Guide complet de la sécurité BigCommerce

Qu’est-ce que BigCommerce ?

BigCommerce est une solution de commerce électronique qui vous permet de créer une boutique numérique et de vendre des articles en ligne. BigCommerce est une solution hébergée, vous n’avez donc pas besoin d’acheter un hébergement Web ou d’autres applications ou infrastructures pour l’utiliser. Vous pouvez l’utiliser pour vendre des biens physiques et numériques.

BigCommerce est principalement destiné aux utilisateurs ayant peu ou pas d’expérience en développement ou en conception Web et possède une interface conviviale qui le rend accessible à ceux qui n’ont pas de connaissances techniques.

Cependant, BigCommerce est également utile pour les utilisateurs techniquement avancés qui souhaitent modifier le HTML et le CSS de leur boutique en ligne. BigCommerce comprend un certain nombre de modèles de personnalisation qui peuvent vous aider à créer la disposition de votre magasin. Pour référence, voyez comment Shopify se compare à BigCommerce.

Quelles fonctionnalités de sécurité la plate-forme BigCommerce offre-t-elle ?

Sécurité client BigCommerce

BigCommerce offre à ses utilisateurs des fonctionnalités qui garantissent aux visiteurs de leur boutique en ligne un processus d’achat sécurisé.

Lorsque les organisations traitent des informations de cartes de crédit et de débit, elles doivent adhérer à une norme de sécurité des informations appelée Payment Card Industry Data Security Standard (PCI DSS). Cette norme a été créée pour protéger les données des titulaires de carte utilisées pour les paiements en ligne.

BigCommerce est conforme aux six catégories de la norme PCI pour démontrer la conformité BigCommerce niveau 1 PCI DSS. Cette conformité s’applique à toutes les boutiques en ligne BigCommerce. Les exigences comprennent :

  • Gérer un réseau en toute sécurité
  • Gestion du programme de gestion des vulnérabilités
  • Surveiller et tester régulièrement le réseau
  • Mise en place d’un contrôle d’accès renforcé
  • Maintenir une politique de sécurité de l’information

Sécurité du compte BigCommerce

Les outils basés sur le cloud comme BigCommerce utilisent le principe de responsabilité partagée. Cela signifie que la sécurité de la plate-forme BigCommerce relève de la responsabilité de BigCommerce, tandis que la sécurité des données stockées de chaque utilisateur relève de sa responsabilité. Spécifiquement:

  • BigCommerce fournit les meilleures pratiques de sécurité, l’infrastructure, la haute disponibilité et la reprise après sinistre pour leur plate-forme.
  • En tant qu’utilisateur de BigCommerce, vous êtes responsable de la protection de vos mots de passe, de l’autorisation des utilisateurs et des applications tierces et de la sauvegarde des données que vous transférez dans votre compte de boutique BigCommerce.

Par exemple, si vos données sont infectées par des logiciels malveillants, l’équipe de sécurité de BigCommerce les restaurera dans la dernière sauvegarde. Vous pourriez rencontrer des minutes de temps d’arrêt ou aucun temps d’arrêt du tout.

Cependant, la sauvegarde ne peut récupérer qu’une partie de vos données et ne peut pas restaurer un compte à un moment précis. Par conséquent, BigCommerce recommande d’exporter vos données à l’aide de CSV et de les stocker localement ou dans un autre emplacement tiers à des fins de récupération.

5 meilleures pratiques de sécurité BigCommerce

1. Examiner les plugins pour prévenir les attaques Zero-Day

Des failles de sécurité sont constamment découvertes. Lorsque les attaquants identifient une vulnérabilité, ils tentent d’exploiter les sites vulnérables. C’est ce qu’on appelle un attaque zero-day. Il est donc essentiel de déployer les mises à jour de sécurité dès qu’elles sont disponibles. Heureusement, lorsque vous utilisez une plate-forme de commerce électronique basée sur le cloud comme BigCommerce, les mises à jour logicielles sont gérées automatiquement pour vous.

Cependant, les solutions tierces exécutées dans votre magasin peuvent toujours vous rendre vulnérable aux attaques. Avant d’utiliser des plugins, vérifiez leur classement et évaluez le fournisseur de plugins pour voir s’ils sont dignes de confiance. Supprimez immédiatement les plugins de votre boutique si vous ne les utilisez plus, afin de réduire votre surface d’attaque.

2. Utiliser les outils d’analyse de code

Les audits de code examinent le code source à la recherche de bogues, d’erreurs et de zones qui ne répondent pas aux normes de qualité définies par l’entreprise. L’analyse de code est très importante pour les magasins BigCommerce car elle peut vérifier votre code personnalisé en utilisant les meilleures pratiques de sécurité des applications Web.

Les outils Static Application Security Testing (SAST) analysent le code source pour trouver les failles de sécurité. SAST analyse l’application avant de compiler le code et permet aux développeurs de résoudre rapidement les problèmes lors des premières étapes de développement.

Les outils SAST affichent également graphiquement les problèmes détectés, aidant à naviguer dans le code et à identifier le problème. Il fournit des instructions détaillées sur la façon de dépanner et de corriger le code, sans nécessiter d’expertise en sécurité.

3. Implémenter les tests de sécurité des API

De nombreuses intégrations d’API de commerce électronique sont développées sous des contraintes de temps, et il n’y a pas assez de temps pour effectuer des tests d’assurance qualité et de sécurité. Les défauts ne sont découverts en production que lorsqu’ils peuvent avoir des conséquences graves.

Lorsque vous intégrez vos systèmes back-end à l’API BigCommerce, les défauts peuvent produire une série de défaillances pouvant affecter plusieurs autres systèmes. L’introduction de l’assurance qualité logicielle dès les premières étapes du processus de développement peut réduire le stress lié à la maintenance des API et aux correctifs en production, et peut également prévenir les failles de sécurité.

Introduisez les tests de sécurité des API tout au long de votre cycle de vie de développement. L’un des points les plus sensibles est les dommages accidentels ou les erreurs de configuration causés par les mises à niveau des fonctionnalités et les corrections de bogues. La pression pour changer et réparer fréquemment la plate-forme peut entraîner des erreurs inattendues. La solution consiste à tester tous les aspects du système pour s’assurer que les fonctionnalités de base sont maintenues et qu’aucune faille de sécurité n’est introduite.

Il est très efficace d’effectuer des «vérifications d’intégrité» – tenter une mise à niveau ou une modification du logiciel dans un environnement de test et voir si tout fonctionne toujours comme d’habitude. Les vérifications d’intégrité doivent être exécutées sur un miroir QA du site en ligne, le même que celui utilisé pour déboguer les nouvelles versions de l’API. Cela garantit, d’une part, que le test est effectué dans un environnement réaliste, mais d’autre part, empêche tout problème d’affecter l’environnement de production.

4. Implémentez des mots de passe forts et uniques

Les recherches montrent qu’un pourcentage élevé de failles de sécurité sont causées par des informations d’identification volées ou faibles. Les informations d’identification de sécurité sont particulièrement utiles dans les magasins de commerce électronique comme BigCommerce, car elles gèrent les transactions financières. Cela vaut la peine de faire un effort particulier pour s’assurer que vous, vos employés et vos clients suivez des pratiques de mots de passe solides.

Mettez en place des politiques de mots de passe axées sur les principes suivants :

  • Mots de passe forts—avec une longueur minimale et l’utilisation de lettres majuscules et minuscules, de chiffres et de symboles.
  • Pas de partage de mot de passe— les mots de passe doivent être uniques pour chaque utilisateur et ne doivent pas dupliquer un mot de passe utilisé pour un autre service ou site Web.
  • Gestionnaires de mots de passe— encouragez les utilisateurs à utiliser des gestionnaires de mots de passe pour les aider à mémoriser des mots de passe complexes sans avoir à les réutiliser ou à les écrire.
  • Renseignements personnels—éduquer les utilisateurs à ne jamais divulguer d’informations sensibles telles que la date de naissance ou le numéro de sécurité sociale, car elles peuvent être utilisées pour répondre à des questions de sécurité.

5. Empêcher l’ingénierie sociale

L’hameçonnage est une cyberattaque très courante qui peut entraîner une infection par un logiciel malveillant et même la compromission complète d’un magasin BigCommerce.

Pour éviter l’hameçonnage, ne fournissez aucun niveau d’informations personnelles à moins que vous ne vérifiiez l’identité du destinataire. N’oubliez pas que les organisations légitimes ne demandent jamais à un utilisateur de fournir son mot de passe. Ne cliquez pas sur les liens contenus dans des e-mails suspects et ne téléchargez ni n’ouvrez jamais de pièces jointes provenant de sources inconnues.

Voici quelques moyens qui peuvent vous aider à distinguer une tentative d’hameçonnage d’un e-mail légitime :

  • Fautes d’orthographe ou de grammaire dans l’objet ou le corps d’un e-mail peut indiquer un expéditeur suspect.
  • Vérifiez le domaine de l’URL de l’expéditeur de l’e-mail et de tout lien intégré dans l’e-mail. Les attaquants envoient souvent des e-mails qui ressemblent à un domaine familier avec une légère différence, par exemple bigcommerce.biz au lieu de bigcommerce.com.
  • Rechercher des demandes inhabituelles demander des actions telles que transférer de l’argent ou fournir des informations d’identification, et vous encourager à prendre ces mesures immédiatement.

Conclusion

Dans cet article, j’ai expliqué les bases de la sécurité BigCommerce et fourni cinq meilleures pratiques qui peuvent vous aider à sécuriser vos magasins BigCommerce :

  1. Mettez à jour les plugins BigCommerce pour empêcher les attaques zero-day
  2. Utilisez des outils d’analyse de code pour vérifier que votre code personnalisé répond aux exigences de sécurité
  3. Implémentez des tests de sécurité API pour vous assurer que vos intégrations backend sont sécurisées
  4. Imposez l’utilisation de mots de passe forts et uniques, tant pour les employés que pour les clients
  5. Empêcher l’ingénierie sociale en étant conscient des messages inhabituels ou suspects

J’espère que cela vous sera utile lorsque vous améliorerez votre posture de sécurité BigCommerce.

Lectures complémentaires

Partagez cet article

Newsletter

Inscrivez-vous à notre newsletter pour profiter de toutes nos astuces !

Laissez une réponse

Votre adresse e-mail ne sera pas publiée.