Cybersécurité

Que faire si votre e-shop a été piraté ?

Par Fabien Peltière , le 02/10/2023 - 7 minutes de lecture
AccueilCybersécuritéQue faire si votre e-shop a été piraté ?

La vente de produits en ligne constitue l’un des secteurs d’activité les plus rentables de ces deux dernières décennies. Toutefois, c’est aussi l’un des plus exposés aux attaques informatiques. Fraude à la carte bancaire, hameçonnage, piratages de données, attaques DDoS… Les boutiques en ligne sont une cible prisée des pirates. Voici quelques conseils pour vous remettre d’une attaque informatique de votre site e-commerce et regagner la confiance de vos clients.

Piratage de votre e-shop : évaluez la situation calmement

Après un piratage, il est encore possible de récupérer et de sécuriser les sites attaqués. Cependant, il faut garder son sang-froid pour évaluer objectivement la situation et éviter de commettre des erreurs qui pourraient empirer les choses. Dans la précipitation, vous pouvez par exemple commettre des actes irréversibles qui pourraient compromettre le processus d’enquête ou la récupération des données. En supprimant certains fichiers ou en arrêtant précipitamment vos machines, de précieuses preuves peuvent être détruites. Il sera alors difficile de remonter les pistes et d’appréhender les auteurs de l’attaque ou de mettre en place des mesures préventives.

Essayez donc d’analyser la situation avec sérénité pour identifier le type de piratage dont vous avez été victime. Habituellement, les cas les plus courants sont les intrusions dans la base de données, les attaques par déni de service (DDoS) ou encore le phishing.

Identifiez l’ampleur de la cyber-attaque pour sécuriser votre site WordPress piraté

Une fois que la nature du piratage a été identifiée, vous devez évaluer l’ampleur des dégâts afin d’avoir une idée des ressources à mobiliser pour la restauration des données. Pour cela, vous pouvez commencer par identifier les composants du système qui ont été touchés. Est-ce le site web lui-même ou la base de données ? Qu’en est-il des serveurs ? Si votre infrastructure comporte des applications tierces, assurez-vous également qu’elles ne sont pas affectées. Pour les sites e-commerce sur WordPress par exemple, l’analyse du journal des activités peut servir à retracer les informations utiles afin d’évaluer l’ampleur des dégâts du piratage.

Si vous travaillez en équipe, la participation de tous les membres est nécessaire pour vous assurer que tous les aspects de l’attaque ont été identifiés. Quelles sont les données qui ont été concrètement compromises ? Des informations sensibles ou confidentielles ont-elles été volées ou consultées ? Avez-vous remarqué des modifications ou des suppressions de données ? Si vous souhaitez sécuriser un WordPress piraté, il sera peut-être nécessaire de renforcer votre matériel ou de procéder à la mise à jour de certains programmes. C’est sur la base des remarques faites lors de cette phase d’inspection qu’un plan efficace pourra être élaboré pour arranger la situation et éviter des incidents similaires.

site e-commerce piraté

Informez immédiatement vos clients de l’attaque

Dans le domaine du commerce en ligne, une attaque informatique est particulièrement préjudiciable pour les victimes. Beaucoup d’acteurs du secteur pensent pouvoir protéger leur réputation et leur activité en cachant cette information, mais c’est une erreur. La propagation des rumeurs aura un impact bien plus grave si vous taisez la situation que si vous prenez l’initiative d’informer vos clients. Rédigez un message clair et précis qui présente en toute transparence le souci puis diffusez-le dans leur boîte mail. Pour être sûr d’informer tout le monde, vous pouvez utiliser d’autres canaux. Envoyez par exemple des SMS, configurez des notifications sur votre site web, faites des posts sur les réseaux sociaux… Je vous conseille d’utiliser votre adresse mail professionnelle pour des raisons de crédibilité.

Restez rassurant dans votre texte. Expliquez que des dispositions sont en train d’être prises pour arranger la situation. Renseignez les clients sur les mesures à prendre pour protéger leur compte. Habituellement, il s’agira de changer de mot de passe, de vérifier les dernières transactions sur leur compte bancaire et de rester vigilant face à d’éventuelles tentatives de phishing. Si possible, vous pouvez mettre en place un service d’assistance pour aider les consommateurs qui ont des questions ou une préoccupation particulière. Tout ceci contribue à soigner votre image de marque.

Renforcez vos mesures de sécurité

L’une des dispositions de sécurité à prendre après un piratage de site web est de s’assurer que l’authentification à deux facteurs est bien active. Quand vous entrez votre mot de passe habituel, le système vous oblige à fournir une seconde preuve pour confirmer votre identité. Il peut s’agir par exemple d’un code envoyé par SMS sur votre téléphone, d’un appel téléphonique ou d’une clé de sécurité physique. C’est une méthode qui rend le piratage extrêmement difficile puisqu’il est souvent rare que le hacker ait le mot de passe de votre site web et en même temps celui de votre téléphone. Si vous utilisez le CMS WordPress, il existe des plugins fiables qui permettent de configurer plus facilement l’authentification à deux facteurs.

Une autre mesure importante à mettre en place est le cryptage de données confidentielles grâce au certificat SSL (HTTPS). Sur un site e-commerce, les clients sont appelés à entrer leurs données bancaires pour effectuer des achats. Le certificat SSL permet de crypter ces données sensibles pour qu’elles ne soient pas interceptées par des pirates.

Si vous utilisez un réseau Wi-Fi pour accéder à votre site web, assurez-vous également qu’il soit bien sécurisé. Pour cela, vous pouvez changer le nom du réseau, le masquer si possible ou activer le cryptage des données avec une clé de sécurité.

Surveillez les activités suspectes sur votre site

L’une des meilleures manières de surveiller les activités sur votre site web est de consulter le journal d’activité. Il s’agit d’un fichier qui retrace toutes les actions qui ont été menées sur le site avec un système d’horodatage. Vous pouvez voir par exemple à quelle heure une fiche produit a été mise en ligne et par qui. Si certains plugins ont récemment été ajoutés ou supprimés, vous pouvez également voir qui est l’auteur de l’action. Le journal d’activité sert aussi à surveiller les heures de connexion et de déconnexion des visiteurs sur votre site e-commerce. Tout ceci permet de détecter facilement les activités inhabituelles qui pourraient cacher des intentions malveillantes.

Cependant, la plupart des CMS ne proposent pas de solution intégrée pour consulter le journal d’activité. Vous devez passer par un programme tiers. Sur WordPress par exemple, il existe des plugins de sécurité qui proposent des fonctionnalités de surveillance des activités. Ce qui rend ces plugins encore plus pratiques est que vous n’avez pas besoin d’aller consulter périodiquement le journal d’activité. Il est possible de configurer des alertes pour être instantanément notifié en cas d’activité suspecte sur votre boutique en ligne. Plus vous réagirez vite, plus vous limiterez les risques de piratage ou les dommages qu’un piratage peut causer.

certificat SSL site sécurisé

Site e-shop : quelles mesures prendre contre les pirates ?

Dans de nombreux pays, le piratage informatique est un acte passible de lourdes sanctions. En France, les textes prévoient une sanction de 2 ans d’emprisonnement et de 60 000 € d’amende pour toute intrusion frauduleuse dans un système automatisé de traitement de données.

Si le pirate a supprimé ou modifié des données sensibles qui portent atteinte au fonctionnement du système, il risque 3 ans d’emprisonnement avec une amende pouvant aller jusqu’à 60 000 €. Si vous avez été victime d’un piratage sur votre site e-commerce, je vous encourage à rassembler le plus de preuves possibles et de porter plainte auprès des autorités compétentes. Pour plus de renseignements, vous pouvez consulter ce site web d’informations mis en place par les autorités françaises pour assister les victimes.

Si vous n’avez pas le temps de vous occuper des démarches administratives, vous pouvez faire appel à une société de cybersécurité. Experte dans le domaine des cyber-attaques, elle possède des moyens de pointe pour vous aider à retrouver les responsables de ce méfait. Elles sauront vous orienter dans les différentes démarches à suivre.

Cela pourrait aussi vous intéresser

Découvrez comment régler rapidement le souci de sonnerie sur votre iPhone avec des astuces simples et efficaces. Comment faire quand votre iPhone ne sonne pas ? Capture d'écran des avis peu élogieux sur modeles-cv.fr où beaucoup de gens signalent le site comme une arnaque (scam) ModelesCV, arnaque ou véritable aide pour faire votre CV ? Découvrez des stratégies clés pour protéger votre entreprise des ransomwares. Un guide essentiel pour les cadres souhaitant renforcer la sécurité. Le guide à l’usage des cadres pour faire de leur entreprise une zone protégée contre les ransomwares Importance de la sécurité pour un hébergement web efficace Sécurité de votre site : l’importance de l’hébergement web
Fabien Peltière

Fabien Peltière

Baignant dans l'informatique depuis tout petit (j'ai écris mes premières lignes de code sur un Amstrad CPC 464) et travaillant depuis plus de 20 ans dans le web, j'écris des tutoriels destinés aux débutants afin de leur permettre de mieux appréhender le monde numérique, ses enjeux, ses pratiques et ses menaces. Responsable des réseaux sociaux (community manager pour Astuces & Aide Informatique).

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.

Newsletter gratuite