IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les entreprises de e-commerce sécurisent-elles assez leurs sites ?


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut Les entreprises de e-commerce sécurisent-elles assez leurs sites ?
    61 % des sites malveillants sont des sites « normaux » infectés
    D’après Symantec : les entreprises de e-commerce sécurisent-elles assez leurs sites ?


    D’après Symantec, la contamination via des sites web légitimes est un problème de taille : 61 % des sites malveillants sont en effet des sites « normaux » qui auraient été infectés.

    « En moyenne, chaque jour, 9 314 sites web malveillants sont identifiés et 1,5 million de personnes sont victimes de cybercriminels, soit 18 personnes par seconde », explique l'éditeur.

    Ce qui pose la question de savoir comment ces sites sont sécurisés. Notamment pour les plus sensibles (après ceux des banques) et les plus fréquentés que sont les sites de e-commerce.

    Des sites particuliers pour lesquels l’éditeur vient de publier 10 conseils. Que voici :

    1. Sécuriser complétement la navigation en optant pour le protocole SSL sur toutes les pages.
    2. Utiliser des certificats SSL avec Extended Validation, identifiables par la barre d'adresse verte.
    3. Surveiller les tentatives de connexion de sites hôtes douteux ou pirates sur les serveurs.
    4. Mettre en place des dispositifs matériels de sécurité pour protéger les actifs du vol.
    5. Opter pour des infrastructures distinctes pour les contrôles de signature en environnement de pré-production puis de production.
    6. S’assurer que les certificats numériques soient fournis par une autorité de certification reconnue
    7. Analyser chaque jour le contenu du site web pour détecter à temps toute infection et repérer d'éventuelles vulnérabilités.
    8. Placer l’infrastructure réseau sous surveillance afin de détecter les tentatives d'intrusion, de contamination et toute autre activité douteuse.
    9. Conserver ses clés dans des systèmes physiques de chiffrement sécurisés pour garantir l'intégrité des certificats numériques.
    10. Rassurer les clients en mettant en évidence la marque ou le sceau d'un fournisseur qui assure une navigation sécurisée.

    Des conseils de bon sens mais qui, visiblement ne seraient encore pas suffisamment appliqués.

    Et vous ? Les appliquez-vous ?

    Source : Symantec

    Débat

    Les entreprises de e-commerce vous paraissent-elle sécuriser suffisamment leurs sites ?

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 391
    Points
    9 391
    Par défaut
    Quand on s'insurge devant les problèmes de sécurité d'une application on a souvent la réponse suivante :
    - " On est pas une banque et ce logiciel n'est pas non plus pour l'armée. Alors arrête de m'emmerder. "

  3. #3
    Membre éprouvé Avatar de Etre_Libre
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    751
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 751
    Points : 1 010
    Points
    1 010
    Par défaut
    Etre un minimum vigilant je suis d'accord, mais la liste indiquée par Symantec... je trouve ça un peu exagéré.

    Et puis ils ont un intérêt à faire peur, ils vendent des logiciels de "sécurité"

  4. #4
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 273
    Points : 7 807
    Points
    7 807
    Billets dans le blog
    3
    Par défaut
    Euh... règles de bon sens ? J'irais pas jusque là. Le bon sens veut que l'on soit conscient qu'une sécurité de 100% n'est pas faisable et qu'une attention continue est nécessaire, mais de là à dire que le bon sens c'est :
    - connaître des techniques spécifiques (SSL, certificats avec Extended Validation)
    - avoir en tête que le site fait pour des utilisateurs humain lambda peut-être exploité au travers de proxy, bots, scripts en tous genres, etc.
    - avoir une idée de quelles données devraient être gérées séparément des autres plutôt que de tout avoir dans une base de donnée commune
    - se farcir continuellement le nouveau contenu du site pour identifier (à supposer qu'on ait les capacités pour) les tentatives d'attaques et autres
    - Maîtriser les outils de sécurité pour la surveillance des réseaux

    Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.

    Si la sécurité est un point critique, alors oui ils devraient avoir quelqu'un qui s'occupe de ça, après à eux de voir leurs priorités et leurs moyens. Mais de là à dire que c'est du bon sens... C'est du bon sens pour quelqu'un expert en sécurité, mais là on se joue de tautologie presque. La question de bon sens serait plutôt "est-ce que les sites faisant de la sécurité de leur site un point critique on les bons experts ?". Mais là on sort des recommandations de Symantec, qui sont pour les experts sécurité, pas pour les gérants de site web à proprement parler.

  5. #5
    Expert confirmé
    Avatar de Katyucha
    Femme Profil pro
    DevUxSecScrumOps Full Stack Bullshit
    Inscrit en
    Mars 2004
    Messages
    3 287
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Irlande

    Informations professionnelles :
    Activité : DevUxSecScrumOps Full Stack Bullshit

    Informations forums :
    Inscription : Mars 2004
    Messages : 3 287
    Points : 5 075
    Points
    5 075
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    E
    Pour des admins webs... non on est loin du bon sens. Un admin Web peut-être connaisseur des techniques de sécurité, mais c'est pas son job premier. Faire que le site ne plante pas, tienne la charge, gère les backups correctement, gère la communauté d'utilisateurs et autres détails relatifs aux spécificités du site, là oui on peut parler de bon sens pour un admin Web. Du reste, c'est des connaissances un minimum avancées en sécurité et piratage et il y a des études spécifiques pour ça, autrement dit c'est un job à part entière.
    Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités

  6. #6
    Membre expert
    Avatar de ericd69
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2011
    Messages
    1 919
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2011
    Messages : 1 919
    Points : 3 295
    Points
    3 295
    Billets dans le blog
    1
    Par défaut
    Tu es même juridiquement responsable car le commerçant (ou ton client) peut se retourner contre toi pour faute (défaut de sécurisation ou d'information)... et là vaut mieux avoir des moyens s'il décide de se retourner contre toi...

    Le problème est aussi que beaucoup de gens acceptent (bon gré, malgré plus souvent) de faire des choses qu'il ne maitrisent pas...

    combien de SSI (ou autres) utilisent des gens à qui on demande d'être DBA, administrateurs systèmes (sécurité serveur, LAMP, réseau, capable de faire de la virtualisation, etc...), programmeur dans 5 ou 6 langages dont le sql... et bien sur en maitrisant tout... C'est pas les offres comme ça qui manquent...

    On oublie juste (bien volontairement) que c'est des métiers à part entière... c'est comme demander à un médecin généraliste de venir remplacer un neurologue pour une opération sur votre cerveau... qui tenterait ça? pourtant ils sont tous les 2 médecins et ont 8 ans de formation en commun minimum...

    De la même manière on réduit le plus possible les temps avant mise en production... donc moins de tests...

    Après faut pas pleurer que beaucoup de logiciels et de sites soient piratés car en face les pirates sont des spécialistes du domaine sur lesquels ils agissent

    Pour les problèmes de payement en ligne je rappelle que les banques offrants des compte pour entreprises fournissent toute des services de payement à intégrer dans une solution en ligne... aucune infos bancaire ne transite directement par ton site ou ton application... et la responsabilité en cas de problème... est sur la banque (dont c'est le METIER je rappelle)

    Pour le SSL déjà le problème des certificats est le cout et la diversité des offres ainsi que l'évolution rapide de la réglementation... ensuite même les agences de certification sont loin d'être si fiables (une a été piraté dernièrement et le groupe de sécurité la gérant a mis fin à son activité pour limiter la polémique) et en plus aucune vérification n'est fait sur la corrélation entre le pays du site et celui de l'agence de certification... ce qui fait qu'un site .us ou . fr peut être certifié par une agence russe ou chinoise... quand on sait les risques de corruption dans ses pays, ça fait réfléchir... et d'ailleurs ça fait polémique actuellement au niveau des gens qui sont du domaine ou ceux qui crée les navigateurs...

    Bref rien n'est parfait et ne sera jamais sécurisé mais faut avoir conscience qu'on est dans un monde où on adore mettre en procès pour avoir un responsable qui payera les pertes financières occasionnées par les problèmes de sécurité...

    Donc c'est clair qu'après faut pas être paranoïaque non plus et adapter la sécurité au besoin réel et bien le prendre en considération... au final leur règle sont ingérables pour la plupart des projets et il faudrait être prêt à débourser entre 200 et 1000€ environ par an rien que pour mettre en œuvre ce qu'il préconisent pour le moindre site au niveau des certificats de sécurité selon l'agence qu'on choisit...

    donc à méditer

  7. #7
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    Septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Septembre 2007
    Messages : 429
    Points : 877
    Points
    877
    Par défaut
    Citation Envoyé par Katyucha Voir le message
    Oui mais non ! On ne demande pas à un webmaster d'être au niveau d'un spécialiste, j'en conviens. Mais quand on gère un site - et surtout de e-commerce - il faut être un fin connaisseur en sécurité, car on est exposé par la nature de nos activités
    Pour ma part je comprend les 2 partis cela dis je pencherai pour ce que dit "Matthieu Vergne " c'est un domaine à part entière, trés complexe et à 1000 lignes de code du travail de dev.

    Etre dev en web et fin connaisseur en sécurité c'est extremement rare et c'es tun peu comem dire à un maçon qu'il doit aussi etre électricien: 2 domaines disctincts, certe complémentaire mais différents.

    D'ailleurs parle sécu avec un dev web ou applicatif et tu le comprendra dessuite .. (je parle de VRAIE sécu (Nosql injection, Time Bases SQL injection en web par exemple) , pas des "bases" apprise en cours).

    Cdlt.

  8. #8
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 273
    Points : 7 807
    Points
    7 807
    Billets dans le blog
    3
    Par défaut
    Ba, ce qui m'embête le plus, c'est de voir dans l'article qu'on parle de bon sens alors qu'on parle en fait d'expertise. L'expertise est à l'opposé du bon sens, justement parce qu'il faut savoir pour ne pas faire de boulette, alors que le bon sens, alias sens commun, c'est ce que sait monsieur tout-le-monde, et donc pas besoin d'être un spécialiste, n'importe qui peut remarquer la boulette.

    Si je prends un développeur ou un administrateur Web et que je lui parle de protocole SSL et de certificats avec Extended Validation, je m'attends plus à avoir des yeux ronds qu'un "oui, bien sûr, c'est évident". Moi qui sait ce qu'est un certificat mais qui n'ai jamais entendu parler d'Extended Validation avant cet article, alors que de la prog Web j'en fais depuis quelques années déjà et la sécurisation de site Web j'y ait déjà touché, est-ce que ça remet en cause mes compétences Web ? Est-ce que ça fait de moi un noob en gestion de site Web ?

    Les recommandations, comme décrit un peu rapidement dans l'article, sont pour les sites Web sensibles (qui ont donc un besoin de sécurité et surtout des objectifs critiques à assurer). Faire passer ça pour du bon sens... je me suis senti un peu con sur le coup perso.

    Bref, on peut résumer ça à un mauvais choix de terme. Si j'avais lu "Des conseils aujourd'hui communs dans le domaine de la sécurité", j'aurais sûrement rien dit.

Discussions similaires

  1. Réponses: 8
    Dernier message: 10/03/2011, 15h09
  2. Réponses: 8
    Dernier message: 11/04/2010, 14h10
  3. Réponses: 0
    Dernier message: 09/04/2010, 10h26
  4. Réponses: 6
    Dernier message: 03/12/2009, 11h11
  5. Réponses: 28
    Dernier message: 19/10/2009, 18h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo