'évolution rapide de la réglementation... ensuite même les agences de certification sont loin d'être si fiables (une a été piraté dernièrement et le groupe de sécurité la gérant a mis fin à son activité pour limiter la polémique) et en plus aucune vérification n'est fait sur la corrélation entre le pays du site et celui de l'agence de certification... ce qui fait qu'un site .us ou . fr peut être certifié par une agence russe ou chinoise... quand on sait les risques de corruption dans ses pays, ça fait réfléchir... et d'ailleurs ça fait polémique actuellement au niveau des gens qui sont du domaine ou ceux qui crée les navigateurs...

    Bref rien n'est parfait et ne sera jamais sécurisé mais faut avoir conscience qu'on est dans un monde où on adore mettre en procès pour avoir un responsable qui payera les pertes financières occasionnées par les problèmes de sécurité...

    Donc c'est clair qu'après faut pas être paranoïaque non plus et adapter la sécurité au besoin réel et bien le prendre en considération... au final leur règle sont ingérables pour la plupart des projets et il faudrait être prêt à débourser entre 200 et 1000€ environ par an rien que pour mettre en œuvre ce qu'il préconisent pour le moindre site au niveau des certificats de sécurité selon l'agence qu'on choisit...

    donc à méditer
    soyons pensez à mettre quand votre problème est résolu ou à utiliser pour les réponses pertinentes...
    ne posez pas de problématique soi-disant simplifiée sur des problèmes que vous n'êtes pas capable de résoudre par respect pour ceux qui planchent dessus... sinon: et à utiliser pour insérer votre code...

  7. #7
    Membre émérite Avatar de messinese
    Homme Profil pro Jean-marie Bourbon
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean-marie Bourbon
    Âge : 33
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 859
    Points
    859

    Par défaut

    Citation Envoyé par Katyucha Voir le message
    Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités
    Pour ma part je comprend les 2 partis cela dis je pencherai pour ce que dit "Matthieu Vergne " c'est un domaine à part entière, trés complexe et à 1000 lignes de code du travail de dev.

    Etre dev en web et fin connaisseur en sécurité c'est extremement rare et c'es tun peu comem dire à un maçon qu'il doit aussi etre électricien: 2 domaines disctincts, certe complémentaire mais différents.

    D'ailleurs parle sécu avec un dev web ou applicatif et tu le comprendra dessuite .. (je parle de VRAIE sécu (Nosql injection, Time Bases SQL injection en web par exemple) , pas des "bases" apprise en cours).

    Cdlt.

  8. #8
    Membre émérite
    Homme Profil pro Matthieu Vergne
    Doctorant (Ingénierie des Exigences)
    Inscrit en
    novembre 2011
    Messages
    511
    Détails du profil
    Informations personnelles :
    Nom : Homme Matthieu Vergne
    Localisation : France

    Informations professionnelles :
    Activité : Doctorant (Ingénierie des Exigences)
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 511
    Points : 982
    Points
    982

    Par défaut

    Ba, ce qui m'embête le plus, c'est de voir dans l'article qu'on parle de bon sens alors qu'on parle en fait d'expertise. L'expertise est à l'opposé du bon sens, justement parce qu'il faut savoir pour ne pas faire de boulette, alors que le bon sens, alias sens commun, c'est ce que sait monsieur tout-le-monde, et donc pas besoin d'être un spécialiste, n'importe qui peut remarquer la boulette.

    Si je prends un développeur ou un administrateur Web et que je lui parle de protocole SSL et de certificats avec Extended Validation, je m'attends plus à avoir des yeux ronds qu'un "oui, bien sûr, c'est évident". Moi qui sait ce qu'est un certificat mais qui n'ai jamais entendu parler d'Extended Validation avant cet article, alors que de la prog Web j'en fais depuis quelques années déjà et la sécurisation de site Web j'y ait déjà touché, est-ce que ça remet en cause mes compétences Web ? Est-ce que ça fait de moi un noob en gestion de site Web ?

    Les recommandations, comme décrit un peu rapidement dans l'article, sont pour les sites Web sensibles (qui ont donc un besoin de sécurité et surtout des objectifs critiques à assurer). Faire passer ça pour du bon sens... je me suis senti un peu con sur le coup perso.

    Bref, on peut résumer ça à un mauvais choix de terme. Si j'avais lu "Des conseils aujourd'hui communs dans le domaine de la sécurité", j'aurais sûrement rien dit.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •