Sécurité des sites e-commerce : quelles priorités pour un test d’intrusion ?

Réaliser régulièrement des tests d’intrusion de sites e-commerce permet d’assurer un bon niveau de sécurité. Ceci est nécessaire pour assurer le bon fonctionnement du site ainsi que l’image de marque de l’entreprise auprès de ses clients. Mais les enjeux de sécurité sont tellement multiples qu’il est parfois nécessaire d’établir des priorités.

Enjeux de sécurité des sites e-commerce : définir les priorités d’un test d’intrusion

Voici un récapitulatif des principaux enjeux de sécurité pour les sites e-commerce. Les priorités sur lesquelles se focalisera le test d’intrusion doivent être définies en fonction du contexte fonctionnel et technique spécifique à chaque plateforme e-commerce. Il s’agit d’une première étape en vue de la définition du scope du pentest.

Sécurité de la brique de paiement

Point crucial qui doit reposer sur une solution reconnue et certifiée PCI DSS. L’intégration de la solution à la plateforme e-commerce doit être testée pour éviter les erreurs pouvant entraîner des failles de sécurité, notamment la collecte des données bancaires qui doit être conforme à ce que l’éditeur a prévu et documenté pour l’utilisation de la solution (formulaires, chiffrement…).

Sécurité du parcours client

L’intégralité du parcours client doit être testée régulièrement afin de se protéger contre différentes tentatives de fraude. De la validation de la commande à la confirmation des coordonnées de livraison. Cela passe par la recherche de failles techniques (OWASP) mais aussi de failles logiques (possibilités de contourner la logique fonctionnelle prévue pour les utilisateurs du site).

Sécurité des données personnelles

Avec le RGPD, cet aspect est devenu crucial à tester. Même sans données bancaires, une fuite de données personnelles (nom, prénom, e-mail) peut exposer les utilisateurs et les éloigner ensuite d’un site e-commerce lorsque l’information devient publique.

Dans le contexte particulier du e-commerce, la confidentialité des données relatives aux commandes (qui achète quoi ?) peut aussi s’avérer très sensible pour la protection de la vie privée. Les failles d’injection sont l’exemple le plus courant pour accéder à une base de données, mais d’autres types de vulnérabilités sont à prendre en compte, comme par exemple une mauvaise configuration de l’infrastructure, ou l’utilisation de composants vulnérables.

Garantir l’intégrité du catalogue 

Il s’agit d’un autre point sensible pouvant entraîner des pertes importantes en cas d’attaque visant à corrompre ou à supprimer les données. Les failles potentiellement utilisées par les attaquants sont de différentes natures : injections, mauvaise configuration des serveurs, ou encore possibilités d’authentification à un back-office, etc.

Assurer la continuité de service 

En cas d’interruption, plus la plateforme génère un CA important et plus les pertes de business seront conséquentes. Ou si l’interruption a lieu pendant une période clé (Noël, black friday …). Ainsi, les tentatives de DoS doivent être testées afin de déceler d’éventuelles faiblesses côté serveur ou côté applicatif.

Contrer les détournements de trafic

Les attaques visant à détourner les utilisateurs vers un clone malveillant sont préjudiciable pour un site e-commerce autant que pour ses clients. Il est important de tester des vulnérabilités liées au site lui-même (par exemple des failles XSS) ainsi que de sensibiliser les visiteurs du site aux risques d’ingénierie sociale (par exemple l’importance bien vérifier les noms de domaine, y compris l’orthographe exacte).

Enjeux de sécurité connexes

Les passerelles entre le site e-commerce et la logistique doivent aussi être testées. De manière générale, une plateforme e-commerce mal sécurisée peut aussi représenter une porte d’entrée vers d’autres pans de l’IT interne d’une entreprise.

Autres points d’entrée

Au-delà d’un site e-commerce principal (www), d’autres applications peuvent représenter des points d’entrée pour un attaquant : un back-office de gestion, un accès partenaires, une API, une plateforme de staging en accès public… Plus le site principal est sécurisé, plus les attaquants auront intérêt à rechercher d’autres applications dont la sécurité aurait pu être négligée.

Autres aspects de sécurité à considérer avant de réaliser un test d’intrusion de site e-commerce

Sites e-commerce basés sur des frameworks ou des CMS

En cas de site développé avec une solution comme Magento ou Prestashop, il faut surtout vérifier la configuration de la solution, le choix des plugins, les mises à jour, ainsi que les éventuels développements spécifiques.

Portfolios avec gros volumes de sites e-commerce 

Pour prévenir les risques sur des gros volumes de sites e-commerce, sans déraper sur le budget, il est possible d’adopter plusieurs approches :

  • Balayer l’ensemble du scope avec des tests de premier niveau (automatisés)
  • Réaliser des tests d’intrusion exhaustifs sur un échantillon

Dans le cas d’un portfolio avec de nombreux sites e-commerce, nous recommandons fortement de tester un échantillon représentatif sur le plan technique (un ou plusieurs sites) afin de bien couvrir les risques au moins sur un scope réduit. Cela pourra éventuellement se combiner avec des tests de premier niveau sur l’ensemble du scope.

Quel tarif pour un test d’intrusion de site e-commerce ?

Le tarif d’un test d’intrusion de site e-commerce dépend de la complexité fonctionnelle de la plateforme en question. Pour un site « classique » réalisé avec Magento ou Prestashop, un budget d’environ 4k€ permet de faire une analyse approfondie.

Il est possible de réaliser une analyse plus rapide pour respecter un budget plus réduit. Cependant, si le site e-commerce principal est lié à d’autres éléments, tels qu’un espace partenaire, un back-office, etc. alors le tarif sera plus élevé pour sécuriser l’ensemble de l’écosystème.

Il est également possible de prévoir un budget annuel entre 10k€ et 15k€ pour effectuer des tests d’intrusion réguliers sur un site e-commerce critique et/ou sur différents pans de son écosystème.

Comment définir le scope d'un pentest - Télécharger