Web-to-print painpoints : la cybersécurité des plateformes d’imprimerie en ligne
En matière de sécurité informatique, lorsqu’on opère un site de vente en ligne, la question n’est pas de savoir si vous subirez une attaque, mais quand elle se produira. Le cyber-crime est un business, et les marchands en ligne sont une cible privilégiée des pirates modernes. Les techniques sont multiples, mais on relève le plus souvent :
- L’injection d’un script malicieux pour détourner les données de paiement et les coordonnées des clients (notamment le cas sur de nombreuses plateformes Magento 1)
- Le cryptage de la plateforme avec demande de rançon
- Le détournement des informations clients afin de revente
- La falsification de factures de services tiers, comme Google AdWords, pour détourner des paiements
Lorsqu’un tel piratage se produit, c’est concrètement la catastrophe pour les imprimeurs en ligne. Catastrophe immédiate, car l’outil de vente (et parfois de production) est totalement bloqué, parfois pour plusieurs semaines. Catastrophe à long terme, car si l’entreprise n’est pas préparée, elle doit parfois recréer un nouveau site, avec à la clé des impacts négatifs en termes de qualité de service, de référencement, de chiffre d’affaires… Si les données des clients ont été exposées, c’est parfois aussi une catastrophe de réputation à gérer, car il faut communiquer sur l’exposition des données en informant la CNIL… Jamais très bon pour son image.
Peu d’imprimeries – et globalement, de eCommerçants – sont réellement préparé.e.s à gérer ces crises. Pourtant, il est essentiel de s’y préparer, dès le premier millier d’euro de chiffre d’affaires.
Je recommande à mes clients de prévoir à minima les 5 points suivants que je vous partage aujourd’hui :
- Cartographie informatique : ce schéma directeur sert à déterminer où sont stockées les données critiques, sur quel hébergement, et comment s’organise l’architecture générale du système d’information. Souvent absent, cette cartographie essentielle est totalement absente, au point que personne ne sait réellement où se trouvent les données. Dans la plupart des cas, seul un informaticien sait comment tout est structuré, mais lors d’une attaque, vous pouvez être sûr que cette personne sera absente ou indisponible…
- Plan de continuité et de reprise d’activité : le PCA/PRA consiste 1) à identifier les menaces 2) à évaluer leur impact 3) à lister les palliatifs. Il doit comporter les procédures à mettre en œuvre face à tel ou tel incident, avec les informations de contact des prestataires essentiels. Outre sa rédaction, le PCA-PRA doit être partagé avec toutes les parties prenantes et maintenu dans le temps, avec une révision au moins tous les 6 mois
- Plan de sauvegarde 3-2-1 : 3 copies de vos données critiques, dans deux localisations différentes, avec au moins 1 sauvegarde hors-ligne, totalement déconnectée du réseau informatique (dans un coffre par exemple). Ça c’est la règle. Personnellement, je suis plutôt partisan (comme au foot) du 4-4-2 : 4 copies différentes des données, dans 4 lieux différents, avec 2 copies hors ligne. Concrètement, cela peut se présenter sous la forme suivante :
- Sauvegarde type snapshot sur le serveur de production (1) répliquée sur un second serveur dans le cloud (2), avec une copie physique dans les locaux de l’entreprise (3) et une copie sur un autre stockage cloud type Dropbox ou AWS ou dans un autre lieu
- Parmi les lieux de stockage hors ligne, je recommande une copie hebdomadaire sur un disque dur ou autre stockée dans un coffre ignifugé dans les locaux de l’entreprise, avec une copie au domicile du dirigeant
- Test des sauvegardes et du PRA : les plans et les sauvegardes c’est bien, mais tant qu’ils n’ont pas été évalués, ils ne valent rien. Vous réalisez des exercices de sécurité incendie ? Faites la même chose pour votre serveur. Deux fois par an, simulez la perte de votre serveur principal et exigez de vos équipes informatiques qu’elles testent leurs procédures et les sauvegardes, en simulant plusieurs niveaux de gravité. Vous évaluerez ainsi le temps de restauration nécessaire, et la qualité de vos données. A savoir que ces tests sont de plus en plus exigés par les assurances en cas de sinistre.
- Assurance Cyber-Risque : en cas d’attaque, il ne faut pas rester seul. Il faut faire appel aux services de l’Anssi, et idéalement, des experts de votre assurance. Cela suppose que vous ayez souscrit une assurance CyberRisque. Les prix augmentent, mais c’est un investissement en cas de piratage, rançongiciel… Vous disposerez d’experts et de conseils juridiques pour gérer cette phase critique.
J’ajouterai un 6ème point : l’audit cyber. Je préconise de faire réaliser au moins une fois par an un audit de sécurité de votre SI, en particulier la partie eCommerce. Cela permet de détecter des vulnérabilités et de renforcer la sécurité de la plateforme, grâce à des mises à jour et des patches. Cela coûte un peu cher, mais c’est un rempart supplémentaire face aux pirates modernes.
A l’occasion de la coupure d’été, profitez-en pour discuter de cette checklist avec vos prestataires ou votre service informatique !