Sites de e-commerce : armez-vous contre la cybercriminalité !

Par :
Florent Embarek

mer, 17/12/2014 - 11:41

Un cinquième des ventes annuelles s’effectue en période de fêtes de fin d’année en France, selon la Fédération de l'e-commerce et de la vente à distance L’attaque réussie d’un site de vente en ligne à cette période se révèlerait une véritable catastrophe pour un e-commerçant démuni. Les services en charge de la sécurité informatique des entreprises les plus importantes sont sur le qui-vive. Mais toutes les entreprises ne disposent pas des ressources suffisantes. Alors comment peuvent-elles s’armer pour combattre ce fléau ? Simplement en choisissant le bon fournisseur, et en s’appuyant sur trois principes fondamentaux.

Premier principe : Les informations doivent être disponibles

Outre la qualité de ses produits ou de ses services, le succès d’un site de vente dépend de la rapidité à laquelle le futur client obtient les renseignements qu’il recherche. Les pages doivent se charger rapidement et rester accessibles. Dans le cas contraire, le client quitte (et ne reviendra probablement jamais) le site jugé trop lent au profit d’un concurrent. Un visiteur sur deux cesse de naviguer lorsque le trafic ralentit. Rien de plus redouté que l’apparition d’une « erreur 500 » ou d’une page blanche après 30 interminables secondes d’attente ! Au-delà du déficit d’image pour l’entreprise, c’est son activité économique qui est mise en péril.

Les performances sont étroitement liées à l'architecture technique en place. Or, si l’accès aux applications doit être rapide, tout site internet subit des montées en charge du trafic, qui s’accélèrent à l’approche de Noël. L’augmentation du trafic risque de provoquer des ralentissements. Il faut éviter à tout prix que le site, victime de son succès, ne réponde plus. Plusieurs centaines de milliers de connexions simultanées à la seconde doivent être « absorbées » en quelques secondes seulement pour que les pages continuent à s’afficher à une vitesse acceptable par l’internaute. Chaque seconde d’attente se traduit, nous l’avons dit, par une perte de chiffre d’affaires pour le site d’e-commerce.

L’application constitue la vitrine de la marque auprès des utilisateurs mobiles. De sa qualité dépend la notoriété de l’entreprise. Une mauvaise qualité détériore son image jusqu’à lui faire perdre des clients. Au contraire, une application optimisée la renforce auprès de ses clients. De plus, les nouveaux écrans - tablettes et smartphones - incitent à produire des contenus toujours plus innovants mais générant un trafic élevé atteignant plusieurs Gbps et des dizaines de milliers de CPS. Des techniques d'équilibrage sont nécessaires pour éviter les goulets d'étranglement du réseau afin que la navigation demeure fluide.

Deuxième principe : Contrôler la mise à disposition des applications

Pour conserver la maîtrise de la qualité du site, des choix stratégiques sont nécessaires. Parce que la haute disponibilité est la base de la réussite, celle-ci doit être prise en compte dès la conception du site. Pour l’infrastructure, un socle technique fiable et performant permet de répondre aux exigences fonctionnelles des applications. Pour le trafic, s’appuyer sur une solution fiable et suffisamment dimensionnée est essentiel pour mener à bien un projet. Ces deux aspects complémentaires justifient pleinement l’adoption d’un ADC (Application Delivery Controller).

Les ADC sont des solutions qui accélèrent les temps de réponses des applications tout en simplifiant l’administration des sites. Ils n’ont pas cessé d’évoluer pour coller au mieux aux besoins des entreprises. Les premiers systèmes d’équilibrage de charge assuraient la disponibilité et l’évolutivité des sites web. Les ADC ont ensuite optimisé la fiabilité, la performance et l’utilisation des ressources des centres de données ainsi que la sécurité des différents types d’applications de l’entreprise. Enfin, plus récemment, ils se sont enrichis de services basés sur le cloud et la virtualisation des centres de données. Les appliances de nouvelle génération fournissent ainsi l’adaptabilité et l’optimisation nécessaires pour répondre au volume et à la complexité croissante des attaques DDoS. Pour être plus précis techniquement, il est important d’assurer en amont les performances en mettant en place des passerelles de services (Unified Application Service Gateway - UASG) qui contrôlent l’accès aux applications et la sécurité des terminaux.

Troisième principe : Anticiper la cybercriminalité et combattre les DDoS

Lutter contre les risques de sécurité d’un monde numérique de plus en plus connecté est le défi que doivent relever toutes les organisations, qu’elles soient publiques ou privées, et ce à l’échelle mondiale. Les attaques complexes par dénis de service distribués augmentent à un rythme alarmant. Attractifs pour les pirates, les sites internet et les applications deviennent alors la porte d’entrée pour accéder aux données des utilisateurs ou clients, aux informations de paiement, aux données bancaires, etc.

Le modus operandi est simple. Pour bien le comprendre, il faut savoir que le principe du DDoS consiste à envoyer un très grand nombre de requêtes à un service en ligne. Ces trop nombreuses connexions, bien au-delà de ce que le serveur est capable d’accepter, font « tomber » le serveur attaqué et bloquent le site visé, provoquant l’indisponibilité du service… et la perte du client. Le coût induit est à deux niveaux, comme dit plus haut : perte directe de chiffre d'affaires et dégradation de l’image du site touché, relayée par le buzz négatif des internautes insatisfaits. Les attaques sont généralement menées à partir de multiples machines piratées à travers le monde, que l’on appelle les « machines zombies ». En lançant une attaque par DDoS, l’objectif des hackers est de perturber, voire de supprimer la disponibilité du service, en paralysant totalement le trafic par un flux excessif. Conscients que la fluidité de la navigation est capitale pour déclencher l’acte d’achat, les pirates ne se gênent pas pour rançonner l’entreprise attaquée en la menaçant de bloquer pour longtemps son site marchand. Beaucoup d’entreprises cèdent, sans s’en vanter, à cette forme de cyber-chantage.

Le trafic également a changé de nature. Les différentes initiatives de collecte de données des services de renseignement ont suscité toujours plus de trafic crypté, avec la volonté de s’assurer que les données encore stockées ne pourraient pas être décryptées ultérieurement. En conséquence, le trafic web crypté a considérablement augmenté, rendant moins opérante la défense constituée des solutions traditionnelles que sont les pare-feu, les systèmes de prévention contre les intrusions (IPS) et les systèmes de détection des malwares. Ce sont autant de menaces qui augmentent dans un contexte de croissance massive du trafic et d’une prolifération d’unités connectées. La protection des données critiques est devenue le défi à relever et une lutte permanente pour les opérateurs réseaux. En conséquence, il est essentiel de disposer des produits dotés des dernières technologies de protection.

C’est ce que proposent les fournisseurs d’ADC (Application Delivery Controller) novateurs. De nombreuses fonctionnalités de sécurité ont été ajoutées de sorte que les ADC de nouvelle génération permettent à la fois de faire face aux menaces de sécurité et de répondre aux normes de conformité requises, protégeant la marque, la propriété intellectuelle et le chiffre d’affaires en même temps que la mise à disposition et la disponibilité de l’application.

Ce nouveau type d’ADC permet par exemple d’analyser et sécuriser le trafic SSL tout en court-circuitant les communications vers les sites sensibles comme les applications bancaires ou de santé, en renforçant les capacités de SSL Offload pour une plus grande confidentialité et un solide chiffrement empêchant de décrypter les données. C’est encore un pare-feu applicatif web amélioré pour la mitigation des attaques par redirection ouverte, présentant l’avantage de répondre aux exigences croissantes de conformité. C’est aussi la gestion des accès aux applications par une authentification centralisée des utilisateurs avec par exemple le nouveau standard d'authentification SAML. Ces fonctionnalités complètent la protection anti-DDoS hautes performances du serveur, le firewall applicatif DNS, les listes de contrôle d'accès...

Ces solutions assurent la disponibilité, la mise à disposition, la sécurité et la qualité des applications et des services qui se développeront alors dans de bonnes conditions. L’entreprise et ses clients pourront enfin nouer des relations de confiance sur un marché souvent très concurrentiel et où seuls les acteurs réellement performants et innovants peuvent se développer avec succès et de manière pérenne. 

A propos de l'auteur

Florent Embarek
Country Manager, French Speaking Area, A10 Networks